eduroam an der TU Kaiserslautern

2008-02-16 by Thomas Fischer [de]

Hier an der TU wird momentan das WLAN-System von dem proprietären Cisco-Client auf eduroam umgestellt. Bei eduroam handelt es sich um ein Netzwerk aus verschieden Lehr- und Forschungseinrichtungen in Europa und Asien, dass die Nutzung von WLAN-Zugängen an allen Standorten mit den gleichen Zugangsdaten wie an der Heimatuniversität erlaubt. Angehörigen der TU Kaiserslautern nutzen dafür ihren RHRK-Zugang.

Bisher benutze ich vpnc. Da das Cisco-System aber mittelfristig auslaufen soll, habe ich mich heute mit eduroam und wpa_supplicant beschäftigt. Unter Linux und anderen Betriebssystemen wird der Linux WPA/WPA2/IEEE 802.1X Supplicant zum Aufbau von WPA/WPA2-Verbindungen benutzt. Distributionen packen bunte GUIs darauf, aber der Kern ist immer gleich. Wie wpa_supplicant auf der eigenen Maschine installiert wird, da schaut man am besten bei der eigenen Distribution nach. Bei meiner Lieblingsdistribution Gentoo möchte ich auf die hervorragende Dokumentation verweisen.

Unabhängig von der Distribution müssen in die Konfigurationsdatei von wpa_supplicant die Zugangsdaten für eduroam eingetragen werden. Die Konfigurationsdatei heißt üblicherweise wpa_supplicant.conf und liegt unter /etc/ oder /etc/wpa_supplicant/. Für jeden WPA/WPA2-Zugang gibt es eine eigene Sektion. Für eduroam legen wir eine neue Sektion an:

network={
   ssid="eduroam"
   proto=WPA2
   key_mgmt=WPA-EAP
   eap=TTLS
   anonymous_identity="anonymous@uni-kl.de"
   ca_cert="/etc/wpa_supplicant/eduroam.pem"
   identity="XXXXXX@rhrk.uni-kl.de"
   password="YYYYYY"
   phase2="auth=PAP"
}

An die Stelle von XXXXXX muss der eigene RHRK-Benutzername eingetragen werden, an die Stelle von YYYYYY kommt das Passwort. Aus Sicherheitsgründen sollte die Datei nur für root les- und schreibbar sein.

Die Zertifikatdatei eduroam.pem muss man sich per Hand aus den drei vom RHRK vorgegebenen Zertifikaten selber zusammenbasteln. Die Zertifikate sind ausgestellt auf Deutsche Telekom, DFN und RHRK. Zum Umwandeln der drei Zertifikate reicht eine einzige Zeile:

( openssl x509 -inform der -in g_intermediatecacert.cer
  openssl x509 -inform der -in g_rootcert.cer
  openssl x509 -inform der -in g_cacert.cer ) >eduroam.pem

Das Ganze kann man per Hand testen (Parameter bitte anpassen):

wpa_supplicant -Dwext -ieth1 -c
/etc/wpa_supplicant/wpa_supplicant.conf -dd

Da kommen eine Menge Ausgaben, aber wenn eine Zeile mit CTRL-EVENT-CONNECTED auftaucht, hat alles geklappt. Ansonsten die Fehlermeldung in die Suchmaschine der Wahl stecken oder Dokumentation lesen.

Update vom 30.01.2009

Markus Schweitzer hat mich darauf aufmerksam gemacht, daß die Anleitung einen kleinen Fehler enthält. Leider habe ich z.Z. nicht die Möglichkeit, es direkt zu überprüfen. Daher hier die Anmerkung von Markus:

Bei dem Erzeugen der Zertifikatkette stimmt die Reihenfolge nicht. Zuerst muss das Root-, dann das Intermediate-, dann das andere Zertifikat.

Keywords: University, Linux
Trackback-URL: http://www.t-fischer.net/blog/20080216_eduroam_an_der_TU_Kaiserslautern

Writing comments is currently not possible. Feel free to write me an email to the address shown on my homepage.