Netzwerktechnik

Ihr Browser stellt diese Webseite ohne Gestaltungselemente dar. Das kann daran liegen, dass Sie einen alten Browser verwenden, Ihr Browser keine Stylesheets darstellen kann oder die Darstellung von Stylesheets (CSS) deaktiviert ist.

Zusammenfassung überspringen

Linux

Allgemeine Informationen zu Linux im Wohnheim-Netzwerk




Netzwerkzugang in den Wohnheimen mit Linux


1. Grundlegendes
2. PEAP
3. verschiedene Clients wpa_supplicant, xsupplicant
4. Client-Konfiguration
5. Wurzelzertifikat
6. FAQ
7. Links

1. Grundlegendes


Um den Internet-Zugang über das Wohnheimnetzwerk nutzen zu können, ist eine Authentifizierung des Nutzers zu Beginn der Sitzung notwendig. Dazu benötigen Sie eine spezielle Client-Software sowie Ihr Login und Kennwort von der Universität Bielefeld (Kennwort für "dialin"-Berechtigung), der Hochschule Bielefeld, dem OS oder das persönliche Benutzerzertifikat der Hochschule OWL. Die Authentifizierung findet auf Basis des 802.1X-Protokolls statt. Erst nach der erfolgreichen Authentifizierung gegenüber dem Radius-Server vergibt der DHCP-Server an den Client-Computer eine gültige IP-Adresse und wird der Zugriff auf das Internet freigeschalten. Im folgenden Text finden Sie Informationen und Anleitungen zur Konfiguration Ihres Linux-Systems.

2. PEAP


Für die Authentifizierung gemäß 802.1X kommt die Methode EAP-PEAP (MSCHAPV2) zum Einsatz. In manchen Linux-Distributionen müssen Sie noch das Wurzelzertifikat "T-TeleSec Global Root Class 2" einbinden, die meisten aktuellen Distributionen (z.B. Ubuntu, Mint, OpenSuse) bringen dieses aber mittlerweile von Haus aus mit.

3. verschiedene Clients


Derzeit ist der "wpa_supplicant" der Client der Wahl für die Authentifizierung. Der "xsupplicant" scheint dagegen nicht mehr im Software-Paket der gängigen Linux-Distributionen enthalten zu sein.

Bei aktuellen Linux-Distributionen verwenden Sie am besten die mitgelieferten grafischen Netzwerk-Werkzeuge wie den GNOME Network-Manager.

4. Client-Konfiguration


Falls Ihr System noch keine geeigneten Netzwerk-Tools bereit stellt oder Sie diese aus anderen Gründen nicht verwenden wollen, müssen Sie die Clients manuell konfigurieren.
Im Folgenden wird immer davon ausgegangen, dass eth0 die Netzwerkkarte bezeichnet, mit der Sie eine Verbindung zum Wohnheimnetzwerk herstellen wollen. Verwenden Sie mehrere Netzwerkkarten in Ihrem Computer, so passen Sie die Bezeichnung bitte an.

wpa_supplicant

Installieren Sie mit Hilfe Ihrer Paket-Verwaltung (Yast, Yum, Synaptic-Paketverwaltung, usw.) das Paket wpa_supplicant. Konfigurieren Sie die Netzwerkkarte eth0 mit Hilfe Ihrer Systemverwaltung für den dynamischen Bezug einer IP-Adresse (DHCP).
Nun müssen Sie die Konfigurations-Datei für den wpasupplicant mit einem Editor Ihrer Wahl erstellen. Im Folgenden finden Sie ein Musterdatei für die Methode PEAP. Bitte tragen Sie keine unnötigen Leerzeichen ein und stellen Sie alle Pfade, Login und Kennwort in doppelte Anführungszeichen, da das Weglassen dieser Zeichen je nach Distribution nach den bisheringe Beobachtungen zu Fehlern führen kann.

Beispiel für Studierende der Universität Bielefeld:

# wpa_supplicant mit EAP-PEAP ##################################
ctrl_interface=/var/run/wpa_supplicant
ap_scan=0
network={
key_mgmt=WPA-EAP
eap=PEAP
anonymous_identity="anonymous@uni-bielefeld.de"
identity="mmustermann7@uni-bielefeld.de"
password="<password>"
ca_cert="<Pfad zum Wurzelzertifikat USERTrustRSACertificationAuthority.pem>"
phase2="auth=MSCHAPV2"
priority=10
}


Beispiel für Studierende der Hochschule Bielefeld:

# wpa_supplicant mit EAP-PEAP ##################################
ctrl_interface=/var/run/wpa_supplicant
ap_scan=0
network={
key_mgmt=WPA-EAP
eap=PEAP
anonymous_identity="jdoe3@hsbi.de"
identity="jdoe3@hsbi.de"
password="<password>"
ca_cert="<Pfad zum Wurzelzertifikat USERTrustRSACertificationAuthority.pem>"
phase2="auth=MSCHAPV2"
priority=10
}

Beispiele für den Pfad zum Wurzelzertifikat:
ca_cert="/usr/share/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem" ,
ca_cert="/usr/share/ssl/certs/USERTrustRSACertificationAuthority.pem" .
Gängige Linux-Distributionen bringen an Stelle einer Vielzahl einzelner Zertifikat-Dateien ein Bündel von Wurzelzertifikaten mit. Die Datei heißt dann etwa "ca-bundle.crt" und damit wäre der Eintrag dann z.B.
ca_cert="/usr/share/ssl/certs/ca-bundle.crt" .

Setzen Sie Ihr Login und Ihr Password bitte in Anführungszeichen und verwenden Sie keine Leerzeichen rechts oder links der "="-Zeichen. Es wurden auf einzelnen Systemen andernfalls Probleme beim Parsen der Konfigurations-Dateien beobachtet.

Speichern Sie die erstellte Konfigurations-Datei unter dem Dateinamen /etc/wpasupplicant/wpasupplicant.conf.
Achtung: Die Datei enthält Ihr Kennwort zu Ihrem Hochschul-Login. Ändern sie daher die Berechtigungen für die Datei so, dass nur der Administrator die Datei lesen oder ändern darf und Dritte keinesfalls Zugriff darauf haben, mit
# chmod 400 /etc/wpasupplicant/wpasupplicant.conf


Von der Konsole können Sie nun erstmalig den wpasupplicant starten mit
# wpasupplicant -d -Dwired -ieth0 -c/etc/wpasupplicant/wpasupplicant.conf
Wenn alles richtig ist, sollte der wpasupplicant sich jetzt erfolgreich authentifizieren.
Falls noch kein DHCP-Client im Hintergrund arbeitet, starten Sie diesen jetzt mit
#dhclient eth0
(Alternativ zum dhclient können Sie auch #pump -i eth0 oder #dhcpcd eth0 verwenden.)
#ifconfig eth0
 sollte jetzt Ihre aktuelle IP-Adresse anzeigen.

Automatische Authentifikation beim Systemstart konfigurieren:
Im folgenden wird ein Weg beschrieben, der auf einer breiten Palette von Systemen funktionieren sollte. Unabhängig davon sind bei vielen aktuellen Distributionen weitere graphische Konfigurationswerkzeuge wie der Network-Manager integriert, denen Sie vielleicht den Vorzug geben möchten. Lesen Sie dazu bitte weiter unten nach.

Erstellen Sie eine Datei mit folgendem Inhalt

#!/bin/shell
wpasupplicant -Dwired -ieth0 -c/etc/wpasupplicant/wpasupplicant.conf

Speichern Sie dieses Shell-Skript als /etc/wpasupplicant/start_wpasupplicant.sh und änderns Sie die Rechte wie folgt

# chmod 744 /etc/wpasupplicant/start_wpasupplicant.sh

Nun können Sie eine Verknüpfung auf den Desktop erstellen und dann zukünftig die Authentifizierung manuell starten. Dies kann bei Notebooks mit wechselnden Standorten und Netzwerkumgebungen sinnvoll sein.
Ist Ihr Computer ortsfest aufgestellt und soll sich bei jedem Systemstart im Wohnheim-Netz authentifizieren, können Sie in den rc-Verzeichnissen rc3.d und rc5.d zu den Runlevel 3 und 5 jeweils symbolische Links auf das Skript erstellen:

ln -s /etc/wpasupplicant/start_wpasupplicant.sh /etc/rc3.d/S50start_wpasupplicant
ln -s /etc/wpasupplicant/start_wpasupplicant.sh /etc/rc5.d/S50start_wpasupplicant




5. Wurzelzertifikat "USERTrust RSA Certification Authority"



Für die Authentifizierung mittels EAP-PEAP wird das Wurzelzertifikat "USERTrust RSA Certification Authority" benötigt. Aktuelle Distributionen bringen das Zertifikat von Haus aus mit. Häufig sind die vielen Wurzelzertifikate in einer Datei wie "ca-bundle.crt" zusammengefasst. Schauen Sie sich einfach einmal ein wenig in Ihrem Betriebssystem um.


6. FAQ





7. Links



Icon externer Link http://hostap.epitest.fi/wpa_supplicant

Icon externer Link http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol

Icon externer Link http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol