| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:eduroam:easyroam [2023/11/14 16:07] – [Die Webseite www.easyroam.de für die eduroam Admins] Ralf Paffrath | de:eduroam:easyroam [2024/02/16 08:53] – [Für Admins: easyroam in der DFN-AAI im OptIn] Ralf Paffrath |
|---|
| * [[de:common_attributes#a17|samlPairwiseID]], siehe [[de:shibidp:config-attributes-aaiplus|Generierung]] und [[de:shibidp:config-storage#umstellung_auf_saml_pairwise-id|Umstellung ]] | * [[de:common_attributes#a17|samlPairwiseID]], siehe [[de:shibidp:config-attributes-aaiplus|Generierung]] und [[de:shibidp:config-storage#umstellung_auf_saml_pairwise-id|Umstellung ]] |
| * [[de:common_attributes#a10|eduPersonEntitlement]] mit den Werten | * [[de:common_attributes#a10|eduPersonEntitlement]] mit den Werten |
| | <alert>Im Folgendem handelt es sich um Attributwerte und nicht um Links!</alert> |
| * https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins | * https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins |
| * https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende und Admins | * https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende und Admins |
| === Vorgehensweise der easyroam Admins bei Sperrung einer Person in easyroam === | === Vorgehensweise der easyroam Admins bei Sperrung einer Person in easyroam === |
| In easyroam werden die Identitäten der Personen durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbstverständlich geschützt. | In easyroam werden die Identitäten der Personen durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbstverständlich geschützt. |
| Kommt es vor, dass eine Person in easyroam, z.B. wegen eines virenverseuchten Rechners, gesperrt werden muss, so ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der Zertifikate, die für die Anmeldung in eduroam erforderlich sind, sind fester Bestandteil der Roaming Identität, auch bekannt als äußere Roaming Identität. Die äußere Roaming Identität kann nicht geändert werden, da sie fest an dem CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden ohne, dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennummer der Profile/Zertifikate, der in eduroam angemeldeten Person, können die zuständigen easyroam Admins auf dem Portal www.easyroam.de im Bereich "Verwalten von Benutzerzugängen" nach der Pairwise-ID suchen und das betreffende eduroam Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Damit easyroam Nutzende nicht augenblicklich ein neues Profil/Zertifikat für das gesperrte Endgerät generieren, sollte den Nutzenden Erlaubnis neue Profile zu generieren temporär entzogen werden. | Kommt es vor, dass eine Person in easyroam, z.B. wegen eines virenverseuchten Rechners, gesperrt werden muss, so ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der Zertifikate, die für die Anmeldung in eduroam erforderlich sind, sind fester Bestandteil der Roaming Identität, auch bekannt als äußere Roaming Identität. Die äußere Roaming Identität kann nicht geändert werden, da sie fest an dem CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden ohne, dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennummer der Profile/Zertifikate, der in eduroam angemeldeten Person, können die zuständigen easyroam Admins auf dem Portal www.easyroam.de im Bereich "Verwalten von Benutzerprofilen" nach der Pairwise-ID suchen und das betreffende eduroam Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Damit easyroam Nutzende nicht augenblicklich ein neues Profil/Zertifikat für das gesperrte Endgerät generieren, sollte den Nutzenden Erlaubnis neue Profile zu generieren temporär entzogen werden. |
| |
| {{:de:eduroam:screenshot_2021-11-17_at_15.24.02.png?400|}} | {{:de:eduroam:screenshot_2021-11-17_at_15.24.02.png?400|}} |
| Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). | Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). |
| |
| 1. Wenn vorher die GETEDUROAM app installiert war, diese bitte löschen. | 1. Wenn die GETEDUROAM app und/oder alte eduroam Profile installiert sind, diese bitte jetzt löschen. |
| |
| 2. Die easyroam app herunterladen: [[https://www.easyroam.de/winapp/easyroam.msix]] und installieren. | 2. Die easyroam app herunterladen: [[https://www.easyroam.de/winapp/easyroam.msix]] und installieren. |
| Nutzerzertifikat auswählen: Dateinamen, den man, s. oben, beim Einlesen der PKCS12-Datei vergeben hat, auswählen, z.B. MyAndroidCert</code> | Nutzerzertifikat auswählen: Dateinamen, den man, s. oben, beim Einlesen der PKCS12-Datei vergeben hat, auswählen, z.B. MyAndroidCert</code> |
| <alert>ACHTUNG: Als Identität gibt man die Seriennummer des easyroam Pseudozertifikats an, gefolgt vom easyroam Realm der EIGENEN!!! Einrichtung. | <alert>ACHTUNG: Als Identität gibt man die Seriennummer des easyroam Pseudozertifikats an, gefolgt vom easyroam Realm der EIGENEN!!! Einrichtung. |
| Beispiel: Wenn vorher der Realm anonymous@dfn.de oder anonymous@uni-greifswald.de eingegeben wurde, muss nun vor dem dfn.de oder uni-greifswald.de ein easyroam-pca stehen mit Angabe der Seriennummer des Pseudozertifikats, also 12345678910@easyroam-pca.dfn.de oder 12345678910@easyroam-pca.uni-greifswald.de. Die Identität ist in der Regel der CN (Common Name) des easyroam Pseudozertifikats. | Beispiel: Wenn vorher der Realm anonymous@dfn.de oder anonymous@uni-greifswald.de eingegeben wurde, muss nun vor dem dfn.de oder vor uni-greifswald.de ein easyroam-pca stehen, mit Angabe der Seriennummer des Pseudozertifikats, z.B. 12345678910@easyroam-pca.dfn.de oder 12345678910@easyroam-pca.uni-greifswald.de. Die Seriennummer hier in der Anleitung ist nur ein Beispiel!!! |
| Die Übereinstimmung von Identität und CN im easyroam Pseudozertifikat wird vom RADIUS Server geprüft. Ohne korrekte Eingabe der Identität ist keine Anmeldung in eduroam via easyroam möglich. | Die Identität ist in der Regel der CN (Common Name) des easyroam Pseudozertifikats. Die Übereinstimmung von Identität und CN im easyroam Pseudozertifikat wird vom RADIUS Server geprüft. Ohne korrekte Eingabe der Identität ist keine Anmeldung in eduroam via easyroam möglich. |
| Die Seriennummer des easyroam Pseudozertifikats kann man auf dem Portal [[http://www.easyroam.de|http://www.easyroam.de]] im Bereich "Profile verwalten" einsehen. | Die Seriennummer des easyroam Pseudozertifikats kann man auf dem Portal [[http://www.easyroam.de|http://www.easyroam.de]] im Bereich "Profile verwalten" einsehen. |
| Man hängt anschließend nur noch den Realm seiner Einrichtung an, z.B. @easyroam-pca.dfn.de an.</alert> | Man hängt anschließend nur noch den Realm seiner Einrichtung an, z.B. @easyroam-pca.dfn.de an.</alert> |