Authentifizierungsmöglichkeiten mit IEEE 802.1x unter Windows im URZ-Netz zur Erlangung des Netzzugangs in eduroam
Mit eduroam gibt es die Möglichkeit,
seinen mit WLAN ausgestatteten Rechner ins Netz der Bildungseinrichtung zu bekommen.
Dies hat einige Vorteile gegenüber dem VPN-Client,
da jener die Kommunikation zu anderen Netzschnittstellen während seines Betriebs verhindert
und im Verdacht für Rechnerabstürze in Form von „Einfrieren“ steht.
Außerdem ist die Erreichbarkeit von VPN-Konzentratoren anderer Bildungseinrichtungen nicht gewährleistet.
Zugangsdaten können auf dem lokalen Rechner nicht gespeichert werden.
Update: Es wird seit kurzem auch ein
Anyconnect-Client
zur Verfügung für Windows 2000 bis 7 (nach Auskunft sowohl für 32 wie für 64 bit-Systeme in einer
.msi)
als auf für Linux und MacOS, welcher einige Vorteile haben soll.
Bislang wurde er nur an- aber noch nicht ausgetestet.
Die notwendigen Daten werden durch das Programm vom Server
vpngate.hrz.tu-chemnitz.de geholt,
welcher auch über das ungesicherte Funknetz erreichbar ist.
Die Verhinderung von Netzverbindungen über parallele Netzwerkverbindungen
— auch für einzelne Protokolle — ist trotz der Option
„Enable local LAN access (if configured)“ nicht auszuschließen.
Update: Das URZ hat die Verwendung von
802.11b
abgeschaltet. Bitte einer neuere Karte verwenden.
Durch die Nutzung von
802.1x ergeben sich Vorteile.
Es werden unterschiedliche Authentifizierungsmethoden (welche genau ist noch unbekannt)
angeboten, wobei die beiden wichtigsten wohl
PAP über
EAP-TTLS und
EAP-MSCHAPv2 über PEAP sind. Nach einer Erklärung wird bei PAP über TTLS der Nutzername und das Passwort im Klartext über eine getunnelte Verbindung versendet, wärend bei de MSCHAPv2 das Passwort zusammen mit einer Zufallszahl gehasht und nur dieser Hash übertragen wird.
Der im Windows eingebaute Supplikant
Der in Windows ab 2000 SP4 (ungetestet) und XP SP2 (ungetestet) sowie bei allen Vista und 7-Versionen eingebaute
Supplikant
(Bittsteller, der für den Nutzer die Verbindung aufbaut) beherrscht nur MSCHAPv2 und ist außerdem eher ungeeignet für einen Mehrnutzerpraktikumsplatz,
da die Konfiguration nach ersten Tests nur im Gesamten durchlaufen werden kann. Entweder man richtet jedesmal alles ein
oder die Zugangsdaten werden mit auf dem Rechner gespeichert. Dafür ist er für amd64-Versionen der einzig bekannte Supplikant für alle Karten.
SecureW2-Client
Mit dem SecureW2 Client, im Original wohl mal von
Alfa & Ariss stammt, wie man
auf dieser Seite sehen kann,
steht eine Alternative zur Verfügung,
die auch das offensichtlich von den eduroam-Betreibern bevorzugte EAP-TTLS unterstützt.
Außerdem kann dieser, wie in den Bildern ersichtlich,
teilkonfiguriert werden und präsentiert dann jedes Mal ein Login-Fenster.
Seine Existenz wird aber von den Herstellern nicht mehr publiziert.
Wichtig bei der Installation ist, dass Windows das Netz nach der Konfiguration selbst finden muss
und nicht per Auswahl darauf gedrängt werden darf,
da sonst die Verschlüsselung über „WEP“ auf „Offen“ zurückgeschaltet wird,
was dazu führt, dass es erst recht nicht funktioniert.
Lieber mal den Rechner neu starten lassen.
Dieser Supplikant ist nur für die x86-Versionen von Windows XP ab SP2 und Windows Vista.
Ob er auch unter Windows 7 funktioniert ist nicht bekannt.
Im Verzeichnis System32 kann die Datei sw2_ttls_res.dll ausgetauscht werden,
am besten zwischen Installation und Neustart.
Andernfalls klappt das Überschreiben nur durch Umbenennen der vorhandenen Datei,
Kopieren der neuen (gepatchten) Datei ins Zielverzeichnis und Neustart.
Die Ressource wurde per Resource Hacker verändert.
Weitere Veränderungen wie die Abänderung des Logos (Bitmap) in eines der Bildungseinrichtung sind durchaus möglich.
Weitere Supplikanten
Open1X
Daneben existiert noch der Open1X-Supplikant,
der aber noch nicht zur Funktion im URZ gebracht werden konnte (wer ihn in einer Windows-Version in Funktion hat, bitte melden).
Open1X soll auch eine Kopplung mit pGina beinhalten, welche aber ebenfalls ungetestet ist.
AEGIS
Desweiteren existiert auch der AEGIS-Client,
der in Bielefeld gefunden wurde.
Zu dem gibt es auch noch ein,
zwei Anleitungen.
Der Lizenzstatus dieser Software und damit die Legalität ihres Einsatzes ist unbekannt.
Bei der Installation kam es dazu, dass die msgina.dll als GINA in der Registry eingetragen wurde,
was den schnellen Benutzerwechsel deaktiviert.
Dies kann mit dieser Anleitung von Microsoft rückgängig gemacht werden.
(Wer es hinbekommen hat, unter Windows 2k SP4 oder XP SP1 eine Verbindung zu eduroam aufzubauen, bitte melden.)
Intel PROSetWireless
Beschreibung für XP siehe URZ (brauchbare Grafiken). Für Vista und Windows 7 bietet die Installation des passenden Paketes von Intel einen weiteren Sicherheitstyp: „Intel - CCKM - Unternehmen“ und weitere Methoden für die Netzwerkauthentifizierung, u.a. „Intel: EAP-TTLS“.
Leider kam es auf dem Rechner mit Intel Wireless-WiFi-Link 4965AGN und damit der Nutzung von PROSetWireless sowie den installierte Betriebssystemen Windows XP SP3 32 bit und Vista SP2 64 bit unter XP vereinzelt und unter Vista sehr häufig nach einem „Das Herstellen der Verbindung mit dem Netzwerk dauert länger als gewöhnlich“ zu einem Ausbleiben von DHCP nach erfolgter Authentifizierung. Die Ursache dafür ist unklar. Es können daher für diesen Spezialfall keine Tipps gegeben werden, da deren reproduzierbarer Erfolg nicht festgestellt werden konnte.
Intel hat vermutlich den Support für ihr PROSetWireless und XP eingestellt.
Die letzte Version mit der Versionsbezeichnung 12.4.4.0 habe ich bei Intel (dort als Basic Enterprise bezeichnet) sowie Computerbase und die Version 12.4.3.0 bei PCGamesHardware gefunden. Falls es jemand erfolgreich ausprobiert hat, bitte melden.
Dokumentation des URZ und anderer Einrichtungen
Die Beschreibung der Installation von eduroam im URZ liegt
dort
leider für SecureW2 ohne Bilder,
deshalb auf dieser Seite eine Bildersammlung (Beschreibung noch unvollständig)
NameLast modifiedSizeDescriptionDevMgr.png 2011-01-31 11:06 27K Wenn überhaupt kein eduroam zu sehen ist, ist vielleicht die WLAN-Karte kastriert worden, siehe Geräte-Manager
Eduroam-Intel-Login.png 2010-06-18 14:19 7.4K Login-Dialog des Intel PROSetWireless-Supplikanten unter XP
hinweis.txt 2010-06-25 20:35 1.5K
SecureW2_XP-Vista_TTLS_333.exe 2010-03-29 03:04 253K Installationsprogramm, gefunden in der Uni Jena
sw2-01.png 2010-06-11 11:45 26K WPA2 ohne PSK ist wichtig
sw2-02.png 2010-06-11 11:45 23K Nach der Installation erscheint hier SecureW2
sw2-03.png 2010-06-11 11:45 21K unbedingt Haken setzen - nur über den Automatismus ist Verbindung möglich
sw2-04.png 2010-06-11 11:46 28K Standardansicht bei Eigenschaften
sw2-05.png 2010-06-11 11:47 8.7K Es ist egal ob die Anonyme äußere Identität oder anonymous@tu-chemnitz.de als Äußere Identität verwendet wird
sw2-06.png 2010-06-11 11:48 9.2K unbedingt Deutsche Telekom Root CA 2 auswählen - darauf basieren alle Zertifikate des DFN
sw2-07.png 2010-06-11 11:48 9.3K Der Servername radius.tu-chemnitz.de ist zu verwenden
sw2-08.png 2010-06-11 18:17 8.4K
sw2-09-1.png 2010-06-11 11:49 8.6K Standarddialog - bei jedem Login muss alles eingetippt werden
sw2-09-2.png 2010-06-11 11:50 8.6K vollständig ausgefüllt - das Login erfolgt vollautomatisch wenn WLAN vorhanden ist
sw2-09-3.png 2010-06-11 11:51 8.7K Durch temporäres Entfernen des Hakens kann die Domäne eingetragen werden - Erspart Schreibarbeit
sw2-10.png 2010-06-11 11:51 9.5K Die erweiterte Konfiguration wird nicht angetastet
sw2-11.png 2010-06-11 11:52 5.8K Den Automatismus für camo entfernen - bleibt als Rückfallebene
sw2-12-1.png 2010-06-11 11:53 9.5K Alles konfiguriert
sw2-12-2.png 2010-06-19 06:37 9.4K
sw2-13.png 2010-06-11 11:54 3.0K Das Netz wurde erkannt und auf die Passworteingabe gewartet - draufklicken
sw2-14.png 2010-06-11 11:55 8.0K Leider erscheint das falsche Fenster vor dem richtigen
sw2-15.png 2010-06-11 11:56 7.4K Login-Dialog schon mit Domäne
sw2-16.png 2010-06-11 11:56 7.2K Die Anmeldung läuft durch
sw2-17.png 2010-06-11 11:57 7.4K geschafft
sw2-18.png 2010-06-11 11:59 7.1K WLAN wurde konfiguriert
sw2-19.png 2010-06-11 11:59 5.7K DHCP hat ganze Arbeit geleistet
sw2_ttls_res.dll 2007-09-05 13:26 144K Gepatchte Ressourcen (Reihenfolge der Dialogelemente, Hotkeys), deutsch
Vista-01-1.png 2010-06-24 10:30 15K Dialogfenster zur Auswahl eines Netzwerkes
Vista-01-2.png 2010-06-24 10:30 14K Login in eduroam hat funktioniert
Vista-02.png 2010-06-25 10:44 9.0K Eigenschaften von eduroam nach automatischer Konfiguration Teil 1
Vista-03-1.png 2010-06-25 10:45 9.2K Eigenschaften von eduroam nach automatischer Konfiguration (PROSetWireless-Einfluss) Teil 2
Vista-03-2.png 2010-06-24 11:26 9.0K Eduroam ohne Zusätze von PROSetWireless
Vista-03-3.png 2010-06-24 11:24 9.0K Nutzung des PROSetWireless-Supplikanten
Vista-04.png 2010-06-24 10:25 7.7K Konfiguration des PROSetWireless-Supplikanten (EAP-TTLS) Teil 1
Vista-05.png 2010-06-24 10:26 7.8K Konfiguration des PROSetWireless-Supplikanten (EAP-TTLS) Teil 2
Vista-06-1.png 2010-06-24 10:19 7.9K Verbindungsherstellung über den PROSetWireless-Supplikanten leer
Vista-06-2.png 2010-06-24 10:20 7.5K Verbindungsherstellung über den PROSetWireless-Supplikanten gefüllt
Vista-06-3.png 2010-06-25 10:37 14K Verbindungsherstellung über den Microsoft-Supplikanten leer
Vista-06-4.png 2010-06-24 11:49 14K Verbindungsherstellung über den Microsoft-Supplikanten gefüllt
Vista-07-1.png 2010-06-25 10:49 14K Eigenschaften des Microsoft-Supplikanten (PEAP)
Vista-07-2.png 2010-06-24 10:29 14K Eigenschaften des Microsoft-Supplikanten (PEAP) mit radius-Eintrag
Vista-08.png 2010-06-24 10:29 5.3K wenn das Rechner-Login nicht mit dem Nutzerkennzeichen übereinstimmt, lieber deaktiviert lassen.
vista-09.png 2010-06-25 10:31 27K unter „Drahtlosnetzwerke verwalten sind die gespeicheten Einstellungen der Netzwerke vermerkt“
Vista-10-1.png 2010-06-25 10:33 14K noch kein Drahtlosnetzwerk gespeichert
Vista-10-2.png 2010-06-25 10:31 19K camo und web-psk sind eingerichtet und auf Manuell gesetzt
Vista-10-3.png 2010-06-25 10:43 17K eduroam ist abgespeichert
Vista-11-1.png 2010-06-25 10:36 12K Bei der Verbindungseinrichtung zu eduroam verlangt Vista nach den Zugangsdaten
Vista-11-2.png 2010-06-25 10:37 12K Bei der Verbindungseinrichtung zu eduroam verlangt Vista nach der Zertifikatsbestätigung
Vista-11-3.png 2010-06-25 10:38 13K mit überlagertem Serverzertifikatsfenster
Vista-11-4.png 2010-06-25 10:38 7.0K Serverzertifikatsfenster allein
Vista-11-5.png 2010-06-25 10:41 9.7K Die Authentifizierung läuft
Vista-11-6.png 2010-06-25 10:35 8.4K So wandert eduroam in die Liste der Drahtlosnetzwerke - mitsamt NKZ und Passwort
Vista-11-7.png 2010-06-25 11:06 11K Da klappt wohl was mit dem DHCP nicht
Vista-12-1.png 2010-06-25 10:39 9.4K Das Server-Zertifikat Teil 1
Vista-12-2.png 2010-06-25 10:40 10K Das Server-Zertifikat Teil 2
Vista-12-3.png 2010-06-25 10:40 8.5K Das Server-Zertifikat Teil 3
Name Last modified Size Description![[IMG]](/icons/image2.gif){kind=icon}
DevMgr.png 2011-01-31 11:06 27K Wenn überhaupt kein eduroam zu sehen ist, ist vielleicht die WLAN-Karte kastriert worden, siehe Geräte-Manager
![[TXT]](/icons/text.gif){kind=icon}
hinweis.txt 2010-06-25 20:35 1.5K
![[ ]](/icons/binary.gif){kind=icon}
SecureW2_XP-Vista_TTLS_333.exe 2010-03-29 03:04 253K Installationsprogramm, gefunden in der Uni Jena
![[ ]](/icons/unknown.gif){kind=icon}
sw2_ttls_res.dll 2007-09-05 13:26 144K Gepatchte Ressourcen (Reihenfolge der Dialogelemente, Hotkeys), deutsch