Jnk (Diskussion | Beiträge) |
|||
(23 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt) | |||
Zeile 3: | Zeile 3: | ||
|os=Linux | |os=Linux | ||
|service=Service:WLAN | |service=Service:WLAN | ||
− | |targetgroup=Angestellte,Studierende | + | |targetgroup=Gäste, Angestellte, Studierende |
|hasdisambig=Ja | |hasdisambig=Ja | ||
|disambiguation=Eduroam einrichten | |disambiguation=Eduroam einrichten | ||
Zeile 9: | Zeile 9: | ||
{{ambox | {{ambox | ||
|type=notice | |type=notice | ||
− | |text=Linux wird nur rudimentär vom | + | |text=Linux wird nur rudimentär vom ZIM unterstützt. Infos sind an "Profis" gerichtet, |
Benutzung auf eigene Gefahr. | Benutzung auf eigene Gefahr. | ||
}} | }} | ||
+ | <br> | ||
{{English}} | {{English}} | ||
+ | {{Fingerprint_Radiuszertifikat}} | ||
− | < | + | <!-- |
− | + | Falls das Zertifikat auf Ihrem Gerät nicht vorhanden ist, können Sie es hier herunterladen: | |
− | + | * http://download.uni-paderborn.de/pc/certificates/ | |
− | + | --> | |
− | |||
− | |||
− | |||
− | Diese Anleitung zur Einrichtung des WLANs eduroam an der Universität Paderborn gilt für Geräte mit Linux über die Benutzeroberfläche (GUI). Als Beispiel wird hier | + | Diese Anleitung zur Einrichtung des WLANs eduroam an der Universität Paderborn gilt für Geräte mit Linux über die Benutzeroberfläche (GUI). Als Beispiel wird eduroam hier unter Ubuntu 14.04 LTS mit Gnome Desktop eingerichtet. Je nach Linuxversion können die Einstellungen leicht variieren. Bitte beachten Sie, dass das Notebook-Café keinen unmittelbaren Linux-Support anbietet. |
== Was ist zu tun? == | == Was ist zu tun? == | ||
Zeile 33: | Zeile 32: | ||
== Schritt-für-Schritt-Anleitung == | == Schritt-für-Schritt-Anleitung == | ||
===Zertifikate bereitstellen === | ===Zertifikate bereitstellen === | ||
− | Rufen Sie mit einem Browser wie z. B. Firefox oder dem Internet Explorer das [http://sp.upb.de | + | Rufen Sie mit einem Browser wie z. B. Firefox oder dem Internet Explorer das [http://sp.upb.de Serviceportal] auf, loggen Sie sich mit Ihrem Benutzernamen und Ihrem Passwort ein und beantragen Sie unter "WLAN" ein neues Zertifikat. Geben Sie als Bezeichung das Gerät an, auf dem das Zertifikat installiert werden soll. <br/> |
Für das Zertifikat wird dann ein automatisch ein Passwort generiert und auf der folgenden Seite angezeigt. Am besten ist es, wenn das Passwort für die weitere Intstallation kopiert wird. | Für das Zertifikat wird dann ein automatisch ein Passwort generiert und auf der folgenden Seite angezeigt. Am besten ist es, wenn das Passwort für die weitere Intstallation kopiert wird. | ||
− | [[Datei: | + | [[Datei:Eduroam-unter-android-4.png|links|mini|ohne|350px]] |
+ | <br> | ||
+ | * Klicken Sie auf '''"Neues Zertifikat erstellen"'''. | ||
+ | <br clear=all> | ||
+ | [[Datei:Netzwerkzertifikat-container-v2.png|links|mini|ohne|350px]] | ||
+ | <br> | ||
+ | * Geben Sie dem Zertifikat einen eindeutigen Namen (Bsp: Laptop xy) | ||
+ | * Wählen Sie als Dateiformat '''Version 2''' aus. | ||
+ | * Klicken Sie anschließend auf '''"Neues Zertifikat zusenden"'''. | ||
<br clear=all> | <br clear=all> | ||
+ | <bootstrap_accordion> | ||
+ | <bootstrap_panel heading="Version 1 oder 2 - Was ist der Unterschied?" color="info"> | ||
+ | Die Zertifikate werden in unterschiedlichen Containerformaten zum Download angeboten. Die gewählte Version ist eine Empfehlung, die unserer Erfahrung nach gut für dieses Betriebssystem funktioniert. | ||
+ | * Version 1 ist ein TripleDES-SHA1 Container | ||
+ | * Version 2 ist ein AES-256 Container | ||
+ | Die AES-256 Verschlüsselung ist aus Sicherheitsgründen zu bevorzugen. Leider wird diese noch nicht von allen Betriebssystem unterstützt. | ||
+ | </bootstrap_panel> | ||
+ | </bootstrap_accordion> | ||
− | Speichern Sie beide Zertifikate z. B. in Ihrem Benutzerordner oder an einem anderen sicheren Ort | + | [[Datei:Netzwerkzertifikat-download.png|links|mini|ohne|350px]] |
+ | <br> | ||
+ | * Ein neues Netzwerkzertifikat wurde für Sie erstellt. | ||
+ | * Kopieren Sie zuerst das '''Import Passwort''' in die Zwischenablage. | ||
+ | * Klicken Sie nun auf '''"Netzwerkzertifikat herunterladen"'''. | ||
+ | * Klicken Sie anschließend auf '''"CA-Zertifikat herunterladen"'''. | ||
+ | <br clear=all> | ||
+ | |||
+ | |||
+ | Speichern Sie beide Zertifikate z. B. in Ihrem Benutzerordner oder an einem anderen sicheren Ort. Löschen/Verschieben Sie diesen Ordner nicht! | ||
===Eduroam einrichten=== | ===Eduroam einrichten=== | ||
Zeile 61: | Zeile 85: | ||
* '''Legitimierung:''' TLS | * '''Legitimierung:''' TLS | ||
* '''Identität:''' <benutzername>@uni-paderborn.de (ersetzten Sie <benutzername> durch Ihren Uni-Account | * '''Identität:''' <benutzername>@uni-paderborn.de (ersetzten Sie <benutzername> durch Ihren Uni-Account | ||
− | * '''CA-Zertifikat:''' Wählen Sie das ''USERTrust RSA Certification Authority''-Zertifikat aus. | + | * '''Domäne (falls vorhanden):''' radius.uni-paderborn.de |
+ | * '''CA-Zertifikat:''' Wählen Sie das ''USERTrust RSA Certification Authority''-Zertifikat (''USERTrustRSACertificationAuthority.crt'') aus. | ||
* '''Passwort CA-Zertifikat:''' Bleibt frei. | * '''Passwort CA-Zertifikat:''' Bleibt frei. | ||
− | * '''User-Zertifikat:''' Wählen Sie Ihr persönliches Netzwerkzertifikat aus. | + | * '''User-Zertifikat:''' Wählen Sie Ihr persönliches Netzwerkzertifikat (die Datei, die auf .p12 endet und Ihren Nutzernamen des Uni-Accounts enthält) aus. |
* '''Passwort des User-Zertifikats:''' Bleibt frei. | * '''Passwort des User-Zertifikats:''' Bleibt frei. | ||
− | * '''Geheimer User-Schlüssel:''' | + | * '''Geheimer User-Schlüssel:''' Wird in der Regel automatisch mit "User-Zertifikat" gefüllt - Sonst selbst einfügen |
* '''Passwort des User-Schlüssels:''' Import-Passwort für Ihr persönliches Netzwerkzertifikat. | * '''Passwort des User-Schlüssels:''' Import-Passwort für Ihr persönliches Netzwerkzertifikat. | ||
− | + | <br clear=all> | |
* ''<variabel> Domain:'' | * ''<variabel> Domain:'' | ||
Zeile 73: | Zeile 98: | ||
*# ''radius.uni-paderborn.de (oder diesen)'' | *# ''radius.uni-paderborn.de (oder diesen)'' | ||
*# ''<leer lassen> (oder so, falls es überhaupt angezeigt wird)'' | *# ''<leer lassen> (oder so, falls es überhaupt angezeigt wird)'' | ||
− | |||
==Problembehebung== | ==Problembehebung== | ||
Zeile 89: | Zeile 113: | ||
{| width="70%" style="background-color:yellow; border-style:dashed; border-width:3px; border-color:red; padding: 5px; " | {| width="70%" style="background-color:yellow; border-style:dashed; border-width:3px; border-color:red; padding: 5px; " | ||
− | | '''Achtung:''' <br> | + | | '''Achtung:''' <br> |
− | Folgender Lösungsvorschlag stammt von einem Kunden. Anwendung auf eigene Gefahr. Es fand keine Prüfung durch das | + | Folgender Lösungsvorschlag stammt von einem Kunden. Anwendung auf eigene Gefahr. Es fand keine Prüfung durch das ZIM statt. |
|} | |} | ||
<br clear=all> | <br clear=all> | ||
Zeile 119: | Zeile 143: | ||
* Einige Network Manager speichern das Profil nicht so lange nicht alle Zertifikatsfelder ausgefüllt sind, also auch das Feld '''Benutzerzertifikat'''. Es genügt dann eine beliebige Datei in das Feld Benutzerzertifikat einzutragen (0byte-Datei, oder z.B. auch das telekom-cert). Daraufhin sollte sich das Profil speichern lassen. | * Einige Network Manager speichern das Profil nicht so lange nicht alle Zertifikatsfelder ausgefüllt sind, also auch das Feld '''Benutzerzertifikat'''. Es genügt dann eine beliebige Datei in das Feld Benutzerzertifikat einzutragen (0byte-Datei, oder z.B. auch das telekom-cert). Daraufhin sollte sich das Profil speichern lassen. | ||
--> | --> | ||
+ | === Linux Mint === | ||
+ | Unter Linux Mint kann es vorkommen, dass das Nutzerzertifikat bei der Auswahl in den Netzwerkeinstellungen nicht ausgewählt werden kann. Linux Mint erkennt die Dateiendung/Format .p12 nicht in der Auswahl. | ||
+ | |||
+ | ==== Lösungsweg: ==== | ||
+ | Nutzerzertifikat konvertieren von P12 in das Format PEM | ||
+ | <pre>openssl pkcs12 -in Network_Certificate_UNIACCOUNTNAME_XXXX.p12 -out Network_Certificate_UNIACCOUNTNAME_XXXX.pem -nodes</pre> | ||
+ | Nach der Konvertierung kann wie beschrieben fortgefahren werden. | ||
==Siehe auch== | ==Siehe auch== | ||
* [[Netzwerk]] | * [[Netzwerk]] |
Version vom 13. Januar 2025, 12:13 Uhr
Anleitung | |
---|---|
Linux | |
Informationen | |
Betriebssystem | Linux |
Service | WLAN |
Interessant für | Gäste, Angestellte und Studierende |
Linux Portalseite |
Linux wird nur rudimentär vom ZIM unterstützt. Infos sind an "Profis" gerichtet,
Benutzung auf eigene Gefahr. |
Das Zertifikat des Radius Servers wurde am 14.01.2025 ausgetauscht. Falls Ihr Gerät Sie dazu auffordert, für eduroam ein Zertifikat zu prüfen oder einem neuen Zertifikat zu vertrauen, sollten Sie den Fingerprint des Zertifikats kontrollieren. Die meisten Geräte sollten sich weiterhin automatisch mit eduroam verbinden. Mehr Details zum Verhalten auf den einzelnen Geräten hier zum ausklappen: |
Details: Fingerprint Zertifikat Radius-Server
Je nach Gerät kann es sein, dass Sie sich erneut mit eduroam verbinden müssen, das Zertifikat erneut auswählen oder dem Zertifikat vertrauen müssen.
sha1 Fingerprint=22:8B:F4:7C:AC:00:BD:F6:77:F9:39:78:B5:AF:BF:66:C0:5C:84:D6
sha256 Fingerprint=98:A9:22:F8:DC:C9:92:EA:19:B1:97:5A:44:D7:CA:01:30:4E:CB:2F:14:69:79:18:5F:69:8A:25:03:E1:05:88
sha512 Fingerprint=3D:FA:3B:AA:D4:41:B0:4F:AA:C6:F1:58:CA:D3:A2:B6:1A:23:52:B2:9E:92:6D:C0:2B:B5:ED:50:8D:1D:FF:34:29:FC:D3:B5:6F:4C:8D:7F:A0:85:8B:38:B0:46:C5:17:98:2A:72:25:41:42:5D:39:BA:40:1D:9C:F3:14:24:64
macOS
- Zertifikat einblenden um das Zertifikat zu prüfen
- Fortfahren um dem Zertifikat zu vertrauen
iPhone und iPad
- Zertifikat anzeigen um das Zertifikat zu prüfen
- Zertifikat akzeptieren um dem Zertifikat zu vertrauen
Windows
- Zertifikatsdetails anzeigen um das Zertifikat zu prüfen
- Verbinden um dem Zertifikat zu vertrauen
Diese Anleitung zur Einrichtung des WLANs eduroam an der Universität Paderborn gilt für Geräte mit Linux über die Benutzeroberfläche (GUI). Als Beispiel wird eduroam hier unter Ubuntu 14.04 LTS mit Gnome Desktop eingerichtet. Je nach Linuxversion können die Einstellungen leicht variieren. Bitte beachten Sie, dass das Notebook-Café keinen unmittelbaren Linux-Support anbietet.
Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]
- Erstellen Sie Ihr persönliches Netzwerkzertifikat der Universität
- <optional> Laden Sie das Root-Zertifikat herunter. Dabei handelt es sich um ein Standard-Wurzelzertifikat, es sollte daher schon vorhanden sein.
- Richten Sie das Netzwerk eduroam ein.
- Löschen Sie das evtl. vorhandene webauth-Profil, damit sich das Gerät automatisch mit eduroam verbindet.
- Sonderfall: Je nach Linux-Version muss unter Domain/domäne uni-paderborn.de eingetragen werden.
Schritt-für-Schritt-Anleitung[Bearbeiten | Quelltext bearbeiten]
Zertifikate bereitstellen[Bearbeiten | Quelltext bearbeiten]
Rufen Sie mit einem Browser wie z. B. Firefox oder dem Internet Explorer das Serviceportal auf, loggen Sie sich mit Ihrem Benutzernamen und Ihrem Passwort ein und beantragen Sie unter "WLAN" ein neues Zertifikat. Geben Sie als Bezeichung das Gerät an, auf dem das Zertifikat installiert werden soll.
Für das Zertifikat wird dann ein automatisch ein Passwort generiert und auf der folgenden Seite angezeigt. Am besten ist es, wenn das Passwort für die weitere Intstallation kopiert wird.
- Klicken Sie auf "Neues Zertifikat erstellen".
- Geben Sie dem Zertifikat einen eindeutigen Namen (Bsp: Laptop xy)
- Wählen Sie als Dateiformat Version 2 aus.
- Klicken Sie anschließend auf "Neues Zertifikat zusenden".
Version 1 oder 2 - Was ist der Unterschied?
Die Zertifikate werden in unterschiedlichen Containerformaten zum Download angeboten. Die gewählte Version ist eine Empfehlung, die unserer Erfahrung nach gut für dieses Betriebssystem funktioniert.
- Version 1 ist ein TripleDES-SHA1 Container
- Version 2 ist ein AES-256 Container
Die AES-256 Verschlüsselung ist aus Sicherheitsgründen zu bevorzugen. Leider wird diese noch nicht von allen Betriebssystem unterstützt.
- Ein neues Netzwerkzertifikat wurde für Sie erstellt.
- Kopieren Sie zuerst das Import Passwort in die Zwischenablage.
- Klicken Sie nun auf "Netzwerkzertifikat herunterladen".
- Klicken Sie anschließend auf "CA-Zertifikat herunterladen".
Speichern Sie beide Zertifikate z. B. in Ihrem Benutzerordner oder an einem anderen sicheren Ort. Löschen/Verschieben Sie diesen Ordner nicht!
Eduroam einrichten[Bearbeiten | Quelltext bearbeiten]
- Öffnen Sie das Status-Menü.
- Wählen Sie "WLAN Netzwerke auswählen".
- Wählen Sie eduroam.
Richten Sie eduroam folgendermaßen ein:
- Sicherheit: WPA & WPA2 Enterprise
- Legitimierung: TLS
- Identität: <benutzername>@uni-paderborn.de (ersetzten Sie <benutzername> durch Ihren Uni-Account
- Domäne (falls vorhanden): radius.uni-paderborn.de
- CA-Zertifikat: Wählen Sie das USERTrust RSA Certification Authority-Zertifikat (USERTrustRSACertificationAuthority.crt) aus.
- Passwort CA-Zertifikat: Bleibt frei.
- User-Zertifikat: Wählen Sie Ihr persönliches Netzwerkzertifikat (die Datei, die auf .p12 endet und Ihren Nutzernamen des Uni-Accounts enthält) aus.
- Passwort des User-Zertifikats: Bleibt frei.
- Geheimer User-Schlüssel: Wird in der Regel automatisch mit "User-Zertifikat" gefüllt - Sonst selbst einfügen
- Passwort des User-Schlüssels: Import-Passwort für Ihr persönliches Netzwerkzertifikat.
- <variabel> Domain:
- uni-paderborn.de (Manche Linux-Versionen benötigen diesen Eintrag)
- radius.uni-paderborn.de (oder diesen)
- <leer lassen> (oder so, falls es überhaupt angezeigt wird)
Problembehebung[Bearbeiten | Quelltext bearbeiten]
Manuell hinzufügen[Bearbeiten | Quelltext bearbeiten]
Unter Umständen können Sie das Netzwerk eduroam auch manuell hinzufügen:
- Verbindungsname: Frei wählbar
- SSID: eduroam
- Restliche Einstellungen siehe oben.
Ubuntu[Bearbeiten | Quelltext bearbeiten]
Einige Kunden berichten von Problemen bei der Einrichtung von eduroam unter Ubuntu 22.04 und neuer. Das Problem wird hier beschrieben:
Achtung: Folgender Lösungsvorschlag stammt von einem Kunden. Anwendung auf eigene Gefahr. Es fand keine Prüfung durch das ZIM statt. |
1) Find wpa_supplicant service file with `systemctl status wpa_supplicant`.
For me, the path is "/lib/systemd/system/wpa_supplicant.service"
2) In that file, (with superuser rights), add the line
`Environment="OPENSSL_CONF=/usr/lib/ssl/openssl.cnf"`
3) Backup old config:
`sudo cp /usr/lib/ssl/openssl.cnf /usr/lib/ssl/openssl.cnf.backup`
4) Modify "openssl.cnf" like follows:
a) Below "[openssl_init]" add the line "ssl_conf = ssl_sect".
b) At the end of the file, add
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
Options = UnsafeLegacyRenegotiation
CipherString = DEFAULT:@SECLEVEL=1
5) Restart the service `sudo systemctl restart wpa_supplicant.service`.
If that does not work, reboot.
Linux Mint[Bearbeiten | Quelltext bearbeiten]
Unter Linux Mint kann es vorkommen, dass das Nutzerzertifikat bei der Auswahl in den Netzwerkeinstellungen nicht ausgewählt werden kann. Linux Mint erkennt die Dateiendung/Format .p12 nicht in der Auswahl.
Lösungsweg:[Bearbeiten | Quelltext bearbeiten]
Nutzerzertifikat konvertieren von P12 in das Format PEM
openssl pkcs12 -in Network_Certificate_UNIACCOUNTNAME_XXXX.p12 -out Network_Certificate_UNIACCOUNTNAME_XXXX.pem -nodes
Nach der Konvertierung kann wie beschrieben fortgefahren werden.