Konfiguration GNU/Linux

Die eduroam Konfigurations-App „geteduroam“ ermöglicht Ihnen die sichere und korrekte Konfiguration des eduroam-WLAN mit nur wenigen Klicks. Dazu nutzt das Programm ein vom Rechenzentrum bereitgestelltes WLAN-Profil um die Konfiguration auf Ihrem PC, Notebook, Smartphone oder Tablet zu erstellen. Anschließend können Sie an allen eduroam-Standorten weltweit WLAN nutzen.

Unter GNU/Linux funktioniert die Installation mit CAT nur dann korrekt, wenn Sie NetworkManager nutzen (z.B. unter Debian, Ubuntu, Mint). Falls die Installation mit CAT nicht funktioniert, können Sie die Anleitung unter Manuelle Konfiguration nutzen.

Im folgenden wird die Konfiguration von eduroam unter GNU/Linux beschrieben.

Besuchen Sie die Webseite https://cat.eduroam.org und laden Sie das Installationsprogramm für die Hochschule Fulda herunter. Dazu klicken Sie bitte auf den großen Download-Button und wählen dann die Hochschule Fulda aus.


Auf der folgenden Seite wird nun der eigentliche Download für Ihr Betriebssystem angeboten. In der Regel wird Ihr Betriebssystem korrekt erkannt und Sie können auf den großen Download-Button klicken.

Falls Ihr Betriebssystem nicht korrekt erkannt wurde, können Sie über den Link unter dem Download-Button einen Download für ein anderes Betriebssystem wählen.


Bevor Sie das Programm benutzen können müssen Sie Rechte zum Ausführen erteilen. Sie können dies entweder in einem Terminal mit dem Kommando chmod oder mit dem grafischen Dateimanager durchführen.

Variante 1: Öffnen Sie ein Terminal und tippen Sie:

chmod +x ~/Downloads/eduroam-linux-Hochschule_Fulda.py

Variante 2: Im grafischen Dateimanager klicken Sie mit der rechten Maustaste auf die heruntergeladene Datei, wählen Sie Eigenschaften bzw. Properties und setzen Sie unter Rechte bzw. Permissions das Häckchen bei Ausführen erlauben bzw. Allow executing file as program.


Führen Sie nun die Installation durch, indem Sie die Datei mit einem Doppelklick um das Programm zu starten. Nach der Begrüßung durch das Installationsprogramm werden Ihnen einige Dialoge angezeigt, in die ihre Benutzerdaten (fd-Nummer und Passwort) abfragen. Nach Abschluss des Installationsprogramms ist eduroam konfiguriert.

Bitte beachten Sie, dass an den Benutzernamen @hs-fulda.de (Beispiel: fdsk1243@hs-fulda.de) angehängt werden muss.
Die manuelle Konfiguration mit NetworkManager ist auch weiterhin möglich, sie erreicht jedoch nicht das Sicherheitsniveau, das die Konfiguration mittels eduroam CAT bietet.

Öffnen Sie die Übersicht der WLAN-Netze über das Symbol in der Taskleiste oder über das Einstellungsmenü, wählen Sie das WLAN-Netz eduroam.

Das folgende Formular füllen Sie bitte aus, wie in der Abbildung dargestellt.

  • WiFi-Sicherheit: WPA2 Enterprise
  • EAP-Methode: PEAP
  • Anonyme Identität: eduroam@hs-fulda.de
  • Domain: hs-fulda.de
  • CA-Zertifikat: /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem
  • Phase-2- bzw. Inner-Authentifizierung: MSCHAPv2
  • Identität: fdXXYYYY@hs-fulda.de
  • Passwort: fd-Passwort
Das CA-Zertifikat wird verwendet, um sicherzustellen, dass Sie mit einem legitimen eduroam-Netzwerk verbinden und Ihre Anmeldedaten nicht versehentlich an einen Angreifer übertragen werden. Das Zertifikat ist auf GNU/Linux Betriebssystemen bereits vorinstalliert und befindet sich im Verzeichnis /etc/ssl/certs.



Falls Sie NetworkManager auf der Kommandozeile nutzen (nmcli), dann können Sie folgendes Kommando verwenden:

nmcli connection add type wifi con-name eduroam ifname <WLAN-INTERFACE> ssid "eduroam" -- \
  wifi-sec.key-mgmt wpa-eap \
  802-1x.eap peap \
  802-1x.phase2-auth mschapv2 \
  802-1x.domain-suffix-match hs-fulda.de \
  802-1x.ca-cert /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem \
  802-1x.anonymous-identity eduroam@hs-fulda.de \
  802-1x.identity <FD-NUMMER>@hs-fulda.de \
  802-1x.password <FD-PASSWORT>
Bitte ersetzen Sie <FD-NUMMER>, <FD-PASSWORT> und <WLAN-INTERFACE> durch die für Sie richtigen Werte.
Falls das Zertifikat auf Ihrem Gerät nicht bereits an der angegebenen Stelle /etc/ssl/certs verfügbar ist, können Sie dieses hier herunterladen.
Als Alternative zur Verwendung eines grafischen Tools (z.B. NetworkManager) ist auch eine manuelle Konfiguration möglich. Zum Einsatz kommt in diesem Fall das Systemprogramm wpa_supplicant, das die Konfigurationsdatei wpa_supplicant.conf (i.d.R. /etc/wpa_supplicant/wpa_supplicant.conf) nutzt.
Vorteil bei der manuellen Konfiguration ist die Möglichkeit, zusätzliche Sicherheitsfunktionen (z.B. die Überprüfung des Domainnamen im Zertifikat des RADIUS-Server) zu konfigurieren. Falls Ihre GNU/Linux Distribution regulär den NetworkManager nutzt, sollten Sie versuchen, eduroam mit Hilfe des NetworkManager einzurichten, bzw. die Konfigurationsdatei des NetworkManager (z.B. /etc/NetworkManager/system-connections) nachträglich zu editieren.

Der wpa_supplicant läuft im Hintergrund und belegt das WLAN-Interface. Damit man den wpa_supplicant manuell starten kann, müssen ggf. der NetworkManager gestoppt und laufende wpa_supplicant-Prozesse beendet werden (je nach Distribution etwa: „/etc/init.d/network-manager stop“ und „killall wpa_supplicant“). Die Konfigurationsdatei für den wpa_supplicant kann z.B. unter /etc/wpa_supplicant/wpa_supplicant.conf gespeichert werden.

Konfiguration

Die folgenden Parameter müssen in der Konfigurationsdatei angepasst werden:

  • identity = Benutzerkennung (hier: fdXXXX@hs-fulda.de)
  • password = Das zur Benutzerkennung zugehörige Passwort


PEAP/MSCHAPv2

ctrl_interface=/var/run/wpa_supplicant
ap_scan=1

network={
    ssid="eduroam"
    key_mgmt=WPA-EAP
    eap=PEAP
    phase2="auth=MSCHAPV2"
    ca_cert="/etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem"
    altsubject_match="DNS:radius.rz.hs-fulda.de"
    anonymous_identity="eduroam@hs-fulda.de"
    identity="fdXXXX@hs-fulda.de"
    password="XXXXXXXX"
}


Die Option domain_suffix_match ist nur bei neueren Versionen von wpa_supplicant verfügbar. Sie stellt sicher, dass Sie mit dem RADIUS-Server der Hochschule Fulda und nicht mit irgendeinem anderen RADIUS-Server mit gültigem Zertifikat kommunizieren

Überprüfen Sie ggf. ob das unter ca_cert angegebene Zertifikat auf Ihrem System existiert.

Verbindung manuell starten

Die folgenden Kommandos können Ihnen dabei helfen, eine Verbindung zum WLAN herstellen. Konsultieren Sie ggf. die Dokumentation der von Ihnen verwendeten GNU/Linux Distribution.

Ermitteln des WLAN-Interface-Namen (hier: wlan0):

sudo -u root iwconfig

Herstellen der Verbindung zum WLAN Interface wlan0:

sudo -u root wpa_supplicant -c /etc/wpa_supplicant/wpa_supplicant.conf -i wlan0 -D wext &

Anfordern einer IP-Adresse für das WLAN Interface wlan0 via DHCP:

sudo -u root dhclient wlan0


Bei Systemstart starten

Einige Distributionen (z.B. Ubuntu und Debian) können so konfiguriert werden, dass die Verbindung zum eduroam-WLAN automatisch beim Starten des Betriebssystems hergestellt wird. Dazu ist die Datei /etc/network/interfaces, wie folgt zu erweitern.

auto wlan0
iface wlan0 inet dhcp
    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf 

Geschafft: Nach Abschluss der Installation wuerde ein WLAN-Profil für eduroam hinterlegt und Ihr Gerät kann zum eduroam WLAN verbinden.

Bei der ersten Anmeldung am WLAN kann es einige Sekunden dauern, bis die Verbindung aufgebaut wird.