Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:eduroam:easyroam [2023/07/31 17:01] – [Installation der easyroam Profile auf Linux Geräten] Ralf Paffrath | de:eduroam:easyroam [2023/11/14 16:07] – [Die Webseite www.easyroam.de für die eduroam Admins] Ralf Paffrath |
---|
Die Admins sehen mehr als die eduroam Nutzenden. Klicken Admins auf den Reiter "Verwalten von Benutzerzugängen", so können sie anhand der Pairwise-ID und der Seriennummer (die Pairwise-ID ist in der folgenden Grafik nur zum Teil sichtbar, da ausgeschwärzt) die Profile verwalten: | Die Admins sehen mehr als die eduroam Nutzenden. Klicken Admins auf den Reiter "Verwalten von Benutzerzugängen", so können sie anhand der Pairwise-ID und der Seriennummer (die Pairwise-ID ist in der folgenden Grafik nur zum Teil sichtbar, da ausgeschwärzt) die Profile verwalten: |
| |
{{:de:eduroam:screenshot_2021-08-04_at_16.55.43.png?400|}} | {{:de:eduroam:screenshot_2023-11-14_at_16.03.13.png?400|}} |
| |
Pairwise-ID und Seriennummer der Zertifikate sind suchbar, geben die Administrierenden die Pairewise-ID ein, so erhalten sie alle Zertifikate der/des pseudonymisierten eduroam Nutzenden angezeigt. Bei Widerruf eines Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. Grundsätzlich ist es für die eduroam Admins nicht möglich, eduroam Nutzende in easyroam anhand der Pairwise-ID auf dem easyroam Server get.eduroam.de zu sperren. Nur die DFN-AAI IdP Admins können anhand der Pairwise - ID, die eduroam Nutzenden einer Person zuordnen und diese dann das Entitlement für den Zugang zu easyroam entziehen. Das DFN-AAI Team empfiehlt einen DFN-AAI IdP nie ohne Datenbank zu betreiben. Somit lassen sich im Bedarfsfall die Personen anhand der Pairwise-ID durch die zuständigen DFN-AAI IdP Admins leichter zuordnen. | Pairwise-ID und Seriennummer der Zertifikate sind suchbar, geben die Administrierenden die Pairewise-ID ein, so erhalten sie alle Zertifikate der/des pseudonymisierten eduroam Nutzenden angezeigt. Bei Widerruf eines Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. Grundsätzlich ist es für die eduroam Admins nicht möglich, eduroam Nutzende in easyroam anhand der Pairwise-ID auf dem easyroam Server get.eduroam.de zu sperren. Nur die DFN-AAI IdP Admins können anhand der Pairwise - ID, die eduroam Nutzenden einer Person zuordnen und diese dann das Entitlement für den Zugang zu easyroam entziehen. Das DFN-AAI Team empfiehlt einen DFN-AAI IdP nie ohne Datenbank zu betreiben. Somit lassen sich im Bedarfsfall die Personen anhand der Pairwise-ID durch die zuständigen DFN-AAI IdP Admins leichter zuordnen. |
{{:de:eduroam:screenshot_2021-08-06_at_07.54.28.png?400|}} | {{:de:eduroam:screenshot_2021-08-06_at_07.54.28.png?400|}} |
| |
4. Mit "Klick" auf "OK" geht es weiter. Anschließend "System Preferences/System Einstellungen" aufrufen | 4. Mit "Klick" auf "OK" geht es weiter. Anschließend "System Preferences/System Einstellungen" aufrufen. |
| Im Suchfenster wird anschließend "Profile" eingeben und das Untermenü "Profile" aufgerufen. |
| |
{{:de:eduroam:screenshot_2021-08-06_at_07.58.10.png?400|}} | {{:de:eduroam:screenshot_2023-09-30_at_07.42.06.png?400|}} |
| |
und unten rechts Profiles auswählen. | |
| |
5. Es erscheint ein Menü mit den Nutzerprofilen und mit dem heruntergeladenen Profil, Dreieck Icon mit gelb hinterlegtem Ausrufezeichen. | 5. Es erscheint ein Menü mit den Nutzerprofilen und mit dem heruntergeladenen Profil, Dreieck Icon mit gelb hinterlegtem Ausrufezeichen. |
Online-Zertifikatstatus: Zertifikatstatus anfordern | Online-Zertifikatstatus: Zertifikatstatus anfordern |
Domain: easyroam.eduroam.de | Domain: easyroam.eduroam.de |
Nutzerzertifikat auswählen: Dateinamen, den man oben beim Einlesen der PKCS12-Datei vergeben hat, auswählen, z.B. MyAndroidCert</code> | Nutzerzertifikat auswählen: Dateinamen, den man, s. oben, beim Einlesen der PKCS12-Datei vergeben hat, auswählen, z.B. MyAndroidCert</code> |
<alert>ACHTUNG: Als Identität gibt man die Seriennummer des easyroam Pseudozertifikats an, gefolgt vom easyroam Realm seiner Einrichtung. | <alert>ACHTUNG: Als Identität gibt man die Seriennummer des easyroam Pseudozertifikats an, gefolgt vom easyroam Realm der EIGENEN!!! Einrichtung. |
Beispiel: 12345678910@easyroam-pca.dfn.de. Die Identität ist in der Regel der CN (Common Name) des easyroam Pseudozertifikats. | Beispiel: Wenn vorher der Realm anonymous@dfn.de oder anonymous@uni-greifswald.de eingegeben wurde, muss nun vor dem dfn.de oder uni-greifswald.de ein easyroam-pca stehen mit Angabe der Seriennummer des Pseudozertifikats, also 12345678910@easyroam-pca.dfn.de oder 12345678910@easyroam-pca.uni-greifswald.de. Die Identität ist in der Regel der CN (Common Name) des easyroam Pseudozertifikats. |
Die Übereinstimmung von Identität und CN im easyroam Pseudozertifikat wird vom RADIUS Server geprüft. Ohne korrekte Eingabe der Identität ist keine Anmeldung in eduroam via easyroam möglich. | Die Übereinstimmung von Identität und CN im easyroam Pseudozertifikat wird vom RADIUS Server geprüft. Ohne korrekte Eingabe der Identität ist keine Anmeldung in eduroam via easyroam möglich. |
Die Seriennummer des easyroam Pseudozertifikats kann man auf dem Portal [[http://www.easyroam.de|http://www.easyroam.de]] im Bereich "Profile verwalten" einsehen. | Die Seriennummer des easyroam Pseudozertifikats kann man auf dem Portal [[http://www.easyroam.de|http://www.easyroam.de]] im Bereich "Profile verwalten" einsehen. |
Man hängt anschließend nur noch den Relam seiner Einrichtung an, z.B. @easyroam-pca.dfn.de an.</alert> | Man hängt anschließend nur noch den Realm seiner Einrichtung an, z.B. @easyroam-pca.dfn.de an.</alert> |
| |
{{:de:eduroam:wlan_hinzufuegen.png?200|}} {{:de:eduroam:wlan_hinzufuegen2.png?200|}} | {{:de:eduroam:wlan_hinzufuegen.png?200|}} {{:de:eduroam:wlan_hinzufuegen2.png?200|}} |
<alert>Bitte beachten, dass Import Password der .p12 - Datei ist leer. Bei der Verwendung von openssl auf die Formulierung achten: Enter Import Password mit <Return> quittieren.</alert> | <alert>Bitte beachten, dass Import Password der .p12 - Datei ist leer. Bei der Verwendung von openssl auf die Formulierung achten: Enter Import Password mit <Return> quittieren.</alert> |
* Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -legacy -nokeys | openssl x509 > easyroam_client_cert.pem</code> | * Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -legacy -nokeys | openssl x509 > easyroam_client_cert.pem</code> |
* CN (Common Name) Extraktion: <code>openssl x509 -noout -subject -in easyroam_client_cert.pem | sed 's/.*CN = \(.*\), C.*/\1/'</code><alert>Bitte beachten, die Option -legacy muss hier und im folgenden eventuel weggelassen werden. Leider ist die Verwendung der Option OpenSSL versionsabhängig.</alert> | * CN (Common Name) Extraktion: <code>openssl x509 -noout -subject -in easyroam_client_cert.pem -legacy | sed 's/.*CN = \(.*\), C.*/\1/'</code><alert>Bitte beachten, die Option -legacy muss hier und im folgenden eventuel weggelassen werden. Leider ist die Verwendung der Option OpenSSL versionsabhängig.</alert> |
* Private Key:<alert>Bitte beachten, da die diversen Network Manager und der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich! </alert><code>openssl pkcs12 -legacy -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem</code> | * Private Key:<alert>Bitte beachten, da die diversen Network Manager und der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich! </alert><code>openssl pkcs12 -legacy -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem -legacy</code> |
* RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -cacerts -nokeys > easyroam_root_ca.pem</code> | * RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -legacy -cacerts -nokeys > easyroam_root_ca.pem</code> |
* Die .p12 auf einem Blick:<code>openssl pkcs12 -info -in my_easyroam_cert.p12 -legacy -nodes</code><alert>Mit Copy/Paste können die Zertifikats-Dateien auch zusammengebaut werden. Zu beachten ist, dass noch der Private Key mit einem Passwort versehen werden muss.</alert> | * Die .p12 auf einem Blick:<code>openssl pkcs12 -info -in my_easyroam_cert.p12 -legacy -nodes</code><alert>Mit Copy/Paste können die Zertifikats-Dateien auch zusammengebaut werden. Zu beachten ist, dass noch der Private Key mit einem Passwort versehen werden muss.</alert> |
| |
Mit Root Rechten wird folgendes Kommando aufgerufen:<code>netctl start easyroam </code>Soll permanent easyroam installiert werden, so wird folgendes Kommando aufgerufen:<code>netctl enable easyroam</code> | Mit Root Rechten wird folgendes Kommando aufgerufen:<code>netctl start easyroam </code>Soll permanent easyroam installiert werden, so wird folgendes Kommando aufgerufen:<code>netctl enable easyroam</code> |
| |
| ==== Installation der easyroam Profile auf Linux Geräten ohne Desktop Umgebung (wpa-supplicant only) ==== |
| |
| Anhand eines Rasperry Pi's 3 Model B+ wird exepmplarisch gezeigt, wie ohne grafische Oberfläche ein easyroam Profil installiert werden kann. |
| |
| <alert>Voraussetzung:\\ |
| Raspberry Pi OS Lite (64-bit, Debian Bullseye, keine Desktopumgebung)\\ |
| Es wurde bereits eine P12-Datei via easyroam.de erzeugt und über das Kommando sftp und einer |
| Ethernetverbindung auf das Gerät gebracht.</alert> |
| |
| Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird der CLI von openssl verwendet: |
| <alert>Bitte beachten, dass Import Password der .p12 - Datei ist leer. Bei der Verwendung von openssl auf die Formulierung achten: Enter Import Password mit <Return> quittieren.</alert> |
| * Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -nokeys | openssl x509 > easyroam_client_cert.pem</code> |
| * CN (Common Name) Extraktion: <code>openssl x509 -noout -subject -in easyroam_client_cert.pem | sed 's/.*CN = \(.*\), C.*/\1/' > CN </code> |
| * Private Key:<alert>Bitte beachten, da der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich! </alert><code>openssl pkcs12 -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem</code> |
| * RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -cacerts -nokeys > easyroam_root_ca.pem</code> |
| * Die .p12 auf einem Blick:<code>openssl pkcs12 -info -in my_easyroam_cert.p12 -nodes</code> |
| * Anlegen eines Verzeichnis für die easyroam Zertifikatsumgebung:<code>sudo mkdir /etc/easyroam-certs |
| sudo mv easyroam_client_cert.pem CN easyroam_client_key.pem easyroam_root_ca.pem /etc/easyroam-certs/. |
| </code> |
| * Die wpa_supplicant.conf im Verzeichnis /etc/wpa_supplicant:<code>ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev |
| update_config=1 |
| country=DE |
| |
| network={ |
| ssid="eduroam" |
| scan_ssid=1 |
| key_mgmt=WPA-EAP |
| proto=WPA2 |
| eap=TLS |
| pairwise=CCMP |
| group=CCMP |
| identity="12345678910111213abcd@easyroam-pca.dfn.de" # <---- Hier einfach die CN Datei mit einem Editor vim oder vi einlesen |
| ca_cert="/etc/easyroam-certs/easyroam_root_ca.pem" |
| client_cert="/etc/easyroam-certs/easyroam_client_cert.pem" |
| private_key="/etc/easyroam-certs/easyroam_client_key.pem" |
| private_key_passwd="secretphrase" |
| }</code> |
| <code>sudo reboot</code> |
| <alert>Tip: Mit Copy/Paste können die hier angegebenen Zeilen kopiert werden und ebenfalls über sftp auf das Gerät gebracht werden.</alert> |
==== Installation der easyroam app auf Linux Geräten (Network Manager) ==== | ==== Installation der easyroam app auf Linux Geräten (Network Manager) ==== |
| |