Zur Hauptnavigation / To main navigation

Zur Sekundärnavigation / To secondary navigation

Zum Inhalt dieser Seite / To the content of this page

Sekundärnavigation / Secondary navigation

Inhaltsbereich / Content

Konfiguration für Linux

1. Graphische Konfiguration

... mit dem NetworkManager

Falls Sie den NetworkManager zur graphischen Verwaltung Ihrer Netzwerkverbindungen verwenden, können Sie hiermit auch ein Profil für das eduroam Wireless LAN einrichten. NetworkManager ist Bestandteil jeder aktuellen Linux-Distribution und oftmals mit den graphischen Oberflächen GNOME oder KDE vorinstalliert.

Vor der Konfiguration sollten Sie sicherstellen, dass das CA-Zertifikat "Deutsche Telekom Root CA 2" in Ihrem Zertifikatspeicher enthalten ist (dieser wird z.B. unter Debian GNU Linux, Ubuntu oder Kubuntu mit dem Paket "ca-certificates" bereitgestellt und ist in /etc/ssl/certs/ zu finden).

Falls Ihre Distribution dies nicht bietet, bitte das Zertifikat herunterladen und nach /etc/ssl/certs/ kopieren:

Weitere Informationen zur PKI des RHRK sowie die Fingerprints zur Validierung der Zertifikate erhalten Sie hier.

Um ein neues Profil zur Nutzung des eduroam Wireless LANs anzulegen, bitte die rechte Maustaste über dem NetworkManager-Taskleisten-Symbol klicken und "Verbindungen bearbeiten" wählen. Dort ein neues "Funknetzwerk" anlegen. Nehmen Sie dort bitte folgende Einstellungen vor:

Wichtig: Die "Anonyme Identität" muss "anonymous@uni-kl.de" lauten und darf nicht geändert werden. Bei "Benutzername" hingegen ersetzen Sie bitte "username" durch Ihren RHRK-Benutzernamen, der von "@rhrk.uni-kl.de" gefolgt werden muss. Das zu verwendende Passwort ist Ihr RHRK-Passwort. Das "CA-Zertifikat" ist das oben beschriebene Zertifikat der "Deutschen Telekom Root CA 2".

Falls man die Checkbox "Automatisch verbinden" nicht ausgewählt hat, muss man das Netzwerk "eduroam" aus der Liste der verfügbaren Netzwerke jedes Mal auswählen, um eine Verbindung damit herzustellen.

 

2. Text-basiert

... nicht distributionsspezifisch

Benötigt werden zunächst ein 802.1X Supplicant (wpa_supplicant) sowie das bereits bei der graphischen Konfiguration mit NetworkManager beschriebene CA-Zertifikat "Deutsche Telekom Root CA 2". Bitte installieren Sie den wpa_supplicant mit dem Paketmanager Ihrer Linux-Distribution. Falls das CA-Zertifikat nicht in Ihrem Zertifikatspeicher enthalten ist, bitte herunterladen und nach /etc/ssl/certs/ kopieren:

Als nächstes laden Sie bitte nachfolgende Konfigurationsdatei für den wpa_supplicant herunter und kopieren Sie diese nach /etc/wpa_supplicant/:

Bitte ersetzen Sie in dieser Datei den Platzhalter "username" bei "identity" durch Ihren RHRK-Benutzernamen. In der nachfolgenden Zeile wird Ihr RHRK-Passwort eingetragen. Bitte verifizieren Sie auch, ob der Dateiname bei "ca_cert" für das zuvor von Ihnen installierte CA-Zertifikat korrekt eingetragen ist.

Die Verbindung zum eduroam Wireless LAN erfolgt dann (als root!) manuell mit folgenden Befehlen (unter der Annahme, dass Ihr Wireless-LAN-Interface "wlan0" heisst):

$ ip link set dev wlan0 up

$ wpa_supplicant -i wlan0 -D wext -B -c /etc/wpa_supplicant/eduroam.conf

Nach einer Meldung wie "CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully" besteht die Wireless-LAN-Verbindung und es kann eine IP-Adresse per DHCP bezogen werden:

$ dhclient wlan0

3. Text-basiert, spezifisch

... für Debian GNU Linux, Ubuntu oder Kubuntu

diese Beschreibung dient zur Konfiguration des eduroam-Zugangs mit Hilfe des Debian GNU Linux spezifischen ifup/ifdown - Mechanismus ohne graphische Hilfsmittel.

Benötigt werden zunächst ein 802.1X Supplicant (wpa_supplicant) sowie die Wurzelzertifikate der RHRK PKI. Der wpa_supplicant ist im offiziellen Debian Archiv verfügbar. Zur besseren Systemintegration der RHRK Wurzelzertifikate haben wir hierzu ein eigenes Paket erstellt und in unserem lokalen Debian Archiv abgelegt. Dieses lokale Archiv muss zunächst als zusätzliche APT-Quelle eingetragen werden:

$ cat > /etc/apt/sources.list.d/stable-unikl.list
#
# local stable uni-kl archive
#
deb	http://ftp.uni-kl.de/debian-local stable-unikl main
deb-src	http://ftp.uni-kl.de/debian-local stable-unikl main
<CTRL-D>

Nun die benötigten Pakete installieren:

$ apt-get update
$ apt-get install unikl-debian-archive-keyring
$ apt-get update
$ apt-get install wpasupplicant rhrk-certificates

Anschliessend sollte mittels ca-certificates definiert werden, welche CA-Zertifikate als vertrauenswürdig zu betrachten sind:

$ dpkg-reconfigure ca-certificates

Trust new CAs certificates bitte mit no oder ask beantworten. In der Auswahlliste Select certificates to activate empfehlen wir, nur die mit rhrk.uni-kl.de/ beginnenden Zertifikate auszuwählen.

Konfiguration

Die weitere Konfiguration ist in /etc/network/interfaces abzuwickeln. Dazu muss dort ein neues Interface definiert werden. Um flexibel unterschiedlichste Wireless-Zugänge verwalten zu können, sollte dies über ein logisches Interface erledigt werden. Dazu bitte folgende Einträge in /etc/network/interfaces anlegen:

iface wlan-eduroam inet dhcp
        wpa-driver      <driver>
        wpa-proto       WPA2
        wpa-ssid        eduroam
        wpa-group       CCMP
        wpa-pairwise    CCMP
        wpa-key-mgmt    WPA-EAP
        wpa-eap         TTLS
        wpa-ca-cert     /etc/ssl/certs/ca-certificates.crt
        wpa-anonymous-identity  anonymous@uni-kl.de
        wpa-phase2      "auth=PAP"
        wpa-identity    <RHRK username>@rhrk.uni-kl.de
        wpa-password    <RHRK password>

Welcher wpa-driver verwendet werden muss, hängt von der Wireless-Karte ab. Für viele Karten sollten es die Linux wireless extensions (generic) tun, was durch den wpa-driver wext definiert wird. Im Zweifelsfall bitte in der wpa_supplicant Manpage nachlesen.

Der Verbindungsaufbau erfolgt durch Eingabe von ifup eth1=wlan-eduroam, sofern die Wireless-Karte eth1 ist.

Anmerkung

Ein offensichtlicher Nachteil dieser Lösung ist, dass das Passwort im Klartext gespeichert wird. Es besteht aber die Möglichkeit, auf den Eintrag wpa-password in /etc/network/interfaces zu verzichten und das Passwort beim Verbindungsaufbau manuell einzugeben. Dazu muss (z.B. in einem anderen Terminal-Fenster) das wpa_cli gestartet werden. Beim Aktivieren des Interfaces sollte dort eine Meldung wie CTRL-REQ-PASSWORD-0:Password needed for SSID eduroam erscheinen. Das Passwort kann dem wpa_supplicant nun durch Eingabe von password 0 <RHRK password> übermittelt werden. Bitte beachten, dass anstatt der 0 auch eine andere ID angezeigt werden kann, die entsprechend bei den Antwort eingegeben werden muss. Ein vernünftiger pinentry-Mechanismus fehlt dem wpa_supplicant momentan leider noch. Alternativ kann die Konfiguration auch mittels graphischer Hilfsmittel wie networkmanager erstellt werden.