Anleitung zur Konfiguration von WLAN mit 802.1x

WLAN
Anleitungen
Rechenzentrum
Anleitung zur Konfiguration von WLAN
mit 802.1x
Florian T. Huber
Rechenzentrum - Hochschule Biberach
2. Oktober 2012
Campus-WLAN mit 802.1x
WLAN-Abdeckung
Die für WLAN benötigen Accesspoints finden sich campusweit auf dem Gelände verteilt
und sollten überall einen guten Empfang ermöglichen. Die genauen Standorte lassen sich
der Abbildung 1 auf Seite 2 entnehmen. Zusätzlich zu den dort aufgeführten Standorten
gibt es noch Accesspoints in Gebäude K (Raum K2.02), Gebäude L (Pavillion) und Gebäude O (EG + 1.OG).
Unterstützte Clients
Momentan unterstützen folgende Betriebssyteme von Haus aus 802.1x:
• Windows 7 (alle Editionen)
• Windows Vista (alle Editionen)
• Windows XP (s. Seite 3)
• Windows 2003 Server / Windows 2008 Server
• Windows CE/Windows Mobile1 (s. Seite 12)
• Mac OS X Panther (Mac OS X 10.3)
• Apple iPhone / Apple iPOD Touch
• Android-Handies ab Version 1.8 (s. Seite 10)
1 Mit
Patch
1
2
WLAN
Anleitungen
Rechenzentrum
Abbildung 1: Standorte der Accesspoints
WLAN
Anleitungen
Rechenzentrum
Windows Vista/Windows 7
Für Windows Vista bzw. Windows 7 existiert ein fertiges Konfigurationsscript zur automatischen
Einrichtung des WLAN-Profils und der Verknüpfungen zu K-Laufwerk, Eigene Dateien und
Terminalserver. Dieses Skript kann von der WLAN-Ecke auf dem Desktop des VirenschleußeRechners bezogen werden. Einfach die Datei HBC-WLAN-Installer.exe auf einen USB-Stick
kopieren, den eigenen Rechner transferieren und dort ausführen.
Windows XP
Eine detaillierte Anleitung für die WLAN-Konfiguration und -installation unter Windows XP
befindet sich im direkten Anschluß an diese Seite! Ein direkter Import des WLAN-Profils, wie
unter Windows Vista ist leider nicht möglich. Jedoch kann das Vista-WLAN-Installationsskript
auch unter Windows XP ausgeführt werden, um die Verknüpfungen zum K-Laufwerk, Eigene
Dateien und Terminalserver anzulegen.
Windows 2000
Windows 2000 benötigt einen zusätzlichen Patch und mindestens Servicepack 4. Wichtig ist
auch, daß der Treiber der WLAN-Karte WPA-Verschlüsselung beherrscht. Mehr Informationen
zu 802.1x finden sich auf den Microsoft-Supportseiten2 . Generell kann das Rechenzentrum bei
Windows 2000 keinen WLAN-Support leisten. Eine Liste mit alternativen 802.1x-Clients für
ältere Betriebssysteme befindet sich im Internet3 .
Linux
Unter Linux steht das Programm XSupplicant für 802.1x zur Verfügung. Distributionen, wie z.B.
SuSE Linux ab Version 10 bieten bereits zum Teil auch über eigene Konfigurationswerkzeuge
die Möglichkeit WLAN mit 802.1x einzurichten.
Auch hier gilt: Aufgrund der geringen Verbreitung von Linux auf Studenten-PCs und der unüberschaubaren Vielzahl von Linuxdistributionen kann kein Installations-Support für Linux gegeben
werden.
Apple Macintosh
Bei MacOS X nicht Internetverbindung wählen, sondern Andere bei Netzwerk und dort dann die
SSID eingeben, Benutzernahme, Paßwort und 802.1x mit WPA auswählen. Den Zertifikatshinweis akzeptieren und am besten dem Zertifikat von ntserv01 das Vertrauen ausprechen. Hierzu
muß das Computerpaßwort für den Mac eingegeben werden. Anschließend sollte Wireless funktionieren.
2 http://support.microsoft.com/kb/313664
3 http://www.uni-bielefeld.de/hrz/netze/dot1x/client_liste.htm
3
WLAN
Anleitungen
Rechenzentrum
Einrichtung unter Windows XP - Schritt für Schritt
Schritt 1: Mindestvoraussetzungen testen
Für das neue WLAN wird eine WPA- bzw. WPA2-Verschlüsselung benötigt. Windows XP
bietet diese erst ab ServicePack 24 – außer der verwendete Wireless-Treiber bringt diese
mit. Auf alle Fälle empfiehlt sich für jene, die bisher kein ServicePack 2 installiert haben,
solches zu installieren. Es wird zudem für alle empfohlen ihren Wirelesstreiber auf den
aktuellsten Stand zu bringen.
Schritt 2: Drahtlos-Netzwerk anlegen
Unter ”Start | Einstellungen | Netzwerkverbindungen” die Eigenschaften der drahtlosen
Verbindung öffnen und dort den Tab Drahtlosnetzwerke öffnen. Hier Windows für die
Konfiguration der Drahtlosverbindung auswählen und den Button Hinzufügen klicken.
Abbildung 2: Drahtlosnetzwerke
4 Die
Windowsversion samt ServicePack läßt sich über <Windowstaste>+<R> und anschließender Eingabe
von winver herausfinden
4
WLAN
Anleitungen
Rechenzentrum
Schritt 3: SSID-Vergabe und Verschüsselungseinstellungen
Ein neues WLAN mit der SSID HBC-802.1X anlegen (großes ”X”), als Netzwerkauthenifizierung WPA2 (empfohlen) bzw. WPA wählen. Als Verschlüsselung falls verfügbar AES
wählen, bzw. TKIP falls ersteres nicht zur Verfügung steht.
Achtung: Nicht WPA-PSK5 wählen! - Der Netzwerkschlüssel wird automatisch bereitgestellt!
Abbildung 3: 802.1X-Eigenschaften (Zuordnung)
Ergänzung: Bei einigen Versionen von Windows XP gibt es auf dieser Seite noch eine
Checkbox Mit Netzwerkverbinden auch wenn keine SSID gebroadcastet wird. Hier muß der
Haken gesetzt werden, damit das Hochschulnetz gefunden wird!6
5 PSK
6 Zur
= Preshared Key
besseren Linuxkompatibilitär wurde die SSID inzwischen sichtbar geschaltet.
5
WLAN
Anleitungen
Rechenzentrum
Schritt 4: Authentifizierungseinstellungen
IEEE 802.1X-Authentifizierung für das Netzwerk aktivieren und den EAP-Typ Geschütztes EAP (PEAP) auswählen. Die beiden Häkchen für Computer- und Gastauthentifizierung deaktivieren.
Abbildung 4: 802.1X-Eigenschaften (Authentifizierung)
6
WLAN
Anleitungen
Rechenzentrum
Schritt 5: EAP-Konfiguration
Da der Studentenrechner kein Mitglied der RZ1-Domäne ist, müssen die Eigenschaften für EAP bearbeitet werden. Die Prüfung des Serverzertifikates deaktivieren und als
Authentifizierungs-Methode Sicheres Kennwort (EAP-MSCHAP v2) wählen.
Abbildung 5: Eigenschaften geschütztes EAP
7
WLAN
Anleitungen
Rechenzentrum
Schritt 6: Anmelde-Einstellungen
Kennwort konfigurieren und Haken bei Automatisch eigenen Windowsanmeldenamen und
Kennwort verwenden deaktivieren, da sich der Student an seinem Rechner lokal anders
anmeldet, als er es in der RZ-Domäne täte. Bei der ersten Verbindung erscheint eine
Windows-Hinweisblase, die zur Eingabe der Zugangsdaten auffordert7 .
Abbildung 6: EAP-MSCHAPv2-Eigenschaften
Schritt 7 - Einrichten von K:-Laufwerk
Der Zugriff auf das K-Laufwerk muß manuell eingerichtet werden. Hierzu Rechtsklick
auf Arbeitsplatz, dort Netzwerklaufwerk verbinden wählen und dann Laufwerk K: mit
\\ntserv05.fh-biberach.de\temp-daten verbinden (s. Abb. 7). Dem Benutzernamen ist ein
RZ1\ voranzustellen (z.B. RZ1\w06p001).
Abbildung 7: Netzlaufwerk K:
7 Sollte
bei XP keine Aufforderung der Zugangsdaten beim Herstellen der Verbindung erscheinen, kann
es helfen den Patch WindowsXP-KB893357-v2-x86-DEU einzuspielen
8
WLAN
Anleitungen
Rechenzentrum
Zugriff auf diverse Netzwerkresourcen
Folgende Resourcen lassen sich u.a. per WLAN nutzen. Eingabe in Explorer-Leiste bzw.
dem Browser.
Bei der Frage nach den Zugangsdaten geben Sie bitte Ihre RZ-Logindaten an.
Für Freigaben in der RZ1-Domäne in der Form: RZ1\Loginname
Resource
Semesterarbeiten
temp-daten (K-Server)
ILIAS-eLearning-Server
Typ
SMB
SMB
HTTPS
Netzwerkpfad
\\ntserv04\Semsesterarbeiten
\\ntserv05\temp-daten
https://elearns02.fh-biberach.de
Terminalserver
Mit Hilfe des Remote Desktops haben Sie die Möglichkeit auf den Terminalserver zu
verbinden und über diesen Druckaufträge im RZ abzuschicken. Sie finden den Remote
Desktop unter: Start > Programme > Zubehör > Remotedesktopverbindung.
Als Server tragen Sie ein: rz-ts01.fh-biberach.de
ILIAS-Terminalserver
Ebenfalls über Remote-Desktop können Sie zum ILIAS-Terminalserver verbinden und
Skripte bestimmter Professoren drucken oder online betrachten. Ein Download/Speichern
dieser Skripte ist jedoch nicht möglich.
Als Server tragen Sie ein: ilias-ts.fh-biberach.de
ILIAS-eLearning-Server
Eine Anleitung zur Einbindung von ILIAS als WebDAV-Ordner findet sich unter https://
elearns02.fh-biberach.de/ilias3/webdav.php/HSBC/ILIAS?mount-instructions
Microsoft Exchange (eMail)
Neben dem direkten Zugriff über Outlook Webaccess 8 (https://mserv01-cas.fh-biberach.
de), können Sie auch über beliebige eMail-Clients (Outlook, Thunderbird, etc.) Ihre eMails
abfragen9 .
8 Um
die volle Funktionalität zu erlangen, verwenden Sie bitte den Internet Explorer
Informationen zum Thema eMail finden sich unter http://www.hochschule-bc.de/web/
rechenzentrum/mail
9 Mehr
9
WLAN
Anleitungen
Rechenzentrum
Einrichtung unter Android - Schritt für Schritt
Schritt 1:Aktivieren von WLAN und wählen der Hochschul-SSID
Aktivieren Sie bei Ihrem Android-Smartphone das WLAN. Dies können Sie über zwei
Arten realisieren 10 :
Entweder Sie ziehen die Schnellstart/Statusleiste vom oberen Rand mit dem Finger nach
unten und selektieren dort das Symbol für WLAN oder sie setzen einen Haken unter
Einstellungen > Drahtlos und Netzwerke > WLAN-Einstellungen (Abb. 8).
Anschließend wählen Sie das Netz der Hochschule Biberach mit der SSID HBC-802.1X
für die weitere Konfiguration (Abb. 9).
Abbildung 9: HochschulWLAN
wählen
Abbildung 8: WLAN
anktivieren
10 Bitte
beachten Sie, daß aufgrund unterschiedlicher Android-Versionen, Hersteller und Themes, die
Darstellung der einzelnen Abbildungen sich geringfügig unterscheiden können!
10
WLAN
Anleitungen
Rechenzentrum
Schritt 2: Einstellen der Verschlüsselungs-Parameter und Zugangskennung
Wählen Sie für die Sicherheit 802.1x-EAP mit PEAP und MSCHAPv2 als Authentifizierungsmethode.
Als Identität geben Sie Ihren RZ1-Benutzernamen an zusammen mit dem Paßwort, daß
Sie auch für ILIAS oder die RZ-Rechnerpools verwenden.
Abbildung 10: Verschlüsselung
konfigurieren
Abbildung 11: Zugangsdaten
eingeben
11
WLAN
Anleitungen
Rechenzentrum
Einrichtung unter Windows Mobile - Schritt für Schritt
An dieser Stellen bedanken wir uns bei Matthias Böckh, der uns den Tipp mit dem
Registry-Hack geliefert hat und uns ebenfalls die Screenshots und die CAB-Datei zur
Registry-Modifikation zur Verfügung gestellt hat.
Schritt 1: Anlegen des Netzes mit HBC-SSID
Ein neues WLAN mit der SSID HBC-802.1X anlegen und darauf achten, das es ein großes
X ist (Abb. 12).
Abbildung 12: WLAN
angelegen
Abbildung 13: Verschlüsselung
konfigurieren
Schritt 2: Einstellen der Verschlüsselungs-Parameter
Für die Authentifizierung WPA2 verwenden bzw. WPA falls ersteres nicht verfügbar ist
und bei der Verschlüsselung AES auswählen bzw. TKIP. Den Haken bei key automatically
provided setzen (Abb. 13).
12
WLAN
Anleitungen
Rechenzentrum
Schritt 3: Einstellen der 802.1x-Einstellungen
Den Haken bei IEEE 802.1x-Authentifizierung für das Netzwerk setzen und den EAP-Typ
PEAP auswählen (Abb. 14).
Abbildung 14: 802.1x
konfigurieren
Abbildung 15: Netzwerk
verbinden
Schritt 4: Netzwerk auswählen und verbinden
Natürlich läßt sich eine Verbindung zum Hochschul-WLAN nur aufbauen, wenn das Netzwerk auch verfügbar ist. Zum Zeitpunkt des Screenshots war dies leider nicht der Fall
(Abb. 15).
Schritt 5: Registry patchen
Nun folgt der kniffligste Schritt beim Einrichten von WLAN unter einem Windows-PDA
- das Patchen der Registry. Anders als unter Windows XP oder Vista, wo sich in einem
Konfigurationsdialog das Prüfen des Serverzertifikats abschalten läßt, bietet die abgespeckte Windowsversion diese Möglichkeit leider nicht an. Daher muß hier eine Enable_WLAN.cab auf den PDA transferiert werden (MemoryCard, ActivSync o.ä.) und auf
dem PDA dann ausgeführt werden. Die Enable_WLAN.cab findet man in der WLAN-Ecke
auf dem Virenschleuse-Rechner (gegenüber RZ-Serviceraum).
13
WLAN
Anleitungen
Rechenzentrum
Allgemeine Hinweise für Wireless-Tools von Drittanbietern bzw.
andere Computerplattformen
Wichtig!
Viele interne Wireless-Karten lassen Sich über einen Schalter oder eine Tastenkombination
aktivieren bzw. deaktivieren. Solange die Wirelesskarte nicht hardwaremäßig auf diese
Weise aktiviert wurde, wird kein Wirelessnetz gefunden!
Die Funktionstaste zum Aktivieren-/Deaktivieren ist oft eine Kombination aus Taste Fn
und einer F-Taste.
Folgende Einstellungen sind bei der Wirelesskonfiguration vorzunehmen:
SSID
Authentifizierung
Verschlüsselung
802.1X
EAP-Typ
Authentifizierungs
methode
Serverzertifikat
überprüfen
Verbinden wenn Netz
kein Broadcast sendet
HBC-802.1X (Das ”X” muß groß sein!)
WPA2-Enterprise bzw. WPA-Enterprise (kein WPA-PSK!)
AES bzw. TKIP
aktivieren
PEAP
MS-CHAP v2
nein
ja
Folgendes betrifft nur Intel Wireless Tool:
Roamingidentität
Benutzername
Cisco-Extensions
deaktivieren
WLAN-Sicherheit
Mit 802.1x wird kein PPTP-Tunnel mehr über die WLAN-Strecke benötigt, da die Kommunikation von vorne herein verschlüsselt stattfindet und der Benutzer gegenüber der
RZ1-Domäne authentifiziert wird. Auch wenn WPA bzw. WPA2 noch als sicher gelten,
findet in kurzen zyklischen Intervallen automatisch ein dynamischer Wechsel des verwendeten WPA-Schlüssels statt. Da der Zeitaufwand zum Knacken des WPA-Schlüssels mit
der heutigen Rechnerleistung größer als das Wechselintervall ist, ist ein Abhören der verschlüsselten WLAN-Verbindung nicht möglich.
14
WLAN
Anleitungen
Rechenzentrum
FAQ - Häufig gestellte Fragen
Neue Anmeldedaten (Benutzername oder Paßwort) lassen sich nicht
eingeben
Das Anmelde-Paßwort mußte geändert werden oder der Benutzername hat sich geändert
und nun bietet Windows keine Möglichkeit diese Informationen zu aktualisieren. Die gelbe
Hinweisblase, deren Aktivierung den Anmeldedialog bringt, erscheint nicht.
Durch Löschen eines Zweiges in der Registry lassen sich alle 802.1x-Anmeldedaten löschen. Es sind dann jedoch alle Anmeldedaten für 802.1x gesicherte Netzwerke gelöscht
und müssen neu eingegeben werden. WLAN, Wohnheim und ggf. anderweit eingerichtete
802.1x gesicherte Netzwerke.
• Öffnen der Registry: Start | Ausführen → regedit
• Löschen aller Unterzweige von:
HKEY_CURRENT_USER\Software\Microsoft\EAPOL\UserEAPinfo
Trotz erfolgreicher Assoziierung und Authentifizierung am WLAN ist
kein Zugriff auf das Internet oder freigegebene Netzressourcen
möglich
Die IP-Adresse des WLAN-Adapters wurde manuell konfiguriert.
Die IP-Einstellungen lassen Sich über die Konsole prüfen:
• Start | Ausführen → cmd → ipconfig /all
• Einstellungen prüfen: DHCP aktiviert muß auf ja stehen
Die IP-Adresse muß lauten: 10.5.x.x
Das Gateway muß lauten:
10.5.0.1
Der DNS-Server muß lauten: 10.5.0.1
Vergeben Sie nicht manuell eine statische IP-Adresse aus dem WLAN-IP-Pool der Hochschule! Sie schaffen sich so mehr Probleme, als Sie momentan vielleicht lösen und riskieren
geblockt zu werden.
15
WLAN
Anleitungen
Rechenzentrum
Trotz korrekter 802.1x-Parameter und EAP-PEAP klappt bei
Windows Mobile die Authentifizierung am Campus-WLAN nicht
Windows Mobile / PocketPC versuchen auch beim EAP-Typ PEAP ein Zertifikatvom Authentifizierungsserver zu validieren. Eine Option zum Deaktivierender Serververifizierung
gibt es nicht.
Über eine kleine Änderung in der Registry von Windows Mobile / PocketPC ist es möglich
die Verifizierung des Serverzertifikats zu deaktivieren.
Hierzu muß folgender Registry-Schlüssel geändert werden:
\HKLM\Comm\EAP\Extension\25\ValidateServerCert=dword:00000000
Anschließend sollte eine Anmeldung im WLAN mit den RZ-Accountdaten möglich sein.
Da spezielle Tools zur Registry-Änderung nötig sind, gibt es einen fertigen Installer den
man in der WLAN-Ecker der Virenschleuse (gegenüber RZ-Serviceraum) finden kann.
Welche Wirelesskarte für das Hochschulnetz
Interne Intel-WLAN-Karten, wie die Intel 2100 oder 2200BG, funktionieren mit den aktuellen Treibern problemlos. Ansonsten findet man auf der WLAN-Seite der FH Fulda (http://www.fh-fulda.de/index.php?id=4016) eine kleine Kompatibilitätsliste von
Wireless-Karten.
16