Authentifizierungsmöglichkeiten mit IEEE 802.1x unter Windows im URZ-Netz zur Erlangung des Netzzugangs in eduroam

Mit eduroam gibt es die Möglichkeit, seinen mit WLAN ausgestatteten Rechner ins Netz der Bildungseinrichtung zu bekommen. Dies hat einige Vorteile gegenüber dem VPN-Client, da jener die Kommunikation zu anderen Netzschnittstellen während seines Betriebs verhindert und im Verdacht für Rechnerabstürze in Form von „Einfrieren“ steht. Außerdem ist die Erreichbarkeit von VPN-Konzentratoren anderer Bildungseinrichtungen nicht gewährleistet. Zugangsdaten können auf dem lokalen Rechner nicht gespeichert werden.

Update: Es wird seit kurzem auch ein Anyconnect-Client zur Verfügung für Windows 2000 bis 7 (nach Auskunft sowohl für 32 wie für 64 bit-Systeme in einer .msi) als auf für Linux und MacOS, welcher einige Vorteile haben soll. Bislang wurde er nur an- aber noch nicht ausgetestet. Die notwendigen Daten werden durch das Programm vom Server vpngate.hrz.tu-chemnitz.de geholt, welcher auch über das ungesicherte Funknetz erreichbar ist. Die Verhinderung von Netzverbindungen über parallele Netzwerkverbindungen — auch für einzelne Protokolle — ist trotz der Option „Enable local LAN access (if configured)“ nicht auszuschließen.

Update: Das URZ hat die Verwendung von 802.11b abgeschaltet. Bitte einer neuere Karte verwenden.

Durch die Nutzung von 802.1x ergeben sich Vorteile. Es werden unterschiedliche Authentifizierungsmethoden (welche genau ist noch unbekannt) angeboten, wobei die beiden wichtigsten wohl PAP über EAP-TTLS und EAP-MSCHAPv2 über PEAP sind. Nach einer Erklärung wird bei PAP über TTLS der Nutzername und das Passwort im Klartext über eine getunnelte Verbindung versendet, wärend bei de MSCHAPv2 das Passwort zusammen mit einer Zufallszahl gehasht und nur dieser Hash übertragen wird.

Der im Windows eingebaute Supplikant

Der in Windows ab 2000 SP4 (ungetestet) und XP SP2 (ungetestet) sowie bei allen Vista und 7-Versionen eingebaute Supplikant (Bittsteller, der für den Nutzer die Verbindung aufbaut) beherrscht nur MSCHAPv2 und ist außerdem eher ungeeignet für einen Mehrnutzerpraktikumsplatz, da die Konfiguration nach ersten Tests nur im Gesamten durchlaufen werden kann. Entweder man richtet jedesmal alles ein oder die Zugangsdaten werden mit auf dem Rechner gespeichert. Dafür ist er für amd64-Versionen der einzig bekannte Supplikant für alle Karten.

SecureW2-Client

Mit dem SecureW2 Client, im Original wohl mal von Alfa & Ariss stammt, wie man auf dieser Seite sehen kann, steht eine Alternative zur Verfügung, die auch das offensichtlich von den eduroam-Betreibern bevorzugte EAP-TTLS unterstützt. Außerdem kann dieser, wie in den Bildern ersichtlich, teilkonfiguriert werden und präsentiert dann jedes Mal ein Login-Fenster. Seine Existenz wird aber von den Herstellern nicht mehr publiziert.

Wichtig bei der Installation ist, dass Windows das Netz nach der Konfiguration selbst finden muss und nicht per Auswahl darauf gedrängt werden darf, da sonst die Verschlüsselung über „WEP“ auf „Offen“ zurückgeschaltet wird, was dazu führt, dass es erst recht nicht funktioniert. Lieber mal den Rechner neu starten lassen. Dieser Supplikant ist nur für die x86-Versionen von Windows XP ab SP2 und Windows Vista. Ob er auch unter Windows 7 funktioniert ist nicht bekannt.
Im Verzeichnis System32 kann die Datei sw2_ttls_res.dll ausgetauscht werden, am besten zwischen Installation und Neustart. Andernfalls klappt das Überschreiben nur durch Umbenennen der vorhandenen Datei, Kopieren der neuen (gepatchten) Datei ins Zielverzeichnis und Neustart. Die Ressource wurde per Resource Hacker verändert. Weitere Veränderungen wie die Abänderung des Logos (Bitmap) in eines der Bildungseinrichtung sind durchaus möglich.

Weitere Supplikanten

Open1X

Daneben existiert noch der Open1X-Supplikant, der aber noch nicht zur Funktion im URZ gebracht werden konnte (wer ihn in einer Windows-Version in Funktion hat, bitte melden). Open1X soll auch eine Kopplung mit pGina beinhalten, welche aber ebenfalls ungetestet ist.

AEGIS

Desweiteren existiert auch der AEGIS-Client, der in Bielefeld gefunden wurde. Zu dem gibt es auch noch ein, zwei Anleitungen.
Der Lizenzstatus dieser Software und damit die Legalität ihres Einsatzes ist unbekannt.
Bei der Installation kam es dazu, dass die msgina.dll als GINA in der Registry eingetragen wurde, was den schnellen Benutzerwechsel deaktiviert. Dies kann mit dieser Anleitung von Microsoft rückgängig gemacht werden.

(Wer es hinbekommen hat, unter Windows 2k SP4 oder XP SP1 eine Verbindung zu eduroam aufzubauen, bitte melden.)

Intel PROSetWireless

Beschreibung für XP siehe URZ (brauchbare Grafiken). Für Vista und Windows 7 bietet die Installation des passenden Paketes von Intel einen weiteren Sicherheitstyp: „Intel - CCKM - Unternehmen“ und weitere Methoden für die Netzwerkauthentifizierung, u.a. „Intel: EAP-TTLS“.

Leider kam es auf dem Rechner mit Intel Wireless-WiFi-Link 4965AGN und damit der Nutzung von PROSetWireless sowie den installierte Betriebssystemen Windows XP SP3 32 bit und Vista SP2 64 bit unter XP vereinzelt und unter Vista sehr häufig nach einem „Das Herstellen der Verbindung mit dem Netzwerk dauert länger als gewöhnlich“ zu einem Ausbleiben von DHCP nach erfolgter Authentifizierung. Die Ursache dafür ist unklar. Es können daher für diesen Spezialfall keine Tipps gegeben werden, da deren reproduzierbarer Erfolg nicht festgestellt werden konnte.

Intel hat vermutlich den Support für ihr PROSetWireless und XP eingestellt. Die letzte Version mit der Versionsbezeichnung 12.4.4.0 habe ich bei Intel (dort als Basic Enterprise bezeichnet) sowie Computerbase und die Version 12.4.3.0 bei PCGamesHardware gefunden. Falls es jemand erfolgreich ausprobiert hat, bitte melden.

Dokumentation des URZ und anderer Einrichtungen

Die Beschreibung der Installation von eduroam im URZ liegt dort leider für SecureW2 ohne Bilder,
deshalb auf dieser Seite eine Bildersammlung (Beschreibung noch unvollständig)

Detaillierte Beschreibungen gibt es dort für

Ein Teil der Bilder liegt als .JPG (brr!) vor.

In der Uni Jena gibt's auch eine Beschreibung von von PEAP MSCHAPv2 unter XP (SP2/SP3) Vista und 7, sowie SecureW2 unter XP (SP2/SP3) und Vista (32bit) und des Intel ProSetWireless unter XP (SP2/SP3) mit Bildern zur Installation, leider alle wieder als .JPG.
Zur Anzeige der Bilder beim DFN das CA-Cert der Uni Jena laden und installieren.

Eine weitere Beschreibung für eduroam vom LRZ München, speziell für Windows 7.

[ICO]NameLast modifiedSizeDescription
[IMG]DevMgr.png2011-01-31 11:06 27KWenn überhaupt kein eduroam zu sehen ist, ist vielleicht die WLAN-Karte kastriert worden, siehe Geräte-Manager
[IMG]Eduroam-Intel-Login.png2010-06-18 14:19 7.4KLogin-Dialog des Intel PROSetWireless-Supplikanten unter XP
[TXT]hinweis.txt2010-06-25 20:35 1.5K 
[ ]SecureW2_XP-Vista_TTLS_333.exe2010-03-29 03:04 253KInstallationsprogramm, gefunden in der Uni Jena
[IMG]sw2-01.png2010-06-11 11:45 26KWPA2 ohne PSK ist wichtig
[IMG]sw2-02.png2010-06-11 11:45 23KNach der Installation erscheint hier SecureW2
[IMG]sw2-03.png2010-06-11 11:45 21Kunbedingt Haken setzen - nur über den Automatismus ist Verbindung möglich
[IMG]sw2-04.png2010-06-11 11:46 28KStandardansicht bei Eigenschaften
[IMG]sw2-05.png2010-06-11 11:47 8.7KEs ist egal ob die Anonyme äußere Identität oder anonymous@tu-chemnitz.de als Äußere Identität verwendet wird
[IMG]sw2-06.png2010-06-11 11:48 9.2Kunbedingt Deutsche Telekom Root CA 2 auswählen - darauf basieren alle Zertifikate des DFN
[IMG]sw2-07.png2010-06-11 11:48 9.3KDer Servername radius.tu-chemnitz.de ist zu verwenden
[IMG]sw2-08.png2010-06-11 18:17 8.4K 
[IMG]sw2-09-1.png2010-06-11 11:49 8.6KStandarddialog - bei jedem Login muss alles eingetippt werden
[IMG]sw2-09-2.png2010-06-11 11:50 8.6Kvollständig ausgefüllt - das Login erfolgt vollautomatisch wenn WLAN vorhanden ist
[IMG]sw2-09-3.png2010-06-11 11:51 8.7KDurch temporäres Entfernen des Hakens kann die Domäne eingetragen werden - Erspart Schreibarbeit
[IMG]sw2-10.png2010-06-11 11:51 9.5KDie erweiterte Konfiguration wird nicht angetastet
[IMG]sw2-11.png2010-06-11 11:52 5.8KDen Automatismus für camo entfernen - bleibt als Rückfallebene
[IMG]sw2-12-1.png2010-06-11 11:53 9.5KAlles konfiguriert
[IMG]sw2-12-2.png2010-06-19 06:37 9.4K 
[IMG]sw2-13.png2010-06-11 11:54 3.0KDas Netz wurde erkannt und auf die Passworteingabe gewartet - draufklicken
[IMG]sw2-14.png2010-06-11 11:55 8.0KLeider erscheint das falsche Fenster vor dem richtigen
[IMG]sw2-15.png2010-06-11 11:56 7.4KLogin-Dialog schon mit Domäne
[IMG]sw2-16.png2010-06-11 11:56 7.2KDie Anmeldung läuft durch
[IMG]sw2-17.png2010-06-11 11:57 7.4Kgeschafft
[IMG]sw2-18.png2010-06-11 11:59 7.1KWLAN wurde konfiguriert
[IMG]sw2-19.png2010-06-11 11:59 5.7KDHCP hat ganze Arbeit geleistet
[ ]sw2_ttls_res.dll2007-09-05 13:26 144KGepatchte Ressourcen (Reihenfolge der Dialogelemente, Hotkeys), deutsch
[IMG]Vista-01-1.png2010-06-24 10:30 15KDialogfenster zur Auswahl eines Netzwerkes
[IMG]Vista-01-2.png2010-06-24 10:30 14KLogin in eduroam hat funktioniert
[IMG]Vista-02.png2010-06-25 10:44 9.0KEigenschaften von eduroam nach automatischer Konfiguration Teil 1
[IMG]Vista-03-1.png2010-06-25 10:45 9.2KEigenschaften von eduroam nach automatischer Konfiguration (PROSetWireless-Einfluss) Teil 2
[IMG]Vista-03-2.png2010-06-24 11:26 9.0KEduroam ohne Zusätze von PROSetWireless
[IMG]Vista-03-3.png2010-06-24 11:24 9.0KNutzung des PROSetWireless-Supplikanten
[IMG]Vista-04.png2010-06-24 10:25 7.7KKonfiguration des PROSetWireless-Supplikanten (EAP-TTLS) Teil 1
[IMG]Vista-05.png2010-06-24 10:26 7.8KKonfiguration des PROSetWireless-Supplikanten (EAP-TTLS) Teil 2
[IMG]Vista-06-1.png2010-06-24 10:19 7.9KVerbindungsherstellung über den PROSetWireless-Supplikanten leer
[IMG]Vista-06-2.png2010-06-24 10:20 7.5KVerbindungsherstellung über den PROSetWireless-Supplikanten gefüllt
[IMG]Vista-06-3.png2010-06-25 10:37 14KVerbindungsherstellung über den Microsoft-Supplikanten leer
[IMG]Vista-06-4.png2010-06-24 11:49 14KVerbindungsherstellung über den Microsoft-Supplikanten gefüllt
[IMG]Vista-07-1.png2010-06-25 10:49 14KEigenschaften des Microsoft-Supplikanten (PEAP)
[IMG]Vista-07-2.png2010-06-24 10:29 14KEigenschaften des Microsoft-Supplikanten (PEAP) mit radius-Eintrag
[IMG]Vista-08.png2010-06-24 10:29 5.3Kwenn das Rechner-Login nicht mit dem Nutzerkennzeichen übereinstimmt, lieber deaktiviert lassen.
[IMG]vista-09.png2010-06-25 10:31 27Kunter „Drahtlosnetzwerke verwalten sind die gespeicheten Einstellungen der Netzwerke vermerkt“
[IMG]Vista-10-1.png2010-06-25 10:33 14Knoch kein Drahtlosnetzwerk gespeichert
[IMG]Vista-10-2.png2010-06-25 10:31 19Kcamo und web-psk sind eingerichtet und auf Manuell gesetzt
[IMG]Vista-10-3.png2010-06-25 10:43 17Keduroam ist abgespeichert
[IMG]Vista-11-1.png2010-06-25 10:36 12KBei der Verbindungseinrichtung zu eduroam verlangt Vista nach den Zugangsdaten
[IMG]Vista-11-2.png2010-06-25 10:37 12KBei der Verbindungseinrichtung zu eduroam verlangt Vista nach der Zertifikatsbestätigung
[IMG]Vista-11-3.png2010-06-25 10:38 13Kmit überlagertem Serverzertifikatsfenster
[IMG]Vista-11-4.png2010-06-25 10:38 7.0KServerzertifikatsfenster allein
[IMG]Vista-11-5.png2010-06-25 10:41 9.7KDie Authentifizierung läuft
[IMG]Vista-11-6.png2010-06-25 10:35 8.4KSo wandert eduroam in die Liste der Drahtlosnetzwerke - mitsamt NKZ und Passwort
[IMG]Vista-11-7.png2010-06-25 11:06 11KDa klappt wohl was mit dem DHCP nicht
[IMG]Vista-12-1.png2010-06-25 10:39 9.4KDas Server-Zertifikat Teil 1
[IMG]Vista-12-2.png2010-06-25 10:40 10KDas Server-Zertifikat Teil 2
[IMG]Vista-12-3.png2010-06-25 10:40 8.5KDas Server-Zertifikat Teil 3