Eduroam - technische Beschreibung: Unterschied zwischen den Versionen

Aus helpdesk
Zur Navigation springen Zur Suche springen
(7 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 8: Zeile 8:
Wir sprechen dabei von "EAP" (Extensible Authentication Protocol, hat nichts mit VPN zu tun)
Wir sprechen dabei von "EAP" (Extensible Authentication Protocol, hat nichts mit VPN zu tun)


Der EAP Tunnel kann auf zwei Arten aufgebaut werden:
Der EAP Tunnel kann auf mehrere Arten aufgebaut werden:




'''PEAP''' (protected-EAP),  oder
'''EAP-PEAP''' (protected-EAP),  oder


'''TTLS''' (tunneled transport-layer security).
'''EAP-TTLS''' (tunneled transport-layer security).


'''EAP-TLS''' (Persönliches DFN-Benutzerzertifikat erforderlich, Angabe von Benutzername und Password entfällt.)


Unser Server unterstützt derzeit leider nur TTLS. Sie müssten also an Ihrem Client-Endgerät "TTLS" als Tunnel bzw. Legitimierungs-Art einstellen.


Unser Server unterstützt derzeit alle drei Verfahren. In der Vergangenheit gab es unsererseits Probleme mit PEAP. Da Microsoft Windows jedoch das TTLS-Verfahren von Hause aus nicht unterstützt hat, war eine zusätzliche TTLS-Software erforderlich, etwa der SecureW2-Client. Dies ist jedoch mittlerweile obsolet und nicht mehr erforderlich.




Zeile 25: Zeile 26:
Geben Sie hier bitte die "äußere" (anonyme) Identität an:  
Geben Sie hier bitte die "äußere" (anonyme) Identität an:  


  anonymous@fernuni-hagen.de
  eduroam@fernuni-hagen.de


Beachten Sie aber bitte, dass dies jetzt keine Mailadresse ist.
Beachten Sie aber bitte, dass dies jetzt keine Mailadresse ist.


=== Zertifikat ===
=== Zertifikat ===
Zeile 39: Zeile 37:
Sie können jetzt in Ihrem Client:
Sie können jetzt in Ihrem Client:


- die Zertifikatsüberprüfung deaktivieren (nicht empfohlen, aber funktioniert ! )


- die Zertifikatsüberprüfung deaktivieren (nicht empfohlen, aber funktioniert ! )


- den Aussteller/Herausgeber des Serverzertifikats installieren und als „vertrauenswürdig“ einstufen. Wählen Sie hierzu bitte den Zertifikats-Aussteller '''Deutsche Telekom Root CA 2'''.
- den Aussteller/Herausgeber des Serverzertifikats installieren und als „vertrauenswürdig“ einstufen. Wählen Sie hierzu bitte den Zertifikats-Aussteller '''USERTrust RSA Certification Authority'''.




  '''Hinweis:''' Das Zertifikat unseres Radius-Servers wurde ausgestellt von unserer eigenen CA: FernUniversitaet in Hagen Global CA , dieses wurde ausgestellt von
  '''Hinweis:''' Das Zertifikat unseres Radiusservers, das bisher von der CA des DFN-Verein ausgestellt wurde, erhalten wir aktuell über die niederländische "GÉANT Vereniging". Diese ist zertifiziert von der USERTrust RSA Certification Authority, wodurch die Vertrauenstellung gewährleistet ist.  
DFN-Verein Global - G01, das  seinerseits von Deutsche Telekom Root CA 2 ausgestellt wurde. Die gesamte Kette muss als "vertrauenswürdig" vom Client akzeptiert werden.




Zeile 69: Zeile 66:




Microsoft-Windows Clients verwenden gerne das MsCHAPv2, dass unser Server jedoch leider (noch) nicht unterstützt. Wählen Sie daher bitte PAP als Authentifizierungsverfahren. Hierbei werden zwar die Benutzerkennung und das Kennwort im Klartext an den Server übermittelt, aber da die gesamte Übertragung bereits im EAP-Tunnel abläuft, sind Ihre Daten auf dem Weg dennoch geschützt.
Im Zusammenhang mit EAP-TTLS ist hier das PAP auszuwählen. Hier ist zu bemerken, dass PAP alleine keinen Kennwortschutz bietet. Ihre Daten (Benutzername und Kennwort) werden durch PAP nicht verschlüsselt. Da jedoch das TTLS die gesamte Übertragung verschlüsselt, sind Ihre Daten dennoch geschützt. Unter Microsoft Windows (bis einschließlich Windows7) wird das TTLS in Verbindung mit PAP bislang nicht unterstützt. Hier
ist das PEAP als EAP-Verfahren zu verwenden. Als innere Authentifizierung ist in diesem Zusammenhang das MsCHAP v2 zu wählen.
Die späteren Windows-Versionen unterstützen beide Varianten. Diese werden von unserem Server auch beide unterstützt und können wahlweise
verwendet werden, jedoch bitte nur in dieser Kombination: Entweder PEAP mit MsCHAPv2 oder TTLS mit PAP.


Innerhalb des '''PAP''' können Sie sich jetzt mit ihrer UserID und ihrem Kennwort anmelden.
Noch ein Hinweis bei der Verwendung unter MS-Windows: Bei der Aktivierung des Identitätsschutzes (anonyme Identität) geben Sie bitte nur "eduroam" ein. Die Erweiterung "@fernuni-hagen.de"wird von Ihrem Benutzernamen übernommen, den Sie bei MsCHAPv2 angeben. Daher fügen SIe bitte bei der "inneren Authentifizierung" zu Ihrem Benutzernamen immer die Erweiterung "@fernuni-hagen.de" hinzu.
Die Erweiterung "@fernuni-hagen.de" kann dabei an dieser Stelle entfallen.




Zeile 81: Zeile 80:
•      Tunnelverfahren: EAP-TTLS
•      Tunnelverfahren: EAP-TTLS


• äußere (anonyme) Identität angeben: anonymous@fernuni-hagen.de
• äußere (anonyme) Identität angeben: eduroam@fernuni-hagen.de (Bei Windows nur eduroam)


• Zertifikat akzeptieren: Aussteller=Deutsche Telekom Root CA 2
• Zertifikat akzeptieren: Aussteller=GEANT OV RSA CA 4  bzw. USERTrust RSA Certification Authority 


• Authentifizierungsmethode: PAP
• Authentifizierungsmethode: PAP


• Authentifizierung: mit Ihrer UserID und Ihrem Kennwort.
• Authentifizierung: mit Ihrer UserID und Ihrem Kennwort. (Bei Windows: <''UserID''>@fernuni-hagen.de)
 
 
== Besonderheit bei Microsoft-basierten Endgerätenin Verbindung mit eduroam ==
 
Wie bereits beschrieben, unterstützt unser Authentifizierungsserver derzeit nur das EAP-TTLS Tunnelverfahren in Verbindung mit der PAP-Authentifizierungsmethode. Unter Microsoft wird insbesondere bei den Betriebssystemen Windows Vista und Windows 7 jedoch kein TTLS unterstützt. Allein mit system-eigenen Mitteln ist der Zugang zum eduroam daher nicht möglich.
Es ist eine Zusatz-Software erforderlich, die den Aufbau des TTLS-Tunnels und das PAP-Loginverfahren auf Microsoft-Systemen unterstützt: der EAP-TTLS-Client.


Als Beispiel sei hier SecureW2 genannt. Diese Software ist zwar weit verbreitet, jedoch lizenzpflichtig und kann unter http://www.securew2.com bezogen werden. Wir dürfen den Client leider nicht selber zum Download anbieten.


Beim neuen Microsoft-Windows8 sieht es anders aus: Dieses System unterstützt TTLS und PAP bereits mit Bordmitteln. Die Installation einer Zusatz-Software ist hier nicht mehr erforderlich.


{{kontakt}}
{{kontakt}}


[[Kategorie:Zugang_FUNet_Internet-Dienste]]
[[Kategorie:Zugang_FUNet_Internet-Dienste]]

Version vom 15. Februar 2023, 13:54 Uhr

eduroam Allgemeine Hinweise Installation

1. Schritt: EAP-Tunnelaufbau

Als erstes ist es einmal wichtig, einen verschlüsselten Tunnel über das Netz von Ihrem Client-Gerät bis hier zu unserem Authentifizierungs-Server (RADIUS) aufzubauen, so dass die von Ihnen angegebene persönliche Benutzerkennung und insbesondere auch Ihr Kennwort niemand auf der Strecke mitlesen kann. Wir sprechen dabei von "EAP" (Extensible Authentication Protocol, hat nichts mit VPN zu tun)

Der EAP Tunnel kann auf mehrere Arten aufgebaut werden:


EAP-PEAP (protected-EAP), oder

EAP-TTLS (tunneled transport-layer security).

EAP-TLS (Persönliches DFN-Benutzerzertifikat erforderlich, Angabe von Benutzername und Password entfällt.)


Unser Server unterstützt derzeit alle drei Verfahren. In der Vergangenheit gab es unsererseits Probleme mit PEAP. Da Microsoft Windows jedoch das TTLS-Verfahren von Hause aus nicht unterstützt hat, war eine zusätzliche TTLS-Software erforderlich, etwa der SecureW2-Client. Dies ist jedoch mittlerweile obsolet und nicht mehr erforderlich.


Anonyme Anmeldung außerhalb des Tunnels

Damit der Tunnel auch zu unserem Server (und nicht irgendwo anders hin) aufgebaut wird, müssten Sie sich bereits außerhalb des Tunnels authentifizieren. Geben Sie hier bitte die "äußere" (anonyme) Identität an:

eduroam@fernuni-hagen.de

Beachten Sie aber bitte, dass dies jetzt keine Mailadresse ist.

Zertifikat

Damit Sie schließlich auch wissen, wem Sie ihre echten Login-Daten anvertrauen, muss der Server sich Ihnen gegenüber ausweisen. Das macht er mit seinem Zertifikat, das er Ihnen vorlegt. Ihr Client muss dieses Zertifikat nun automatisch akzeptieren bzw. als vertrauenswürdig anerkennen.

Sie können jetzt in Ihrem Client:

- die Zertifikatsüberprüfung deaktivieren (nicht empfohlen, aber funktioniert ! )


- den Aussteller/Herausgeber des Serverzertifikats installieren und als „vertrauenswürdig“ einstufen. Wählen Sie hierzu bitte den Zertifikats-Aussteller USERTrust RSA Certification Authority.


Hinweis: Das Zertifikat unseres Radiusservers, das bisher von der CA des DFN-Verein ausgestellt wurde, erhalten wir aktuell über die niederländische "GÉANT Vereniging". Diese ist zertifiziert von der USERTrust RSA Certification Authority, wodurch die Vertrauenstellung gewährleistet ist. 



2. Schritt: Login mit UserID und Kennwort

Jetzt geht es um die eigentliche Authentifizierung innerhalb des Tunnels. Auch hier gibt es mehrere Möglichkeiten:


• PAP (Password Authentication Protocol)

• CHAP (Challenge Handshake Authentication Protocol)

• MsCHAP v1 und v2 (von Microsoft bevorzugt verwendet)

• LEAP (proprietäre Methode von CISCO)

• GTK (Generic Token Card) verwendet Smartcards oder andere Hardware

• usw.


Im Zusammenhang mit EAP-TTLS ist hier das PAP auszuwählen. Hier ist zu bemerken, dass PAP alleine keinen Kennwortschutz bietet. Ihre Daten (Benutzername und Kennwort) werden durch PAP nicht verschlüsselt. Da jedoch das TTLS die gesamte Übertragung verschlüsselt, sind Ihre Daten dennoch geschützt. Unter Microsoft Windows (bis einschließlich Windows7) wird das TTLS in Verbindung mit PAP bislang nicht unterstützt. Hier ist das PEAP als EAP-Verfahren zu verwenden. Als innere Authentifizierung ist in diesem Zusammenhang das MsCHAP v2 zu wählen. Die späteren Windows-Versionen unterstützen beide Varianten. Diese werden von unserem Server auch beide unterstützt und können wahlweise verwendet werden, jedoch bitte nur in dieser Kombination: Entweder PEAP mit MsCHAPv2 oder TTLS mit PAP.

Noch ein Hinweis bei der Verwendung unter MS-Windows: Bei der Aktivierung des Identitätsschutzes (anonyme Identität) geben Sie bitte nur "eduroam" ein. Die Erweiterung "@fernuni-hagen.de"wird von Ihrem Benutzernamen übernommen, den Sie bei MsCHAPv2 angeben. Daher fügen SIe bitte bei der "inneren Authentifizierung" zu Ihrem Benutzernamen immer die Erweiterung "@fernuni-hagen.de" hinzu.


Zusammenfassung der notwendigen Einstellungsparameter:

• Tunnelverfahren: EAP-TTLS

• äußere (anonyme) Identität angeben: eduroam@fernuni-hagen.de (Bei Windows nur eduroam)

• Zertifikat akzeptieren: Aussteller=GEANT OV RSA CA 4 bzw. USERTrust RSA Certification Authority

• Authentifizierungsmethode: PAP

• Authentifizierung: mit Ihrer UserID und Ihrem Kennwort. (Bei Windows: <UserID>@fernuni-hagen.de)



Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

Ist dieser Artikel verständlich? Oder zu kurz? Oder zu lang? Ihre Meinung ist für uns wichtig. Wir freuen uns über Ihr Feedback!