Authentifizierungsmöglichkeiten mit IEEE 802.1x unter Windows im URZ-Netz zur Erlangung des Netzzugangs in eduroam

Mit eduroam gibt es die Möglichkeit, seinen mit WLAN ausgestatteten Rechner ins Netz der Bildungseinrichtung zu bekommen. Dies hat einige Vorteile gegenüber dem VPN-Client, da jener die Kommunikation zu anderen Netzschnittstellen während seines Betriebs verhindert und im Verdacht für Rechnerabstürze in Form von „Einfrieren“ steht. Außerdem ist die Erreichbarkeit von VPN-Konzentratoren anderer Bildungseinrichtungen nicht gewährleistet. Zugangsdaten können auf dem lokalen Rechner nicht gespeichert werden.

Update: Es wird seit kurzem auch ein Anyconnect-Client zur Verfügung für Windows 2000 bis 7 (nach Auskunft sowohl für 32 wie für 64 bit-Systeme in einer .msi) als auf für Linux und MacOS, welcher einige Vorteile haben soll. Bislang wurde er nur an- aber noch nicht ausgetestet. Die notwendigen Daten werden durch das Programm vom Server vpngate.hrz.tu-chemnitz.de geholt, welcher auch über das ungesicherte Funknetz erreichbar ist. Die Verhinderung von Netzverbindungen über parallele Netzwerkverbindungen — auch für einzelne Protokolle — ist trotz der Option „Enable local LAN access (if configured)“ nicht auszuschließen.

Update: Das URZ hat die Verwendung von 802.11b abgeschaltet. Bitte einer neuere Karte verwenden.

Durch die Nutzung von 802.1x ergeben sich Vorteile. Es werden unterschiedliche Authentifizierungsmethoden (welche genau ist noch unbekannt) angeboten, wobei die beiden wichtigsten wohl PAP über EAP-TTLS und EAP-MSCHAPv2 über PEAP sind. Nach einer Erklärung wird bei PAP über TTLS der Nutzername und das Passwort im Klartext über eine getunnelte Verbindung versendet, wärend bei de MSCHAPv2 das Passwort zusammen mit einer Zufallszahl gehasht und nur dieser Hash übertragen wird.

Der im Windows eingebaute Supplikant

Der in Windows ab 2000 SP4 (ungetestet) und XP SP2 (ungetestet) sowie bei allen Vista und 7-Versionen eingebaute Supplikant (Bittsteller, der für den Nutzer die Verbindung aufbaut) beherrscht nur MSCHAPv2 und ist außerdem eher ungeeignet für einen Mehrnutzerpraktikumsplatz, da die Konfiguration nach ersten Tests nur im Gesamten durchlaufen werden kann. Entweder man richtet jedesmal alles ein oder die Zugangsdaten werden mit auf dem Rechner gespeichert. Dafür ist er für amd64-Versionen der einzig bekannte Supplikant für alle Karten.

SecureW2-Client

Mit dem SecureW2 Client, im Original wohl mal von Alfa & Ariss stammt, wie man auf dieser Seite sehen kann, steht eine Alternative zur Verfügung, die auch das offensichtlich von den eduroam-Betreibern bevorzugte EAP-TTLS unterstützt. Außerdem kann dieser, wie in den Bildern ersichtlich, teilkonfiguriert werden und präsentiert dann jedes Mal ein Login-Fenster. Seine Existenz wird aber von den Herstellern nicht mehr publiziert.

Wichtig bei der Installation ist, dass Windows das Netz nach der Konfiguration selbst finden muss und nicht per Auswahl darauf gedrängt werden darf, da sonst die Verschlüsselung über „WEP“ auf „Offen“ zurückgeschaltet wird, was dazu führt, dass es erst recht nicht funktioniert. Lieber mal den Rechner neu starten lassen. Dieser Supplikant ist nur für die x86-Versionen von Windows XP ab SP2 und Windows Vista. Ob er auch unter Windows 7 funktioniert ist nicht bekannt.
Im Verzeichnis System32 kann die Datei sw2_ttls_res.dll ausgetauscht werden, am besten zwischen Installation und Neustart. Andernfalls klappt das Überschreiben nur durch Umbenennen der vorhandenen Datei, Kopieren der neuen (gepatchten) Datei ins Zielverzeichnis und Neustart. Die Ressource wurde per Resource Hacker verändert. Weitere Veränderungen wie die Abänderung des Logos (Bitmap) in eines der Bildungseinrichtung sind durchaus möglich.

Weitere Supplikanten

Open1X

Daneben existiert noch der Open1X-Supplikant, der aber noch nicht zur Funktion im URZ gebracht werden konnte (wer ihn in einer Windows-Version in Funktion hat, bitte melden). Open1X soll auch eine Kopplung mit pGina beinhalten, welche aber ebenfalls ungetestet ist.

AEGIS

Desweiteren existiert auch der AEGIS-Client, der in Bielefeld gefunden wurde. Zu dem gibt es auch noch ein, zwei Anleitungen.
Der Lizenzstatus dieser Software und damit die Legalität ihres Einsatzes ist unbekannt.
Bei der Installation kam es dazu, dass die msgina.dll als GINA in der Registry eingetragen wurde, was den schnellen Benutzerwechsel deaktiviert. Dies kann mit dieser Anleitung von Microsoft rückgängig gemacht werden.

(Wer es hinbekommen hat, unter Windows 2k SP4 oder XP SP1 eine Verbindung zu eduroam aufzubauen, bitte melden.)

Intel PROSetWireless

Beschreibung für XP siehe URZ (brauchbare Grafiken). Für Vista und Windows 7 bietet die Installation des passenden Paketes von Intel einen weiteren Sicherheitstyp: „Intel - CCKM - Unternehmen“ und weitere Methoden für die Netzwerkauthentifizierung, u.a. „Intel: EAP-TTLS“.

Leider kam es auf dem Rechner mit Intel Wireless-WiFi-Link 4965AGN und damit der Nutzung von PROSetWireless sowie den installierte Betriebssystemen Windows XP SP3 32 bit und Vista SP2 64 bit unter XP vereinzelt und unter Vista sehr häufig nach einem „Das Herstellen der Verbindung mit dem Netzwerk dauert länger als gewöhnlich“ zu einem Ausbleiben von DHCP nach erfolgter Authentifizierung. Die Ursache dafür ist unklar. Es können daher für diesen Spezialfall keine Tipps gegeben werden, da deren reproduzierbarer Erfolg nicht festgestellt werden konnte.

Intel hat vermutlich den Support für ihr PROSetWireless und XP eingestellt. Die letzte Version mit der Versionsbezeichnung 12.4.4.0 habe ich bei Intel (dort als Basic Enterprise bezeichnet) sowie Computerbase und die Version 12.4.3.0 bei PCGamesHardware gefunden. Falls es jemand erfolgreich ausprobiert hat, bitte melden.

Dokumentation des URZ und anderer Einrichtungen

Die Beschreibung der Installation von eduroam im URZ liegt dort leider für SecureW2 ohne Bilder,
deshalb auf dieser Seite eine Bildersammlung (Beschreibung noch unvollständig)

Detaillierte Beschreibungen gibt es dort für

Ein Teil der Bilder liegt als .JPG (brr!) vor.

In der Uni Jena gibt's auch eine Beschreibung von von PEAP MSCHAPv2 unter XP (SP2/SP3) Vista und 7, sowie SecureW2 unter XP (SP2/SP3) und Vista (32bit) und des Intel ProSetWireless unter XP (SP2/SP3) mit Bildern zur Installation, leider alle wieder als .JPG.
Zur Anzeige der Bilder beim DFN das CA-Cert der Uni Jena laden und installieren.

Eine weitere Beschreibung für eduroam vom LRZ München, speziell für Windows 7.

Icon  Name                           Last modified      Size  Description
[TXT] hinweis.txt 2010-06-25 20:35 1.5K [IMG] sw2-08.png 2010-06-11 18:17 8.4K [IMG] sw2-12-2.png 2010-06-19 06:37 9.4K [IMG] sw2-19.png 2010-06-11 11:59 5.7K DHCP hat ganze Arbeit geleistet [IMG] sw2-01.png 2010-06-11 11:45 26K WPA2 ohne PSK ist wichtig [IMG] sw2-18.png 2010-06-11 11:59 7.1K WLAN wurde konfiguriert [IMG] sw2-12-1.png 2010-06-11 11:53 9.5K Alles konfiguriert [IMG] Vista-11-1.png 2010-06-25 10:36 12K Bei der Verbindungseinrichtung zu eduroam verlangt Vista nach den Zugangsdaten [IMG] Vista-11-2.png 2010-06-25 10:37 12K Bei der Verbindungseinrichtung zu eduroam verlangt Vista nach der Zertifikatsbestätigung [IMG] Vista-11-7.png 2010-06-25 11:06 11K Da klappt wohl was mit dem DHCP nicht [IMG] sw2-13.png 2010-06-11 11:54 3.0K Das Netz wurde erkannt und auf die Passworteingabe gewartet - draufklicken [IMG] Vista-12-1.png 2010-06-25 10:39 9.4K Das Server-Zertifikat Teil 1 [IMG] Vista-12-2.png 2010-06-25 10:40 10K Das Server-Zertifikat Teil 2 [IMG] Vista-12-3.png 2010-06-25 10:40 8.5K Das Server-Zertifikat Teil 3 [IMG] sw2-11.png 2010-06-11 11:52 5.8K Den Automatismus für camo entfernen - bleibt als Rückfallebene [IMG] sw2-07.png 2010-06-11 11:48 9.3K Der Servername radius.tu-chemnitz.de ist zu verwenden [IMG] Vista-01-1.png 2010-06-24 10:30 15K Dialogfenster zur Auswahl eines Netzwerkes [IMG] sw2-16.png 2010-06-11 11:56 7.2K Die Anmeldung läuft durch [IMG] Vista-11-5.png 2010-06-25 10:41 9.7K Die Authentifizierung läuft [IMG] sw2-10.png 2010-06-11 11:51 9.5K Die erweiterte Konfiguration wird nicht angetastet [IMG] sw2-09-3.png 2010-06-11 11:51 8.7K Durch temporäres Entfernen des Hakens kann die Domäne eingetragen werden - Erspart Schreibarbeit [IMG] Vista-03-2.png 2010-06-24 11:26 9.0K Eduroam ohne Zusätze von PROSetWireless [IMG] Vista-07-1.png 2010-06-25 10:49 14K Eigenschaften des Microsoft-Supplikanten (PEAP) [IMG] Vista-07-2.png 2010-06-24 10:29 14K Eigenschaften des Microsoft-Supplikanten (PEAP) mit radius-Eintrag [IMG] Vista-03-1.png 2010-06-25 10:45 9.2K Eigenschaften von eduroam nach automatischer Konfiguration (PROSetWireless-Einfluss) Teil 2 [IMG] Vista-02.png 2010-06-25 10:44 9.0K Eigenschaften von eduroam nach automatischer Konfiguration Teil 1 [IMG] sw2-05.png 2010-06-11 11:47 8.7K Es ist egal ob die Anonyme äußere Identität oder anonymous@tu-chemnitz.de als Äußere Identität verwendet wird [   ] sw2_ttls_res.dll 2007-09-05 13:26 144K Gepatchte Ressourcen (Reihenfolge der Dialogelemente, Hotkeys), deutsch [   ] SecureW2_XP-Vista_TTLS_333.exe 2010-03-29 03:04 253K Installationsprogramm, gefunden in der Uni Jena [IMG] Vista-04.png 2010-06-24 10:25 7.7K Konfiguration des PROSetWireless-Supplikanten (EAP-TTLS) Teil 1 [IMG] Vista-05.png 2010-06-24 10:26 7.8K Konfiguration des PROSetWireless-Supplikanten (EAP-TTLS) Teil 2 [IMG] sw2-14.png 2010-06-11 11:55 8.0K Leider erscheint das falsche Fenster vor dem richtigen [IMG] Vista-01-2.png 2010-06-24 10:30 14K Login in eduroam hat funktioniert [IMG] Eduroam-Intel-Login.png 2010-06-18 14:19 7.4K Login-Dialog des Intel PROSetWireless-Supplikanten unter XP [IMG] sw2-15.png 2010-06-11 11:56 7.4K Login-Dialog schon mit Domäne [IMG] sw2-02.png 2010-06-11 11:45 23K Nach der Installation erscheint hier SecureW2 [IMG] Vista-03-3.png 2010-06-24 11:24 9.0K Nutzung des PROSetWireless-Supplikanten [IMG] Vista-11-4.png 2010-06-25 10:38 7.0K Serverzertifikatsfenster allein [IMG] Vista-11-6.png 2010-06-25 10:35 8.4K So wandert eduroam in die Liste der Drahtlosnetzwerke - mitsamt NKZ und Passwort [IMG] sw2-04.png 2010-06-11 11:46 28K Standardansicht bei Eigenschaften [IMG] sw2-09-1.png 2010-06-11 11:49 8.6K Standarddialog - bei jedem Login muss alles eingetippt werden [IMG] Vista-06-4.png 2010-06-24 11:49 14K Verbindungsherstellung über den Microsoft-Supplikanten gefüllt [IMG] Vista-06-3.png 2010-06-25 10:37 14K Verbindungsherstellung über den Microsoft-Supplikanten leer [IMG] Vista-06-2.png 2010-06-24 10:20 7.5K Verbindungsherstellung über den PROSetWireless-Supplikanten gefüllt [IMG] Vista-06-1.png 2010-06-24 10:19 7.9K Verbindungsherstellung über den PROSetWireless-Supplikanten leer [IMG] DevMgr.png 2011-01-31 11:06 27K Wenn überhaupt kein eduroam zu sehen ist, ist vielleicht die WLAN-Karte kastriert worden, siehe Geräte-Manager [IMG] Vista-10-2.png 2010-06-25 10:31 19K camo und web-psk sind eingerichtet und auf Manuell gesetzt [IMG] Vista-10-3.png 2010-06-25 10:43 17K eduroam ist abgespeichert [IMG] sw2-17.png 2010-06-11 11:57 7.4K geschafft [IMG] Vista-11-3.png 2010-06-25 10:38 13K mit überlagertem Serverzertifikatsfenster [IMG] Vista-10-1.png 2010-06-25 10:33 14K noch kein Drahtlosnetzwerk gespeichert [IMG] sw2-06.png 2010-06-11 11:48 9.2K unbedingt Deutsche Telekom Root CA 2 auswählen - darauf basieren alle Zertifikate des DFN [IMG] sw2-03.png 2010-06-11 11:45 21K unbedingt Haken setzen - nur über den Automatismus ist Verbindung möglich [IMG] vista-09.png 2010-06-25 10:31 27K unter „Drahtlosnetzwerke verwalten sind die gespeicheten Einstellungen der Netzwerke vermerkt“ [IMG] sw2-09-2.png 2010-06-11 11:50 8.6K vollständig ausgefüllt - das Login erfolgt vollautomatisch wenn WLAN vorhanden ist [IMG] Vista-08.png 2010-06-24 10:29 5.3K wenn das Rechner-Login nicht mit dem Nutzerkennzeichen übereinstimmt, lieber deaktiviert lassen.