Eduroam mit Android Geraeten: Unterschied zwischen den Versionen

Aus helpdesk
Zur Navigation springen Zur Suche springen
(23 dazwischenliegende Versionen von 8 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Bitte haben Sie Verständnis dafür, dass wir bei der Vielzahl von Android-Geräten und Softwareversionen keinen offiziellen Support liefern können. Jedoch hat uns freundlicherweise ein Student eine Anleitung für ein Samsung Galaxy S+ mit Android Version 2.3.6 zur Verfügung gestellt, welche er erfolgreich an der Universität Zürich einsetzen konnte.


''Hinweis:'' Aus einigen bisherigen Anfragen wurde deutlich, dass ältere Geräte teilweise nicht das benötigte 802.1x Protokoll von Haus aus unterstützen. Dann benötigt man den "WiFi Advanced Config Editor" für Android. Ein Student hat eine Anleitung für einen Sony PRS-T1 bereitgestellt: http://selig.ws/hejdo/en/computers/phones/eduroam-android.html
Bitte haben Sie Verständnis dafür, dass wir bei der Vielzahl von Android-Geräten und Softwareversionen keinen offiziellen Support liefern können. Die folgenden Informationen sind deswegen auch eher allgemein formuliert.


[[Datei:Android_Meine_Daten_sichern.png|miniatur|200px|]]
===Zertifikat installieren===


{{Infobox_Gelb|Achtung|
Für den Zugang zu eduroam muss das Zertifikat „T-TeleSec GlobalRoot Class 2“ auf den Handy installiert werden. Das kann bereits vorab über WLAN oder eine Mobilfunk-Datenverbindung zu Hause oder unterwegs erfolgen.
Die Funktion "Meine Daten sichern" speichert unter anderem die WLAN-Kennwörter auf den Google-Servern. Dies passiert unverschlüsselt und somit unsicher. Wir raten dringend dazu diese Funktion unter '''''"Einstellungen" -> "Sichern & Zurücksetzen"''''' zu deaktivieren und anschließend über das Fernuni-Identity-Management (https://account.fernuni-hagen.de) Ihr Fernuni-Kennwort zu ändern, falls Sie sich mit aktivierter Funktion in das eduroam-Netz angemeldet haben. Weitere Informationen dazu finden Sie auf den folgenden Seiten:


http://www.heise.de/security/meldung/Android-und-die-Passwoerter-Offene-Tueren-fuer-Spionage-1917386.html
'''Für die Installation des Zertifikats (Android < Version 11)'''
* gehen Sie mit Ihrem Handy-Browser auf https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/rootcert.crt (QR Code s.u.).
* Geben ihm beim Download einen Namen z. B.: "TeleSec GlobalRoot Class 2" ein und bestätigen das Installieren.
* Während der Installation wird, sollte auf dem Handy noch nie eine Anmeldeinformation gespeichert worden sein, nach einem Anmeldeinformationsspeicherpasswort gefragt. Dieses Passwort muss erdacht und gut behalten werden – es ist für die Herstellung der Verbindung nötig.
* Während der oben beschriebenen Zertifikats-Installation fragt Ihr Smartphone evtl. nach dem Verwendungszweck und schlägt als Voreinstellung "VPN und Apps" vor. Diese Einstellung muss manuell über die Auswahlliste in "WLAN" geändert werden, damit das TeleSec-Zertifikat bei der unten beschriebenen Einrichtung gefunden wird.


http://www.heise.de/security/meldung/Android-und-die-WLAN-Passwoerter-Google-loescht-nicht-1922971.html }}
'''Installation unter Android 11'''


Unter Android 11 kann das Zertifikat nicht mehr direkt installiert werden, die Installation muss über "Einstellungen" erfolgen:
* gehen Sie mit Ihrem Handy-Browser auf https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/rootcert.crt (QR Code s.u.) und laden Sie das Zertifikat herunter.
* gehen Sie auf "Einstellungen" > "Biometrische Daten und Sicherheit" > "Andere Sicherheitseinstellungen" > "von USB-Speicher installieren" > "WLAN-Zertifikat"
* wählen Sie den Ordner "Download" und dort das heruntergeladene Zertifikat aus. Klicken Sie auf "Fertig".
* vergeben Sie einen Namen, z.B. "TeleSec GlobalRoot Class 2" und klicken Sie auf "OK".


[[File:Qrtelesec.jpeg |https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/rootcert.crt]]


'''Zertifikat installieren'''
===Einrichtung der Verbindung zu eduroam===


Für den Zugang zu eduroam muss man das Zertifikat „Deutsche Telekom Root CA“ auf den Handy installieren. Das kann auch vorab zu Hause oder unterwegs erfolgen (über WLAN oder eine Mobilfunk-Datenverbindung). Man kann es auf zwei Arten durchführen:
Im Sendebereich des eduroam-Netzwerkes (also an einer entsprechenden Uni) richtet man die Verbindung folgendermaßen ein:
# Mit dem Handy-Browser auf https://www.pki.dfn.de/wurzelzertifikate/globalroot/ (QR Code s.u.) gehen.Dort das .CRT – Zertifikat anklicken, ihm beim Download einen Namen geben (z. B.: Telekom Root CA 2) und das Installieren bestätigen. Während der Installation wird, sollte auf dem Handy noch nie eine Anmeldeinformation gespeichert worden sein, nach einem Anmeldeinformationsspeicherpasswort gefragt. Dieses Passwort muss erdacht und gut behalten werden – es ist für die Herstellung der Verbindung nötig. <br> [[File:pki.dfn.de_wurzelzertifikat.png|https://www.pki.dfn.de/wurzelzertifikate/globalroot/]]
* Wählen Sie die „Einstellungen“ für "WLAN".  
# Oder so (was nicht auf allen Android Geräten funktioniert): Auf PC (oder Mac) mit dem Browser das Zertifikat „Deutsche Telekom Root CA“ (im Format .CER oder .CRT) herunterladen und speichern (von https://www.pki.dfn.de/wurzelzertifikate/globalroot/ ). Die Datei vom Computer auf die SD-Karte des Handys übertragen.<br />Dann das Zertifikat installieren: Am Handy auswählen "Einstellungen" -> "Standort und Sicherheit" -> "Von SD-Karte installieren". Dann das Zertifikate auf der SD-Karte lokalisieren und installieren. <br />Auch dabei kann – wie oben – während der Installation nach einem Anmeldeinformationsspeicherpasswort gefragt werden. Dieses Passwort muss erdacht und gut behalten werden – es ist für die Herstellung der Verbindung nötig.
* Aktivieren Sie "WLAN"  
* Aus der Liste der "verfügbaren Netzwerke" wählen Sie das Netzwerk "eduroam" aus.  


Bei den Verbindungsdefinitionen nehmen Sie folgende Einstellungen vor:


*EAP-Methode: PEAP
*Phase2-Authentifizierung: MSCHAPV2
*CA-Zertifikat: "T-TeleSec GlobalRoot Class 2"
*Benutzerzertifikat: (leer lassen)
*Domain: fernuni-hagen.de (bitte darauf achten, dass vor dem "de" kein Leerzeichen steht. Dieses könnte durch die Autokorrektur automatisch dort eingetragen werden)
*Identität: q1234567@fernuni-hagen.de  (persönlicher Benutzername bei der FernUni ergänzt um den Domänennamen fernuni-hagen.de)
*Anonyme Identität: eduroam@fernuni-hagen.de
*Passwort: (persönliches Kennwort zum Benutzernamen)
Klicken Sie auf „Verbinden“.
(''Hinweis:'' Falls es nicht klappt: In den Sicherheitseinstellungen muss anderen Anwendungen erlaubt sein, auf den „Anmeldedatenspeicher" zuzugreifen.)


'''Einrichtung der Verbindung zu eduroam'''


Im Sendebereich des eduroam-Netzwerkes (also an einer entsprechenden Uni) richtet man die Verbindung folgendermassen ein:
Über „Alle Programme“ auf „Einstellungen“ wechseln.
Mit „Drahtlos und Netzwerke“ zu den Auswahloptionen für die Drahtlos-Einstellungen wechseln. Hier überprüfen, dass das WLAN aktiv ist (nicht „Offline-Modus“).
Dann bei „WLAN-Einstellungen“ in die Auswahlliste für Funknetzwerke wechseln und das Netzwerk „eduroam" auswählen. Bei den Verbindungsdefinitionen folgende Einstellungen vornehmen:
*EAP-Methode: TTLS
*Phase2-Authentifizierung: PAP
*Root-Zertifikat: Deutsche Telekom Root CA auswählen
*Benutzerzertifikat: (leer lassen)
*Identität: q1234567@fernuni-hagen.de  (persönliche Kennung bei der FUHagen)
*Anonyme Identität: anonymous@fernuni-hagen.de
*Passwort: (persönliches Passwort zur Kennung)


Dann „Verbinden“ und evtl. das Passwort für den Zugriff auf die Anmeldeinfomationen eingeben.
'''Sicherheitshinweis'''
(''Hinweis:'' Falls es nicht klappt: In den Sicherheitseinstellungen muss anderen Anwendungen erlaubt sein, auf den „Anmeldedatenspeicher" zuzugreifen.)


[[Kategorie:Mobile Geräte]]
Ohne die Einbindung des Root-Zertifikats (s.o.) ist die Verbindung nicht ausreichend gesichert. Es wird dringend empfohlen, das Zertifikat - wie oben skizziert - zu nutzen.


[[Kategorie:Internet-Dienste]]
[[Kategorie:Internet-Dienste]]
[[Kategorie:Mobile_Geräte]]
[[Kategorie:Zugang_FUNet_Internet-Dienste]]
[[Kategorie:Zugang_FUNet_Internet-Dienste]]

Version vom 16. September 2021, 08:32 Uhr

Bitte haben Sie Verständnis dafür, dass wir bei der Vielzahl von Android-Geräten und Softwareversionen keinen offiziellen Support liefern können. Die folgenden Informationen sind deswegen auch eher allgemein formuliert.

Zertifikat installieren

Für den Zugang zu eduroam muss das Zertifikat „T-TeleSec GlobalRoot Class 2“ auf den Handy installiert werden. Das kann bereits vorab über WLAN oder eine Mobilfunk-Datenverbindung zu Hause oder unterwegs erfolgen.

Für die Installation des Zertifikats (Android < Version 11)

  • gehen Sie mit Ihrem Handy-Browser auf https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/rootcert.crt (QR Code s.u.).
  • Geben ihm beim Download einen Namen z. B.: "TeleSec GlobalRoot Class 2" ein und bestätigen das Installieren.
  • Während der Installation wird, sollte auf dem Handy noch nie eine Anmeldeinformation gespeichert worden sein, nach einem Anmeldeinformationsspeicherpasswort gefragt. Dieses Passwort muss erdacht und gut behalten werden – es ist für die Herstellung der Verbindung nötig.
  • Während der oben beschriebenen Zertifikats-Installation fragt Ihr Smartphone evtl. nach dem Verwendungszweck und schlägt als Voreinstellung "VPN und Apps" vor. Diese Einstellung muss manuell über die Auswahlliste in "WLAN" geändert werden, damit das TeleSec-Zertifikat bei der unten beschriebenen Einrichtung gefunden wird.

Installation unter Android 11

Unter Android 11 kann das Zertifikat nicht mehr direkt installiert werden, die Installation muss über "Einstellungen" erfolgen:

  • gehen Sie mit Ihrem Handy-Browser auf https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/rootcert.crt (QR Code s.u.) und laden Sie das Zertifikat herunter.
  • gehen Sie auf "Einstellungen" > "Biometrische Daten und Sicherheit" > "Andere Sicherheitseinstellungen" > "von USB-Speicher installieren" > "WLAN-Zertifikat"
  • wählen Sie den Ordner "Download" und dort das heruntergeladene Zertifikat aus. Klicken Sie auf "Fertig".
  • vergeben Sie einen Namen, z.B. "TeleSec GlobalRoot Class 2" und klicken Sie auf "OK".

https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/rootcert.crt

Einrichtung der Verbindung zu eduroam

Im Sendebereich des eduroam-Netzwerkes (also an einer entsprechenden Uni) richtet man die Verbindung folgendermaßen ein:

  • Wählen Sie die „Einstellungen“ für "WLAN".
  • Aktivieren Sie "WLAN"
  • Aus der Liste der "verfügbaren Netzwerke" wählen Sie das Netzwerk "eduroam" aus.

Bei den Verbindungsdefinitionen nehmen Sie folgende Einstellungen vor:

  • EAP-Methode: PEAP
  • Phase2-Authentifizierung: MSCHAPV2
  • CA-Zertifikat: "T-TeleSec GlobalRoot Class 2"
  • Benutzerzertifikat: (leer lassen)
  • Domain: fernuni-hagen.de (bitte darauf achten, dass vor dem "de" kein Leerzeichen steht. Dieses könnte durch die Autokorrektur automatisch dort eingetragen werden)
  • Identität: q1234567@fernuni-hagen.de (persönlicher Benutzername bei der FernUni ergänzt um den Domänennamen fernuni-hagen.de)
  • Anonyme Identität: eduroam@fernuni-hagen.de
  • Passwort: (persönliches Kennwort zum Benutzernamen)

Klicken Sie auf „Verbinden“.

(Hinweis: Falls es nicht klappt: In den Sicherheitseinstellungen muss anderen Anwendungen erlaubt sein, auf den „Anmeldedatenspeicher" zuzugreifen.)


Sicherheitshinweis

Ohne die Einbindung des Root-Zertifikats (s.o.) ist die Verbindung nicht ausreichend gesichert. Es wird dringend empfohlen, das Zertifikat - wie oben skizziert - zu nutzen.