EasyRoam4Edu versteht sich als eine Weiterentwicklung des eduroam Dienstes und richtet sich hauptsächlich an kleine Einrichtungen im DFN, kann aber auch von großen Einrichtungen im DFN genutzt werden.

Die Idee eduroam und die DFN-AAI zusammenzuführen ist nichts Neues und war lange Zeit leider nicht möglich, da es die DFN-AAI in der Fläche noch nicht gab. Das hat sich seit einiger Zeit geändert, so dass nun die Möglichkeit gegeben ist, den Dienst eduroam mit der Zusammenführung von eduroam und DFN-AAI sicherer und einfacher zu gestalten. Im Pilotbetrieb gibt es den EasyRoam4Edu Server https://get.eduroam.de, der als DFN-AAI Service Provider in der DFN-AAI-Basic, eduroam Profile für die gängigen Betriebssystem wie: W10, MacOSX/iOS, ANDROID und LINUX Derivate bereitstellt. Der EasyRoam Server ist dabei in den Konfigurationsassistenten auf https://cat.eduroam.org eingebunden und kann auch darüber aktuell über den Eintrag EasyRoam4Edu (DFN-GS Pilot) angesteuert werden.

In eduroam gibt es neben anderen Verfahren zur Anmeldung die Authentifizierungsmedthode EAP-TLS. Bei dieser Methode kommen ausschließlich Client/Nutzer Zertifikate für die Anmeldung zum Einsatz. Diese Zertifikate für eduroam können die eduroam Nutzenden auf get.eduroam.de nur generieren, wenn sie im Besitz einer gültigen DFN-AAI IdP Kennung mit Opt In sind. Die eduroam Client/Server Zertifikate sind Teil einer „Self-Signed PKI“ und können nur in eduroam eingesetzt werden. Der EasyRoam Server speichert ausschließlich nur die Pairwise - ID (Pseudonym) des DFN-AAI IdP Account und die Seriennummer des Client/Nutzer Zertifikats. Letzteres ist auch Teil der Roaming Indentität. Eine Besonderheit gegenüber aktuellen EAP-TLS Angeboten, einschließlich der DFN-GS, ist der, dass die eduroam Nutzenden nicht mehr mit Namen im Zertifikat erkennbar sind. Somit ist es unmöglich Bewegungsprofile der eduroam Nutzenden zu erstellen. Jedoch ist es möglich, eine Zuordnung zwischen Pairwise - ID und Zertifikats-Seriennummer herzustellen und den eduroam Nutzenden eindeutig mit einer Person in Verbindung zu bringen. Somit ist man nicht generell anonym in eduroam unterwegs, wie das auch bisher der Fall ist.

Die Server Software ist eine .NET Entwicklung in C-Sharp geschrieben. Es wurde bewusst auf PHP verzichtet, da PHP nicht die Server Sicherheit bot, die an die Server Software gelegt wurde. Der Server unterstützt aktuell drei Sprachen: Chinesisch, Deutsch und Englisch.

Für W10 und IOS kann die Installation der eduroam Profile von get.eduroam.de über die GETEDUROAM App realisiert werden. Das läuft bereits sehr stabil. Anleitungen s. weiter unten im Dokument. Die GETEDUROAM läuft ausschließlich auf ANDROID >= 9 für ältere Versionen gibt es einen Workaround.

Für die Freigabe am DFN-AAI SP https://get.eduroam.de (Entity-ID https://get.eduroam.de/shibboleth) werden folgende Attribute benötigt:

Bitte beachten, für Admins müssen beide Entitlements optin und admin konfiguriert werden.

Konfigurations-Schnipsel gibt es hier.

Ein Aufruf von https://get.eduroam.de ohne korrekte Entitlements führt aktuell noch zu einem „404 Not Found“ (wird noch geändert) und ist ein Hinweis, dass das Entitlement oder für die Admins die benötigten Entitlements nicht gesetzt sind.

Beispiel für die Freigabe am DFN-AAI SP für die gewöhnliche Nutzenden:

Beispiel für die Freigabe am DFN-AAI SP für Admins:

Die Zugehörigkeiten (Affiliations) werden im Pilotbetrieb noch nicht ausgewertet.

GETEDUROAM ist die offizielle eduroam App von GÉANT. Für Windows 10 muss die aktuelle GETEDUROAM App Version 3.2.5 verwendet werden. Die GETEDUROAM App läuft stabil auf IOS (außer IOS 15.1 aufgrund eines Bugs in IOS 15.1) Geräten. GETEDUROAM greift auf den Konfigurationsassistenten cat.eduroam.org zurück, alle anderen Anmeldeverfahren sind weiterhin möglich.

Die Web-Seite get.eduroam.de dient der Verwaltung der eduroam Profile durch die eduroam Nutzenden. Bitte die Installationsanleitungen s.u. oder Inhaltsverzeichnis beachten! Nach dem Aufruf der Seite https://get.eduroam.de im Browser und der Autorisierung über seinen DFN-AAI IdP gelangt man auf die folgende Seite:

Zugänge generieren

Klickt man auf manuelle Optionen im Hauptmenü kann man zwischen PKCS12, EAP-Config und Mobil-Config (Apple) auswählen:

Das Zertifikatsformat PKCS12 ist für eduroam Nutzende gedacht, die das Betriebssystem Linux verwenden. Das Dateiformat EAP-Config spielt bei dem Workaround auf den ANDROID Geräten später eine wesentliche Rolle. Das Mobile-Config ist für die eduroam Nutzenden des Betriebssystem Mac-OSX gedacht.

Zugänge verwalten

Klickt man mit der Maus auf „Zugänge verwalten“ so gelangen die eduroam Nutzenden in das Verwaltungsmenü für die Zugangszertifikate:

Hier kann man die Seriennnumer des Zertifikats und auch die Laufzeit des Zertifikats einsehen. Wird nun ein Zertifikat widerrufen, so kommt es auf die Widerrufsliste und wird beim Udate der CRL anschließend von RADIUS Server abgelehnt. Bei Widerruf des Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt.

Die Laufzeit der eduroam Profile legen in der Regel die EasyRoam4Edu Administratoren in den Einrichtungen fest. Wenn von den EasyRoam4Edu Administratoren keine Laufzeit der eduroam Profile festgelegt wird, sind die eduroam Profile 3 Monate gültig. Im Bereich „Zugänge verwalten“ unter „Mehr Infos“ und „Uhrzeit und Datum des Ablaufs (UTC):“ besteht die Möglichkeit, eine ICAL Datei für die gängigen Kalender Applikationen auf den Endgeräten herunterzuladen. Die eduroam Nutzenden werden dann in der Regel frühestens 1 Woche und spätestens 1 Tag vor Ablauf des eduroam Profils erinnert, ihr eduroam Profil zu aktualisieren.

Es bietet sich an, die Namen der eduroam Profile frei zu editieren mit mit „Klick“ auf den Kugelschreiber, damit die eduroam Profile den verschiedenen Endgeräten zugeordnet werden können.

Die Admins sehen mehr als die eduroam Nutzenden. Klicken Admins auf den Reiter „Verwalten von Benutzerzugängen“, so können sie anhand der Pairwise-ID und der Seriennummer (die Pairwise-ID ist in der folgenden Grafik nur zum Teil sichtbar, da ausgeschwärzt) die Profile verwalten:

Pairwise-ID und Seriennummer der Zertifikate sind suchbar, geben die Administrierenden die Pairewise-ID ein, so erhalten sie alle Zertifikate der/des pseudonymisierten eduroam Nutzenden angezeigt. Bei Widerruf eiens Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. Grundsätzlich ist es für die eduroam Admins nicht möglich, eduroam Nutzende in EasyRoam4Edu anhand der Pairwise-ID auf dem EasyRoam4Edu Server get.eduroam.de zu sperren. Nur die DFN-AAI IdP Admins können anhand der Pairwise - ID, die eduroam Nutzenden einer Person zuordnen und diese dann das Entitlement für den Zugang zu EasyRoam4Edu entziehen. Das DFN-AAI Team empfiehlt einen DFN-AAI IdP nie ohne Datenbank zu betreiben. Somit lassen sich im Bedarfsfall die Personen anhand der Pairwise-ID durch die zuständigen DFN-AAI IdP Admins leichter zuordnen.

Vorgehensweise der EasyRoam4Edu Admins bei Sperrung einer Person in EasyRoam4Edu

In EasyRoam4Edu werden die Identitäten der Personen durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbverständlich geschützt. Kommt es vor, dass eine Personn in EasyRoam4Edu, z.B. wegen eines virenverseuchten Rechners, gesperrt werden muss, so ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der Zertifikate, die für die Anmeldung in eduroam erforderlich sind, sind fester Bestandteil der Roaming Identität, auch bekannt als äußere Roaming Identität. Die äußere Roaming Identität kann nicht geändert werden, da sie fest an dem CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in EasyRoam4Edu unterschieden werden ohne, dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennnumer der Profile/Zertifikate, der in eduroam angemeldeten Person, können die zuständigen EasyRoam4Edu Admins auf dem Portal get.eduroam.de im Bereich „Verwalten von Benutzerzugängen“ nach der Pairwise-ID suchen und das betrefende eduroam Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Damit EasyRoam4Edu Nutzende nicht augenblicklich ein neues Profil/Zertifikat für das gesperrte Endgerät genrieren, sollte den Nutzenden Erlaubnis neue Profile zu generieren temporär entzogen werden.

„Klicken“ die EasyRoam4Edu Admins auf die Pairwise-ID, so gelangen diese in die Personenverwaltung.

In der Personenverwaltung können die EasyRoam4Edu Admins das Konto einzelner pseudonymer Personen für die Generierung von EasyRoam4Edu Profile temporär sperren und einzelne eduroam Profile/Zertifikate sowie alle eduroam Profile/Zertifikate der ausgewählten pseudonymen Person widerrufen. Zu beachten ist hier, während des gesamten Vorgangs zur Sperrung von Personen in EasyRoam4Edu wird die wahre Identität der Person zu keiner Zeit offengelegt. Möchte die Person ihren EasyRoam4Edu Account wieder entsperren, so muss diese Person unter Angabe Ihres Pseudonyms (Pairwise - ID) Kontakt zu den EasyRoam4Edu Admins der Einrichtungen aufnehmen. Die Person kann dort erfahren, warum sie gesperrt wurde und welche Schritte unternommen werden müssen, damit der Account der Person erneut freigeschaltet werden kann. Der Vorgang, der zum Widerrufen von EasyRoam4Edu Profile führt, kann nicht mehr rückgängig gemacht werden.

Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN.

1. Die GETEDUROAM App herunterladen: https://github.com/geteduroam/windows-app/releases/download/geteduroam-3.2.5/geteduroam.exe und installieren.

2. GETEDUROAM App starten und EasyRoam4Edu (DFN-GS-Pilot) in der Organisations - Box eingeben und auf Weiter klicken. Hier wird der eduroam IdP ausgewählt, wie die eduroam Nutzenden das von cat.eduroam.org her kennen. Erst im nächsten Schritt wird dann der DFN-AAI IdP ausgewählt: (Abbildung folgt).

3. Mit seinem DFN-AAI IdP Account anmelden.

4. Nach erfolgreicher Anmeldung wird versucht, das Profil zu installieren. Es gibt einen Sicherheitshinweis, dass ein Profil installiert werden soll. Der Installtion des Profils sollte man zustimmen.

W10 versucht eine Verbindung zum eduroam Netz aufzubauen, wenn kein eduroam Netz in der Nähe ist, gibt es logischer Weise einen Hinweis, dass das Netz eduroam nicht erreichbar ist. In der Regel baut W10 automatisch eine Verbindung zum eduroam Netzwerk auf, sobald eines in der Nähe ist.

Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).

Bei Erneuerung des EasyRoam4Edu Profils bzw. des Zertifikats ab Schritt 2 der Anleitung folgen.

1. Die GETEDUROAM App aus dem Apple App Store herunterladen und installieren.

2. GETEDUROAM App starten und EasyRoam4Edu (DFN-GS-Pilot) in der Organisations - Box eingeben und auf weiter klicken. Hier wird der eduroam IdP ausgewählt, nicht der DFN-AAI IdP! s. nächsten Schritt.

3. Den DFN-AAI IdP auswählen und mit seinem DFN-AAI IdP Account anmelden.

4. Nach erfolgreicher Anmeldung wird das Profil automatisch installiert.

IOS versucht eine Verbindung zum eduroam Netz aufzubauen. Bei der Neuinstallation des Profils kann der Verbindungsaufbau etwas länger dauern ca. 30 - 60 Sekunden, da das Profil vom Betriebssystem zunächst etabliert werden muss, bestehende Netz-Verbindungen werden kurz unterbrochen.

Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).

1. Browser aufrufen und https://get.eduroam.de eingeben.

2. Nach erfolgreicher Anmeldung über seinen DFN-AAI Identity Provider ein Klick auf „Manuelle Optionen“ und Mobile-Config (Apple) auswählen.

3. Namen für das Profil eingeben, z.B iOS-15-Profil und mit „Zugang generieren“ quittieren.

4. Die Meldung: „Diese Webseite versucht, ein Konfigurationsprofil zu laden. Darf sie das?“ mit Klick auf Zulassen erkauben.

5. Die Meldung: „Profil geladen Überprüfe das Profil in den Einstellungen, wenn du es installieren möchtest.“ mit Klick auf Schließen beenden.

6. Vom Server Abmelden (Schaltfläche im Browser).

7. Einstellungen starten und auf Menü-Punkt: Profil geladen klicken.

8. Anschließend mit Installieren den Vorgang abschließen und sich auf eduroam freuen.

Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).

Bei Erneuerung des EasyRoam4Edu Profils bzw. des Zertifikats ab Schritt 2 der Anleitung folgen.

1. Die GETEDUROAM App aus dem Google PlayStore herunterladen und installieren.

2. GETEDUROAM App starten und EasyRoam4Edu (DFN-GS-Pilot) in der Organisations - Box eingeben und auf weiter klicken. Hier wird der eduroam IdP ausgewählt, nicht der DFN-AAI IdP! s. nächsten Schritt.

3. Den DFN-AAI IdP auswählen und mit seinem DFN-AAI IdP Account anmelden.

4. Nach erfolgreicher Anmeldung wird das Profil automatisch installiert.

ANDROID versucht eine Verbindung zum eduroam Netz aufzubauen. Bei der Neuinstallation des Profils kann der Verbindungsaufbau etwas länger dauern ca. 30 - 60 Sekunden, da das Profil vom Betriebssystem zunächst etabliert werden muss, bestehende Netz-Verbindungen werden kurz unterbrochen.

Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). Wenn alte eduroam Profile, die nicht mit EasyRoam4Edu installiert wurden, noch auf dem System sind, bitte vor der Nutzung von EasyRoam4Edu unbedingt löschen. s. „System Prefences/System Einstellungen“ und Profile. Alte Profile, die mit EasyRoam4Edu installiert wurden, müssen nicht vorher gelöscht werden.

1. Browser (Safari) aufrufen und https://get.eduroam.de eingeben.

2. Nach erfolgreicher Anmeldung ein Klick auf „Manuelle Optionen“ und Mobile-Config (Apple) auswählen.

3. Mit dem „Klick“ auf „Zugang generieren“ erscheint im Vordergrund des Browser-Fensters die Download Box.

4. Mit „Klick“ auf „OK“ geht es weiter. Anschließend „System Prefences/System Einstellungen“ aufrufen

und unten rechts Profiles auswählen.

5. Es erscheint ein Menü mit den Nutzerprofilen und mit dem heruntegeladenen Profil, Dreieck Icon mit gelb hinterlegtem Ausrufezeichen.

Das heruntegeladene Profil anklicken und dann ein „Klick“ auf Install/Installieren, es erscheint das nächste Menü.

6. Nun besteht nochmals Möglichkeit in die Details des Profils zu schauen oder die Installation abzuschließen. Bei Abschluss der Installation fragt das System nach dem Passwort des Users, damit wird die Erlaubnis erteilt das Profil auf dem System zu installieren. Nach der Installation versucht der MacOSX-Rechner eine Verbindung zum eduroam Netz aufzubauen. Sollte kein eduroam Netz in der Nähe sein, so kann es zu einer Fehlermeldung kommen. Das Profil ist jedoch installiert und sobald ein eduroam Netz gefunden wird, wird eine automatische Anmeldung im eduroam Netz durchgeführt.

Für ANDROID Versionen ab 9 steht die GETEDUROAM App im Google PlayStore zur Verfügung.

Sicherstellen, dass eine Internetverbindung besteht, WLAN (nicht eduroam), LTE, etc.

1. WEB-Browser, z.B. Chrome und https://get.eduroam.de eingeben. Im WAYF (Where Are You From) den eigenen DFN-AAI IdP auswählen.

2. Am DFN-AAI IdP anmelden und nach erfolgreicher Anmeldung auf „Manuelle Optionen“ klicken. EAP-Config (Kreis links EAP-Config klicken) und in der Eingabe-Box Name (Klick auf Eingabebox),einen Namen auswählen, z.B. MyAndroid und auf „Zugang generieren“.

3. Nun muss man leider ein wenig Geduld beweisen und versuchen auf „Zugang genrieren“ zu klicken. Die Darstellung ist auf dem SmartPhone alles andere als freundlich für die eduroam Nutzenden. Es ist eben ein WORKAROUND. Vielleicht geht es im Querformat besser oder verkleinern bzw. vergrößern. Schafft man es auf „Zugang generieren“ erfolgreich zu klicken, wird die EAP-Config heruntergeladen.

4. Bitte Browser schließen und eduroamCAT App starten. Nun wird es spannend, wenn die wichtigen Vorbereitungen durchgeführt worden sind, wird in der eduroamCAT App der Reiter Profile ausgwählt.

5. Nun ins Menü oben rechts auf die drei untereinander stehenden Punkte klicken.

6. „Konfigurationsdatei auswählen“ auswählen und anschließemd im Suchfeld oben eap eingeben.

7. Das heruntergeladene Profil (s. Datum) auswählen. Bevor das Profil gelesen wird, muss das Passwort für den Zugriff auf den geheimen Zertifikatsschlüssel eingegeben werden. Das Passwort lautet: pkcs12 und ist von GETEDUROAM übernommen worden.

8. Auf „ok“ klicken und dann (s. Abbildung) auf Installieren klicken.

9. Leider nochmal auf Installieren klicken.

10. Dieses Mal nicht auf installieren klicken denn dort steht doch Profil installiert, ist aber egal.

  • Zuletzt geändert: vor 2 Wochen