Inhaltsverzeichnis

FIXME This page is not fully translated, yet.

easyroam as a service

For eaysroam admins and for those who would like to become one: Soft migration to easyroam as a service

easyroam is an extended development of the eduroam service and is mainly aimed at small institutions in DFN, but can also be used by large institutions in DFN.

The idea of merging eduroam and the DFN-AAI is nothing new and was unfortunately hardly possible for a long time, as the DFN-AAI did not yet exist on a large scale. This has changed for some time now, so that it is now possible to make the eduroam service more secure and simpler by merging eduroam and the DFN-AAI. The central core of easyroam is the easyroam portal: https://www.easyroam.de, which serves as a DFN-AAI service provider in the DFN-AAI-Basic and provides eduroam profiles for the common operating systems such as: W10, MacOSX/iOS, ANDROID and LINUX derivatives. The link to easyroam portal can be configured by the configuration tool at https://cat.eduroam.org via the entry of the eduroam IdP (Identity Provider) of the institutions.

In eduroam there is the authentication method called EAP-TLS among others. With EAP-TLS only client/user certificates are used for logging in. The eduroam users can only generate these certificates for eduroam on www.easyroam.de if they are in possession of a valid DFN-AAI IdP ID and the OPTIN-entitlement. The eduroam client/server certificates are part of a „Self-Signed PKI“ and can only be used in eduroam. The easyroam server only stores the pairwise ID (pseudonym) of the DFN-AAI IdP account and the serial number of the client/user certificate which is also part of the roaming identity. A special feature compared to current EAP-TLS offers is that the eduroam users are no longer recognisable by name in the certificate. It is therefore impossible to create tracking profiles of eduroam users. However, it is possible to create an assignment between the Pairwise ID and the certificate serial number and to clearly associate the eduroam user with a person. This means that you are not generally anonymous when using eduroam, as has been the case up to now.

The server software is a .NET development written in C-Sharp. PHP was deliberately omitted, as PHP did not offer the server security expected of server software. The server currently supports three languages: German, English and Chinese (currently being revised).

The instructions at a glance can be found here by easyroam users.

For admins: The internationalisation of easyroam through NAPTR records for realms or for the top-level domain ".de" text records

For the internationalisation of eduroam/easyroam, it is important to configure a so-called NAPTR (Network Authority PoinTeR) record for its realms. But also for national use it is important to configure a text record in the DNS at least for the realms mentioned below. According to the eduroam policy, the realm must be resolvable in the global DNS.

For easyroam, the following NAPTRs are to be configured as examples:

easyroam.<organame.org>.   43200   IN      NAPTR   100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.de.
easyroam-pca.<organame.org>.   43200   IN      NAPTR   100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.de.

Zonen-Name (Label): easyroam.<organame.org>.
43200: DNS cache liftime
IN: For use on the Internet as with any other DNS resource entry.
NAPTR: Network Authority PoinTeR
100: If several NAPTR entries are defined for the label, the lower ordinal number is preferred to the higher one
10: If several NAPTR entries with the same order are defined for this label, the name resolution switches between all these entries
„s“: This NAPTR entry should be resolved into hostnames by performing a subsequent SRV query on the target label
„x-eduroam:radius.tls“: service name
„“: Regular expression, not required for eduroam/easyroam
_radsec._tcp.eduroam.de.: Label des SRV Records

To resolv the SRV label for each NAPTR for eduroam/easyroam witin DFN type in the following command:

host -t SRV _radsec._tcp.eduroam.de.
_radsec._tcp.eduroam.de has SRV record 0 20 2083 tld3.eduroam.de.
_radsec._tcp.eduroam.de has SRV record 0 10 2083 tld2.eduroam.de.
_radsec._tcp.eduroam.de has SRV record 0 0 2083 tld1.eduroam.de.

For admins: easyroam OptIn by using the DFN-AAI-Basic

The following attributes are required to allow users to get access to the DFN-AAI SP https://www.easyroam.de (Entity-ID https://get.eduroam.de/shibboleth):

Bitte beachten, für Admins müssen beide Entitlements optin und admin konfiguriert werden.

Konfigurations-Schnipsel gibt es hier.

Ein Aufruf von https://www.easyroam.de ohne korrekte Entitlements führt aktuell noch zu einem „404 Not Found“ (wird noch geändert) und ist ein Hinweis, dass das Entitlement oder für die Admins die benötigten Entitlements nicht gesetzt sind.

Beispiel für die Freigabe am DFN-AAI SP für die gewöhnliche Nutzenden:

Beispiel für die Freigabe am DFN-AAI SP für Admins:

Die Webseite www.easyroam.de für die eduroam Nutzenden

Die Web-Seite www.easyroam.de dient der Verwaltung der eduroam Profile durch die eduroam Nutzenden. Bitte die Installationsanleitungen s.u. oder Inhaltsverzeichnis beachten! Nach dem Aufruf der Seite https://www.easyroam.de im Browser und der Autorisierung über seinen DFN-AAI IdP gelangt man auf die folgende Seite:

Zugänge generieren

Klickt man auf manuelle Optionen im Hauptmenü kann man zwischen PKCS12, EAP-Config und Mobil-Config (Apple) auswählen:

Das Zertifikatsformat PKCS12 ist für eduroam Nutzende gedacht, die das Betriebssystem Linux verwenden. Das Dateiformat EAP-Config spielt bei dem Workaround auf den ANDROID Geräten später eine wesentliche Rolle. Das Mobile-Config ist für die eduroam Nutzenden des Betriebssystem Mac-OSX gedacht.

Zugänge verwalten

Klickt man mit der Maus auf „Zugänge verwalten“ so gelangen die eduroam Nutzenden in das Verwaltungsmenü für die Zugangszertifikate:

Hier kann man die Seriennnumer des Zertifikats und auch die Laufzeit des Zertifikats einsehen. Wird nun ein Zertifikat widerrufen, so kommt es auf die Widerrufsliste und wird beim Udate der CRL anschließend von RADIUS Server abgelehnt. Bei Widerruf des Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt.

Die Laufzeit der eduroam Profile legen in der Regel die easyroam Administratoren in den Einrichtungen fest. Wenn von den easyroam Administratoren keine Laufzeit der eduroam Profile festgelegt wird, sind die eduroam Profile 3 Monate gültig. Im Bereich „Zugänge verwalten“ unter „Mehr Infos“ und „Uhrzeit und Datum des Ablaufs (UTC):“ besteht die Möglichkeit, eine ICAL Datei für die gängigen Kalender Applikationen auf den Endgeräten herunterzuladen. Die eduroam Nutzenden werden dann in der Regel frühestens 1 Woche und spätestens 1 Tag vor Ablauf des eduroam Profils erinnert, ihr eduroam Profil zu aktualisieren.

Es bietet sich an, die Namen der eduroam Profile frei zu editieren mit mit „Klick“ auf den Kugelschreiber, damit die eduroam Profile den verschiedenen Endgeräten zugeordnet werden können.

Die Webseite www.easyroam.de für die eduroam Admins

Die Admins sehen mehr als die eduroam Nutzenden. Klicken Admins auf den Reiter „Verwalten von Benutzerzugängen“, so können sie anhand der Pairwise-ID und der Seriennummer (die Pairwise-ID ist in der folgenden Grafik nur zum Teil sichtbar, da ausgeschwärzt) die Profile verwalten:

Pairwise-ID und Seriennummer der Zertifikate sind suchbar, geben die Administrierenden die Pairewise-ID ein, so erhalten sie alle Zertifikate der/des pseudonymisierten eduroam Nutzenden angezeigt. Bei Widerruf eiens Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. Grundsätzlich ist es für die eduroam Admins nicht möglich, eduroam Nutzende in easyroam anhand der Pairwise-ID auf dem easyroam Server get.eduroam.de zu sperren. Nur die DFN-AAI IdP Admins können anhand der Pairwise - ID, die eduroam Nutzenden einer Person zuordnen und diese dann das Entitlement für den Zugang zu easyroam entziehen. Das DFN-AAI Team empfiehlt einen DFN-AAI IdP nie ohne Datenbank zu betreiben. Somit lassen sich im Bedarfsfall die Personen anhand der Pairwise-ID durch die zuständigen DFN-AAI IdP Admins leichter zuordnen.

Vorgehensweise der easyroam Admins bei Sperrung einer Person in easyroam

In easyroam werden die Identitäten der Personen durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbverständlich geschützt. Kommt es vor, dass eine Personn in easyroam, z.B. wegen eines virenverseuchten Rechners, gesperrt werden muss, so ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der Zertifikate, die für die Anmeldung in eduroam erforderlich sind, sind fester Bestandteil der Roaming Identität, auch bekannt als äußere Roaming Identität. Die äußere Roaming Identität kann nicht geändert werden, da sie fest an dem CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden ohne, dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennnumer der Profile/Zertifikate, der in eduroam angemeldeten Person, können die zuständigen easyroam Admins auf dem Portal www.easyroam.de im Bereich „Verwalten von Benutzerzugängen“ nach der Pairwise-ID suchen und das betrefende eduroam Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Damit easyroam Nutzende nicht augenblicklich ein neues Profil/Zertifikat für das gesperrte Endgerät genrieren, sollte den Nutzenden Erlaubnis neue Profile zu generieren temporär entzogen werden.

„Klicken“ die easyroam Admins auf die Pairwise-ID, so gelangen diese in die Personenverwaltung.

In der Personenverwaltung können die easyroam Admins das Konto einzelner pseudonymer Personen für die Generierung von easyroam Profile temporär sperren und einzelne eduroam Profile/Zertifikate sowie alle eduroam Profile/Zertifikate der ausgewählten pseudonymen Person widerrufen. Zu beachten ist hier, während des gesamten Vorgangs zur Sperrung von Personen in easyroam wird die wahre Identität der Person zu keiner Zeit offengelegt. Möchte die Person ihren easyroam Account wieder entsperren, so muss diese Person unter Angabe Ihres Pseudonyms (Pairwise - ID) Kontakt zu den easyroam Admins der Einrichtungen aufnehmen. Die Person kann dort erfahren, warum sie gesperrt wurde und welche Schritte unternommen werden müssen, damit der Account der Person erneut freigeschaltet werden kann. Der Vorgang, der zum Widerrufen von easyroam Profile führt, kann nicht mehr rückgängig gemacht werden.

Installation der eduroam Profile auf W10 mit GETEDUROAM

Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).

1. Die GETEDUROAM App herunterladen: https://dl.eduroam.app/windows/x86_64/geteduroam.exe und installieren.

2. GETEDUROAM App starten und den Name seiner Heimateinrichtung in der Organisations - Box eingeben und auf Weiter klicken. Sollte die Heimateinrichtung nicht aufgeführt werden, kann stattdessen der Eintrag „easyroam im Regelbetrieb“ ausgewählt werden.

3. Im anschließenden WAYF (Where Are You From) findet man seine Einrichtung und meldet sich über seinen DFN-AAI IdP Account an.

4. Nach erfolgreicher Anmeldung wird versucht, das Profil zu installieren. Es gibt einen Sicherheitshinweis, aber keine Warnung, dass ein Profil installiert werden soll. Der Installtion des Profils sollte man zustimmen.

W10 versucht eine Verbindung zum eduroam Netz aufzubauen, wenn kein eduroam Netz in der Nähe ist, gibt es logischer Weise einen Hinweis, dass das Netz eduroam nicht erreichbar ist. In der Regel baut W10 automatisch eine Verbindung zum eduroam Netzwerk auf, sobald eines in der Nähe ist.

Installation der eduroam Profile auf iOS <= 12

Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).

1. Browser aufrufen und https://www.easyroam.de eingeben.

2. Nach erfolgreicher Anmeldung über seinen DFN-AAI Identity Provider ein Klick auf „Manuelle Optionen“ und Mobile-Config (Apple) auswählen.

3. Namen für das Profil eingeben, z.B iOS-12-Profil und mit „Zugang generieren“ quittieren.

4. Die Meldung: „Diese Webseite versucht, ein Konfigurationsprofil zu laden. Darf sie das?“ mit Klick auf Zulassen erkauben.

5. Die Meldung: „Profil geladen Überprüfe das Profil in den Einstellungen, wenn du es installieren möchtest.“ mit Klick auf Schließen beenden.

6. Vom Server Abmelden (Schaltfläche im Browser).

7. Einstellungen starten und auf Menü-Punkt: Profil geladen klicken.

8. Anschließend mit Installieren den Vorgang abschließen und sich auf eduroam freuen.

Installation der eduroam Profile auf iOS >= 13

Siehe hier

Installation der eduroam Profile auf macOS

Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). Wenn alte eduroam Profile, die nicht mit easyroam installiert wurden, noch auf dem System sind, bitte vor der Nutzung von easyroam unbedingt löschen. s. „System Prefences/System Einstellungen“ und Profile. Alte Profile, die mit easyroan installiert wurden, müssen nicht vorher gelöscht werden.

1. Browser (in der Regel Safari) aufrufen und https://www.easyroam.de eingeben.

2. Nach erfolgreicher Anmeldung ein Klick auf „Manuelle Optionen“ und Mobile-Config (Apple) auswählen.

3. Mit dem „Klick“ auf „Zugang generieren“ erscheint im Vordergrund des Browser-Fensters die Download Box.

4. Mit „Klick“ auf „OK“ geht es weiter. Anschließend „System Prefences/System Einstellungen“ aufrufen

und unten rechts Profiles auswählen.

5. Es erscheint ein Menü mit den Nutzerprofilen und mit dem heruntegeladenen Profil, Dreieck Icon mit gelb hinterlegtem Ausrufezeichen.

Das heruntegeladene Profil anklicken und dann ein „Klick“ auf Install/Installieren, es erscheint das nächste Menü.

6. Nun besteht nochmals Möglichkeit in die Details des Profils zu schauen oder die Installation abzuschließen. Bei Abschluss der Installation fragt das System nach dem Passwort des Users, damit wird die Erlaubnis erteilt das Profil auf dem System zu installieren. Nach der Installation versucht der MacOSX-Rechner eine Verbindung zum eduroam Netz aufzubauen. Sollte kein eduroam Netz in der Nähe sein, so kann es zu einer Fehlermeldung kommen. Das Profil ist jedoch installiert und sobald ein eduroam Netz gefunden wird, wird eine automatische Anmeldung im eduroam Netz durchgeführt.

Installation der eduroam Profile auf ANDROID >= 10

Siehe hier

Installation der eduroam Profile auf ANDROID <= 9

Sicherstellen, dass eine Internetverbindung besteht, WLAN (nicht eduroam), LTE, etc.

1. WEB-Browser, z.B. Chrome und https://www.easyroam.de eingeben. Im WAYF (Where Are You From) den eigenen DFN-AAI IdP auswählen.

2. Am DFN-AAI IdP anmelden und nach erfolgreicher Anmeldung auf „Manuelle Optionen“ klicken. EAP-Config (Kreis links EAP-Config klicken) und in der Eingabe-Box Name (Klick auf Eingabebox),einen Namen auswählen, z.B. MyAndroid und auf „Zugang generieren“.

3. Nun muss man leider ein wenig Geduld beweisen und versuchen auf „Zugang genrieren“ zu klicken. Die Darstellung ist auf dem SmartPhone alles andere als freundlich für die eduroam Nutzenden. Es ist eben ein WORKAROUND. Vielleicht geht es im Querformat besser oder verkleinern bzw. vergrößern. Schafft man es auf „Zugang generieren“ erfolgreich zu klicken, wird die EAP-Config heruntergeladen.

4. Bitte Browser schließen und eduroamCAT App starten. Nun wird es spannend, wenn die wichtigen Vorbereitungen durchgeführt worden sind, wird in der eduroamCAT App der Reiter Profile ausgwählt.

5. Nun ins Menü oben rechts auf die drei untereinander stehenden Punkte klicken.

6. „Konfigurationsdatei auswählen“ auswählen und anschließemd im Suchfeld oben eap eingeben.

7. Das heruntergeladene Profil (s. Datum) auswählen. Bevor das Profil gelesen wird, muss das Passwort für den Zugriff auf den geheimen Zertifikatsschlüssel eingegeben werden. Das Passwort lautet: pkcs12 .

8. Auf „ok“ klicken und dann (s. Abbildung) auf Installieren klicken.

9. Leider nochmal auf Installieren klicken.

10. Dieses Mal nicht auf installieren klicken denn dort steht doch Profil installiert, ist aber egal.

Installation der easyroam Profile auf Linux Geräten

Die Nutzung von easyroam ist selbstverständlich auch auf Linux Derivaten möglich. Leider gibt es keine allgemein gültige Anleitung. Im folgenden wird beschrieben wie die einzelnen Komponenten, die bei einer manuellen Konfiguration von easyroam auf Linux Geräten benötigt werden, aus dem easyroam Portal gewonnen werden können:

1. Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN.

2. Anmeldung am easyroam Portal: https:www.easyroam.de.

3. Direkt nach der erfolgreichen Anmeldung am Portal auf „Manuelle Optionen“ klicken und PKCS12 mit Klick auf die Auswahlbox auswählen.

4. Den Profil Namen angeben und auf Zugang generieren klicken.

5. Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird der CLI von openssl verwendet:

6. Es finden sich in der Tat Anleitungen im Netz, um EAP-TLS auf diversen Network Managern aus den angegebenen Komponenten zu konfigurieren. Exemplarisch wird anhand des CLI netctl auf Archlinux gezeigt wie EAP-TLS und damit easyroam/eduroam auf einem Linux Gerät konfiguriert werden kann. Folgendes wird vorausgesetzt:

Die in Schritt 5. generierten Dateien (easyroam_client_cert.pem, easyroam_client_key.pem, easyroam_root_ca.pem) unter /etc/netctl/cert ablegen und anschließend ein File mit dem Namen easyroam erzeugen, dort wird folgendes hineingeschrieben und gespeichert:

description='easyroam connection'
Interface=wlan0
Connection=wireless
Security='wpa-configsection'
IP='dhcp'
WPAConfigSection=(
    'ssid="eduroam"'
    'key_mgmt=WPA-EAP'
    'eap=TLS'
    'proto=WPA RSN'
    'identity="76673789883214453797@easyroam.realm_der_einrichtung.tld"'   # Hier muss der CN (Common Name) aus dem easyroam Pseudozertifikat stehen!
    'client_cert="/etc/netctl/cert/easyroam_client_cert.pem"'
    'private_key="/etc/netctl/cert/easyroam_client_key.pem"'
    'private_key_passwd="FORYOUREYSEONLY"'
    'ca_cert="/etc/netctl/cert/easyroam_root_ca.pem"'
    'ca_cert2="/etc/netctl/cert/easyroam_root_ca.pem"'
) 

Mit Root Rechten wird folgendes Kommando aufgerufen:

netctl start easyroam 

Soll permanent easyroam instaliert werden, so wird folgendes Komando aufgerufen:

netctl enable easyroam

Erfahrungsberichte zur easyroam app auf ANDROID Geräten

  1. Bisher nur auf OnePlus ANDROID 12: Wenn zum eduroam WLAN weitere manuelle WLAN's konfiguriert sind, funktioniert das Wechseln zwischen den automatisch konfigurierten eduroam WLAN und den manuell konfigurierten WLAN's nicht. Nutzt man ein manuell konfiguriertes WLAN und will zu eduroam wechseln, funktioniert das leider nicht.

    Auf OnePlus ANDROID 11 besteht das Problem nicht!

  2. Huawei P40 ANDROID 11, P20 ANDROID 10: Das Profil für easroam wird zwar generiert, aber lässt sich nicht über die easyroam app auf den Geräten P20/40 installieren.