Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:eduroam:easyroam [2023/07/05 13:14] – [Erfahrungsberichte zur easyroam app auf ANDROID Geräten] Ralf Paffrath
+++ de:eduroam:easyroam [2024/02/16 08:53] – [Für Admins: easyroam in der DFN-AAI im OptIn] Ralf Paffrath
@@ Zeile 53: / Zeile 53: @@
   * [[de:common_attributes#a17|samlPairwiseID]], siehe [[de:shibidp:config-attributes-aaiplus|Generierung]] und [[de:shibidp:config-storage#umstellung_auf_saml_pairwise-id|Umstellung ]]
   * [[de:common_attributes#a10|eduPersonEntitlement]] mit den Werten
+  <alert>Im Folgendem handelt es sich um Attributwerte und nicht um Links!</alert>
     * https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins
     * https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende und Admins
@@ Zeile 106: / Zeile 107: @@
 Die Admins sehen mehr als die eduroam Nutzenden. Klicken Admins auf den Reiter "Verwalten von Benutzerzugängen", so können sie anhand der Pairwise-ID und der Seriennummer (die Pairwise-ID ist in der folgenden Grafik nur zum Teil sichtbar, da ausgeschwärzt) die Profile verwalten:
-{{:de:eduroam:screenshot_2021-08-04_at_16.55.43.png?400|}}
+{{:de:eduroam:screenshot_2023-11-14_at_16.03.13.png?400|}}
 Pairwise-ID und Seriennummer der Zertifikate sind suchbar, geben die Administrierenden die Pairewise-ID ein, so erhalten sie alle Zertifikate der/des pseudonymisierten eduroam Nutzenden angezeigt. Bei Widerruf eines Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. Grundsätzlich ist es für die eduroam Admins nicht möglich, eduroam Nutzende in easyroam anhand der Pairwise-ID auf dem easyroam Server get.eduroam.de zu sperren. Nur die DFN-AAI IdP Admins können anhand der Pairwise - ID, die eduroam Nutzenden einer Person zuordnen und diese dann das Entitlement für den Zugang zu easyroam entziehen. Das DFN-AAI Team empfiehlt einen DFN-AAI IdP nie ohne Datenbank zu betreiben. Somit lassen sich im Bedarfsfall die Personen anhand der Pairwise-ID durch die zuständigen DFN-AAI IdP Admins leichter zuordnen.
@@ Zeile 112: / Zeile 113: @@
 === Vorgehensweise der easyroam Admins bei Sperrung einer Person in easyroam ===
 In easyroam werden die Identitäten der Personen durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbstverständlich geschützt.
-Kommt es vor, dass eine Person in easyroam, z.B. wegen eines virenverseuchten Rechners, gesperrt werden muss, so ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der Zertifikate, die für die Anmeldung in eduroam erforderlich sind, sind fester Bestandteil der Roaming Identität, auch bekannt als äußere Roaming Identität. Die äußere Roaming Identität kann nicht geändert werden, da sie fest an dem CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden ohne, dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennummer der Profile/Zertifikate, der in eduroam angemeldeten Person, können die zuständigen easyroam Admins auf dem Portal www.easyroam.de im Bereich "Verwalten von Benutzerzugängen" nach der Pairwise-ID suchen und das betreffende eduroam Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Damit easyroam Nutzende nicht augenblicklich ein neues Profil/Zertifikat für das gesperrte Endgerät generieren, sollte den Nutzenden Erlaubnis neue Profile zu generieren temporär entzogen werden.
+Kommt es vor, dass eine Person in easyroam, z.B. wegen eines virenverseuchten Rechners, gesperrt werden muss, so ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der Zertifikate, die für die Anmeldung in eduroam erforderlich sind, sind fester Bestandteil der Roaming Identität, auch bekannt als äußere Roaming Identität. Die äußere Roaming Identität kann nicht geändert werden, da sie fest an dem CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden ohne, dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennummer der Profile/Zertifikate, der in eduroam angemeldeten Person, können die zuständigen easyroam Admins auf dem Portal www.easyroam.de im Bereich "Verwalten von Benutzerprofilen" nach der Pairwise-ID suchen und das betreffende eduroam Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Damit easyroam Nutzende nicht augenblicklich ein neues Profil/Zertifikat für das gesperrte Endgerät generieren, sollte den Nutzenden Erlaubnis neue Profile zu generieren temporär entzogen werden.
 {{:de:eduroam:screenshot_2021-11-17_at_15.24.02.png?400|}}
@@ Zeile 127: / Zeile 128: @@
 Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).
-. Wenn vorher die GETEDUROAM app installiert war, diese bitte löschen.
+. Wenn die GETEDUROAM app und/oder alte eduroam Profile installiert sind, diese bitte jetzt löschen.
 . Die easyroam app herunterladen: [[https://www.easyroam.de/winapp/easyroam.msix]] und installieren.
@@ Zeile 184: / Zeile 185: @@
 {{:de:eduroam:screenshot_2021-08-06_at_07.54.28.png?400|}}
-. Mit "Klick" auf "OK" geht es weiter. Anschließend "System Preferences/System Einstellungen" aufrufen
+. Mit "Klick" auf "OK" geht es weiter. Anschließend "System Preferences/System Einstellungen" aufrufen.
+Im Suchfenster wird anschließend "Profile" eingeben und das Untermenü "Profile" aufgerufen.
-{{:de:eduroam:screenshot_2021-08-06_at_07.58.10.png?400|}}
+{{:de:eduroam:screenshot_2023-09-30_at_07.42.06.png?400|}}
-und unten rechts Profiles auswählen.
 . Es erscheint ein Menü mit den Nutzerprofilen und mit dem heruntergeladenen Profil, Dreieck Icon mit gelb hinterlegtem Ausrufezeichen.
@@ Zeile 240: / Zeile 240: @@
 <alert>
 Wichtige Vorbereitungen:
-Sollte bereits ein eduroam Profile auf dem Gerät installiert sein, bitte löschen. Aus dem Google PlayStore die eduroamCAT App herunterladen.
+Sollte bereits ein eduroam Profile auf dem Gerät installiert sein, bitte löschen. Aus dem Google PlayStore die eduroamCAT App herunterladen. Bitte die eduroamCAT App nur dann herunterladen und dieser Anleitung folgen, wenn auf dem Gerät auch wirklich ein ANDROID < = 9 läuft.
 </alert>
@@ Zeile 319: / Zeile 319: @@
 Online-Zertifikatstatus: Zertifikatstatus anfordern
 Domain: easyroam.eduroam.de
-Nutzerzertifikat auswählen: Dateinamen, den man oben beim Einlesen der PKCS12-Datei vergeben hat, auswählen, z.B. MyAndroidCert</code>
+Nutzerzertifikat auswählen: Dateinamen, den man, s. oben, beim Einlesen der PKCS12-Datei vergeben hat, auswählen, z.B. MyAndroidCert</code>
-<alert>ACHTUNG: Als Identität gibt man die Seriennummer des easyroam Pseudozertifikats an, gefolgt vom easyroam Realm seiner Einrichtung.
+<alert>ACHTUNG: Als Identität gibt man die Seriennummer des easyroam Pseudozertifikats an, gefolgt vom easyroam Realm der EIGENEN!!! Einrichtung.
-Beispiel: 12345678910@easyroam-pca.dfn.de. Die Identität ist in der Regel der CN (Common Name) des easyroam Pseudozertifikats.
+Beispiel: Wenn vorher der Realm anonymous@dfn.de oder anonymous@uni-greifswald.de eingegeben wurde, muss nun vor dem dfn.de oder vor uni-greifswald.de ein easyroam-pca stehen, mit Angabe der Seriennummer des Pseudozertifikats, z.B. 12345678910@easyroam-pca.dfn.de oder 12345678910@easyroam-pca.uni-greifswald.de. Die Seriennummer hier in der Anleitung ist nur ein Beispiel!!!
-Die Übereinstimmung von Identität und CN im easyroam Pseudozertifikat wird vom RADIUS Server geprüft. Ohne korrekte Eingabe der Identität ist keine Anmeldung in eduroam via easyroam möglich.
+Die Identität ist in der Regel der CN (Common Name) des easyroam Pseudozertifikats. Die Übereinstimmung von Identität und CN im easyroam Pseudozertifikat wird vom RADIUS Server geprüft. Ohne korrekte Eingabe der Identität ist keine Anmeldung in eduroam via easyroam möglich.
 Die Seriennummer des easyroam Pseudozertifikats kann man auf dem Portal [[http://www.easyroam.de|http://www.easyroam.de]] im Bereich "Profile verwalten" einsehen.
-Man hängt anschließend nur noch den Relam seiner Einrichtung an, z.B. @easyroam-pca.dfn.de an.</alert>
+Man hängt anschließend nur noch den Realm seiner Einrichtung an, z.B. @easyroam-pca.dfn.de an.</alert>
 {{:de:eduroam:wlan_hinzufuegen.png?200|}} {{:de:eduroam:wlan_hinzufuegen2.png?200|}}
@@ Zeile 347: / Zeile 347: @@
 . Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird der CLI von openssl verwendet:
 <alert>Bitte beachten, dass Import Password der .p12 - Datei ist leer. Bei der Verwendung von openssl auf die Formulierung achten: Enter Import Password mit <Return> quittieren.</alert>
-  * Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -legacy -nokeys > easyroam_client_cert.pem</code><alert>Bitte beachten, die Option -legacy muss hier und im folgenden eventuel weggelassen werden. Leider ist die Verwendung der Option OpenSSL versionsabhängig.</alert>
+  * Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -legacy -nokeys | openssl x509 > easyroam_client_cert.pem</code>
-  * Private Key:<alert>Bitte beachten, da die diversen Network Manager und der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich! </alert><code>openssl pkcs12 -legacy -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem</code>
+  * CN (Common Name) Extraktion: <code>openssl x509 -noout -subject -in easyroam_client_cert.pem -legacy | sed 's/.*CN = \(.*\), C.*/\1/'</code><alert>Bitte beachten, die Option -legacy muss hier und im folgenden eventuel weggelassen werden. Leider ist die Verwendung der Option OpenSSL versionsabhängig.</alert>
-  * RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -cacerts > easyroam_root_ca.pem</code>
+  * Private Key:<alert>Bitte beachten, da die diversen Network Manager und der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich! </alert><code>openssl pkcs12 -legacy -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem -legacy</code>
+  * RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -legacy -cacerts -nokeys > easyroam_root_ca.pem</code>
   * Die .p12 auf einem Blick:<code>openssl pkcs12 -info -in my_easyroam_cert.p12 -legacy -nodes</code><alert>Mit Copy/Paste können die Zertifikats-Dateien auch zusammengebaut werden. Zu beachten ist, dass noch der Private Key mit einem Passwort versehen werden muss.</alert>
 . Es finden sich in der Tat Anleitungen im Netz, um EAP-TLS auf diversen Network Managern aus den angegebenen Komponenten zu konfigurieren. Exemplarisch wird anhand des CLI netctl auf Archlinux gezeigt wie EAP-TLS und damit easyroam/eduroam auf einem Linux Gerät konfiguriert werden kann. Folgendes wird vorausgesetzt:
   * netctl
-  * wpa_spplicant
+  * wpa_supplicant
   * easyroam .p12 Pseudozertifikat
 Die in Schritt 5. generierten Dateien (easyroam_client_cert.pem, easyroam_client_key.pem, easyroam_root_ca.pem) unter /etc/netctl/cert ablegen und anschließend ein File mit dem Namen easyroam erzeugen, dort wird folgendes hineingeschrieben und gespeichert:<code>description='easyroam connection'
@@ Zeile 366: / Zeile 367: @@
     'eap=TLS'
     'proto=WPA RSN'
-    'identity="76673789883214453797@easyroam.realm_der_einrichtung.tld"'   # Hier muss der CN (Common Name) aus dem easyroam Pseudozertifikat stehen und auf keinen Fall die Pairwise-ID!!!!!
+    'identity="76673789883214453797@easyroam.realm_der_einrichtung.tld"'   # Hier muss der CN (Common Name) aus dem easyroam Pseudozertifikat stehen, siehe oben. Auf keinen Fall die Pairwise-ID eingeben!!!!!
     'client_cert="/etc/netctl/cert/easyroam_client_cert.pem"'
     'private_key="/etc/netctl/cert/easyroam_client_key.pem"'
@@ Zeile 376: / Zeile 377: @@
 Mit Root Rechten wird folgendes Kommando aufgerufen:<code>netctl start easyroam </code>Soll permanent easyroam installiert werden, so wird folgendes Kommando aufgerufen:<code>netctl enable easyroam</code>
+==== Installation der easyroam Profile auf Linux Geräten ohne Desktop Umgebung (wpa-supplicant only) ====
+Anhand eines Rasperry Pi's 3 Model B+ wird exepmplarisch gezeigt, wie ohne grafische Oberfläche ein easyroam Profil installiert werden kann.
+<alert>Voraussetzung:\\
+Raspberry Pi OS Lite (64-bit, Debian Bullseye, keine Desktopumgebung)\\
+Es wurde bereits eine P12-Datei via easyroam.de erzeugt und über das Kommando sftp und einer
+Ethernetverbindung auf das Gerät gebracht.</alert>
+Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird der CLI von openssl verwendet:
+<alert>Bitte beachten, dass Import Password der .p12 - Datei ist leer. Bei der Verwendung von openssl auf die Formulierung achten: Enter Import Password mit <Return> quittieren.</alert>
+  * Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -nokeys | openssl x509 > easyroam_client_cert.pem</code>
+  * CN (Common Name) Extraktion: <code>openssl x509 -noout -subject -in easyroam_client_cert.pem | sed 's/.*CN = \(.*\), C.*/\1/' > CN </code>
+  * Private Key:<alert>Bitte beachten, da der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich! </alert><code>openssl pkcs12  -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem</code>
+  * RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -cacerts -nokeys > easyroam_root_ca.pem</code>
+  * Die .p12 auf einem Blick:<code>openssl pkcs12 -info -in my_easyroam_cert.p12 -nodes</code>
+  * Anlegen eines Verzeichnis für die easyroam Zertifikatsumgebung:<code>sudo mkdir /etc/easyroam-certs
+sudo mv easyroam_client_cert.pem CN easyroam_client_key.pem easyroam_root_ca.pem /etc/easyroam-certs/.
+    </code>
+  * Die wpa_supplicant.conf im Verzeichnis /etc/wpa_supplicant:<code>ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
+update_config=1
+country=DE
+network={
+   ssid="eduroam"
+   scan_ssid=1
+   key_mgmt=WPA-EAP
+   proto=WPA2
+   eap=TLS
+   pairwise=CCMP
+   group=CCMP
+   identity="12345678910111213abcd@easyroam-pca.dfn.de"  # <---- Hier einfach die CN Datei mit einem Editor vim oder vi einlesen
+   ca_cert="/etc/easyroam-certs/easyroam_root_ca.pem"
+   client_cert="/etc/easyroam-certs/easyroam_client_cert.pem"
+   private_key="/etc/easyroam-certs/easyroam_client_key.pem"
+   private_key_passwd="secretphrase"
+}</code>
+<code>sudo reboot</code>
+<alert>Tip: Mit Copy/Paste können die hier angegebenen Zeilen kopiert werden und ebenfalls über sftp auf das Gerät gebracht werden.</alert>
 ==== Installation der easyroam app auf Linux Geräten (Network Manager) ====