Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

@@ Zeile 1: / Zeile 1: @@
+===== easyroam im Regelbetrieb =====
+[[de:eduroam:easyroam-regelbetrieb|Für easyroam Admins und für die, die es gerne werden wollen: Weiche Migration in den Regelbetrieb ]]
+==== Allgemeines zu easyroam und Schnellzugriff auf die Anleitungen ====
+easyroam versteht sich als eine Weiterentwicklung des eduroam Dienstes und richtet sich hauptsächlich an kleine Einrichtungen im DFN, kann aber auch von großen Einrichtungen im DFN genutzt werden.
+Die Idee eduroam und die DFN-AAI zusammenzuführen ist nichts Neues und war lange Zeit leider nicht möglich, da es die DFN-AAI in der Fläche noch nicht gab. Das hat sich seit einiger Zeit geändert, so dass nun die Möglichkeit gegeben ist, den Dienst eduroam mit der Zusammenführung von eduroam und der DFN-AAI sicherer und einfacher zu gestalten. Herzstück von easyroam ist das easyroam Portal: [[https://www.easyroam.de|https://www.easyroam.de]], welches als DFN-AAI Service Provider in der DFN-AAI, eduroam Profile für die gängigen Betriebssystem wie: W10, macOS/iOS, ANDROID und LINUX Derivate bereitstellt. Das easyroam Portal kann in den Konfigurationsassistenten auf [[https://cat.eduroam.org|https://cat.eduroam.org]] über den Eintrag des eduroam - IdP's (Identity Providers) der Einrichtungen eingetragen werden.
+{{:de:eduroam:qr-code.png?200|}}
+In eduroam gibt es neben anderen Verfahren zur Anmeldung die Authentifizierungsmethode EAP-TLS. Bei dieser Methode kommen ausschließlich Client/Nutzer Zertifikate für die Anmeldung zum Einsatz. Diese Zertifikate für eduroam können die eduroam Nutzenden auf www.easyroam.de nur generieren, wenn sie im Besitz einer gültigen DFN-AAI IdP Kennung mit Opt-In sind. Die eduroam Client/Server Zertifikate sind Teil einer "Self-Signed PKI" und können nur in eduroam eingesetzt werden. Der easyroam Server speichert ausschließlich nur die Pairwise - ID (Pseudonym) des DFN-AAI IdP Accounts und die Seriennummer des Client/Nutzer Zertifikats. Letzteres ist auch Teil der Roaming Identität. Eine Besonderheit gegenüber aktuellen EAP-TLS Angeboten ist, dass die eduroam Nutzenden nicht mehr mit Namen im Zertifikat erkennbar sind. Somit ist es unmöglich Bewegungsprofile der eduroam Nutzenden zu erstellen. Jedoch ist es möglich, eine Zuordnung zwischen Pairwise - ID und Zertifikats-Seriennummer herzustellen und den eduroam Nutzenden eindeutig mit einer Person in Verbindung zu bringen. Somit ist man nicht generell anonym in eduroam unterwegs, wie das auch bisher der Fall ist.
+Die Server Software ist eine .NET Entwicklung in C-Sharp geschrieben. Es wurde bewusst auf PHP verzichtet, da PHP nicht die Server Sicherheit bot, die an die Server Software gelegt wurde. Der Server unterstützt aktuell zwei Sprachen: Deutsch und Englisch.
+Die Anleitungen auf einem Blick finden die easyroam Nutzenden [[https://doku.tid.dfn.de/de:eduroam:easyroam-anleitungen|hier]].
+==== Für Admins: Die Internationalisierung von easyroam durch NAPTR Records für Realms oder für die Top-Level Domain ".de" Text-Records ====
+Für die Internationalisierung von eduroam/easyroam ist es wichtig, einen sogenannten NAPTR (**N**etwork **A**uthority **P**oin**T**e**R**) - Record für seine Realms
+zu konfigurieren. Aber auch für die nationale Nutzung ist es wichtig zumindest für die unten genannten Realms einen Text-Record im DNS zu konfigurieren. Da gemäß der eduroam Policy der Realm im globalen DNS auflösbar sein muss.
+Für easyroam sind beispielhaft folgende NAPTR's zu konfigurieren:
+<code>easyroam.<organame.org>.   43200   IN      NAPTR   100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.de.
+easyroam-pca.<organame.org>.   43200   IN      NAPTR   100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.de.</code>
+Zonen-Name (Label): easyroam.<organame.org>.\\
+: DNS cache liftime\\
+IN: Für die Nutzung im Internet wie bei jedem anderen DNS-Ressource Eintrag\\
+NAPTR: **N**etwork **A**uthority **P**oin**T**e**R**\\
+: Wenn mehrere NAPTR-Einträge für das Etikett definiert sind, wird die niedrigere Ordnungsnummer der höheren vorgezogen\\
+: Wenn mehrere NAPTR-Einträge mit der gleichen Reihenfolge für dieses Label definiert sind, wird bei der Namensauflösung zwischen all diesen Einträgen gewechselt\\
+"s": Dieser NAPTR-Eintrag sollte in Hostnamen aufgelöst werden, indem eine nachfolgende SRV-Abfrage auf dem Ziel-Label durchgeführt wird\\
+"x-eduroam:radius.tls": Dienst Name\\
+"": Regulärer Ausdruck, für eduroam/easyroam nicht erforderlich\\
+_radsec._tcp.eduroam.de.: Label des SRV Records\\
+Die Auflösung des SRV Labels für jeden NAPTR für eduroam/easyroam im DFN lautet:
+<code>host -t SRV _radsec._tcp.eduroam.de.
+_radsec._tcp.eduroam.de has SRV record 0 20 2083 tld3.eduroam.de.
+_radsec._tcp.eduroam.de has SRV record 0 10 2083 tld2.eduroam.de.
+_radsec._tcp.eduroam.de has SRV record 0 0 2083 tld1.eduroam.de.</code>
+==== Für Admins: easyroam in der DFN-AAI im OptIn ====
+Für die Freigabe am DFN-AAI SP https://www.easyroam.de (Entity-ID https://get.eduroam.de/shibboleth) werden folgende Attribute benötigt:
+  * [[de:common_attributes#a09|eduPersonScopedAffiliation]]
+  * [[de:common_attributes#a17|samlPairwiseID]], siehe [[de:shibidp:config-attributes-aaiplus|Generierung]] und [[de:shibidp:config-storage#umstellung_auf_saml_pairwise-id|Umstellung ]]
+  * [[de:common_attributes#a10|eduPersonEntitlement]] mit den Werten
+  <alert>Im Folgendem handelt es sich um Attributwerte und nicht um Links!</alert>
+<code>* https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins
+* https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende und Admins</code>
+Bitte beachten, für Admins müssen beide Entitlements optin und admin konfiguriert werden.
+Konfigurations-Schnipsel gibt es [[de:shibidp:config-attributes-easyroam4edu|hier]].
+Ein Aufruf von https://www.easyroam.de ohne korrekte Entitlements führt aktuell noch zu einem "404 Not Found" (wird noch geändert) und ist ein Hinweis, dass das Entitlement oder
+für die Admins die benötigten Entitlements nicht gesetzt sind.\\
+Beispiel für die Freigabe am DFN-AAI SP für die gewöhnliche Nutzenden:
+{{:de:eduroam:screenshot_2021-08-20_at_12.23.59.png?400|}}
+Beispiel für die Freigabe am DFN-AAI SP für Admins:
+{{:de:eduroam:screenshot_2021-08-20_at_12.18.24.png?400|}}
+==== Die Webseite www.easyroam.de für die eduroam Nutzenden ====
+Die Web-Seite www.easyroam.de dient der Verwaltung der eduroam Profile durch die eduroam Nutzenden. Bitte die Installationsanleitungen s.u. oder Inhaltsverzeichnis beachten!  Nach dem Aufruf der Seite [[https://www.easyroam.de]] im Browser und der Autorisierung über den DFN-AAI IdP startet das Hauptmenü "Start":
+{{:de:eduroam:screenshot_2025-10-15_at_08.19.37.png?400|}}
+=== Profile generieren ===
+Unter "Manuelle Installationen" kann zwischen Android, Apple,  Windows, Chrome OS und Linux ausgewählt werden:
+{{:de:eduroam:screenshot_2025-10-15_at_08.30.17.png?400|}}
+Bei Auswahl von “Apple” werden die Mobile-Configs für macOS und iOS angeboten. Für “Chrome OS” steht eine Installationsdatei zum Download bereit. In allen anderen Fällen wird eine PKCS12-Datei zum Download angeboten.
+=== Profile verwalten ===
+Im Hauptmenü unter Profiles gelangen die eduroam Nutzenden in das Verwaltungsmenü für die Zugangszertifikate:
+{{:de:eduroam:screenshot_2025-10-15_at_08.43.00.png?400|}}
+Hier kann die Seriennummer des Zertifikats sowie dessen Gültigkeitsdauer eingesehen werden. Wird ein Zertifikat widerrufen, ist es umgehend für die Nutzung in easyroam gesperrt.
+Die Gültigkeitsdauer der eduroam-Profile wird in der Regel von den easyroam Admins der Einrichtungen festgelegt. Wird von den easyroam-Administratoren keine Gültigkeitsdauer für die eduroam-Profile festgelegt, sind diese drei Monate gültig.
+==== Die Webseite www.easyroam.de für die eduroam Admins ====
+Bei Admins werden im Portal zusätzliche administrative Rechte vergeben.
+{{:de:eduroam:screenshot_2025-10-15_at_08.55.15.png?400|}}
+Im Menüabschnitt „Mein Realm“ wird die Realm-Verwaltung aufgerufen. Hier kann der Basis-Realm eingesehen werden sowie die maximale Anzahl der Profile, die ein Nutzer generieren darf, und die maximale Lebensdauer eines Profils in Monaten verwaltet werden.
+In der "Nutzerverwaltung" ist eine gezielte Suche nach der Pairwise-ID möglich. Admins aben unter anderem die Möglichkeit, Nutzer zu (ent)sperren, die Anzahl der Profile, die ein Nutzer maximal haben darf, individuell zu überschreiben sowie die Profile der Person einzusehen oder zu widerrufen.
+In der "Profilverwaltung" ist es möglich, gezielt nach der Seriennummer eines Profils zu suchen und dieses zu widerrufen.
+Im "Auditlog" wird dokumentiert, wer zu welchem Zeitpunkt Admin-Rechte ausgeübt und welche administrativen Maßnahmen durchgeführt wurden.
+=== Vorgehensweise der easyroam Admins bei Sperrung einer Person in easyroam ===
+In easyroam werden die Identitäten der Nutzer durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbstverständlich geschützt.
+Sollte eine Person in easyroam, beispielsweise aufgrund eines virenverseuchten Rechners, gesperrt werden müssen, ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der für die Anmeldung in eduroam erforderlichen Zertifikate sind fester Bestandteil der Roaming-Identität, auch bekannt als äußere Roaming-Identität. Die äußere Roaming-Identität kann nicht geändert werden, da sie fest an den CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden, ohne dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennummer der Profile/Zertifikate der in eduroam angemeldeten Person können die zuständigen easyroam-Administratoren auf dem Portal www.easyroam.de im Bereich “Profilverwaltung” das betreffende eduroam-Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Um zu verhindern, dass easyroam-Nutzende unmittelbar ein neues Profil/Zertifikat für das gesperrte Endgerät generieren, sollte den Nutzenden die Erlaubnis zur Generierung neuer Profile temporär entzogen werden. In der „Profilverwaltung“ wird der Besitzer jeder Seriennummer durch eine interne ID dargestellt. Durch einen Klick auf die ID des Besitzers gelangen Admins direkt in die Nutzerverwaltung, wo sie die betreffende Person temporär sperren können.
+{{:de:eduroam:screenshot_2025-10-15_at_09.44.39.png?400|}} {{:de:eduroam:screenshot_2025-10-15_at_09.49.43.png?400|}}
+<alert> Bitte beachten! Die Zertifikate werden augenblicklich gesperrt.</alert>
+==== Installation der eduroam Profile auf W10/11 mit der easyroam App ====
+<alert>Die easyroam app konfiguriert ausschließlich den eduroam Zugang für das Anmeldeverfahren EAP-TLS auf den Geräten. Die easyroam app führt weder die Anmeldung in eduroam aus noch ist sie verantwortlich für die Etablierung der Verbindung zum eduroam Netz. Die easyroam app versteht sich als Hilfswerkzeug (nicht zwingend erforderlich), um die Installation der Pseudozertifikate, welche das Betriebssystem nutzt, damit sich die Geräte in eduroam anmelden können.
+</alert>
+. Wenn die GETEDUROAM app und/oder alte eduroam Profile installiert sind, diese bitte jetzt löschen.
+. Die easyroam app für W10/W11 herunterladen: [[https://www.easyroam.de]] und installieren.
+. easyroam app starten. In der Regel wird ein Browser automatisch geöffnet.
+. Im anschließenden WAYF (Where Are You From) findet man seine Einrichtung und meldet sich über seinen DFN-AAI IdP Account an. Sollte die Heimateinrichtung nicht nicht im WAYF aufgeführt werden, kann stattdessen der Eintrag „easyroam im Regelbetrieb“ ausgewählt werden.
+. Nach erfolgreicher DFN-AAI Anmeldung, wird das Hauptmenü "Home" aufgerufen. Mit einem Klick auf die Schaltfläche "Neues Profil installieren" wird ein neues easyroam
+ Profil installiert.
+{{:de:eduroam:screenshot_start_2023-01-09_101243.png?400|}}
+. Das neu installierte easyroam Profil wird als "Gültig" markiert im Hauptmenü angezeigt.
+{{:de:eduroam:screenshot_neu_cert_2023-01-09_101420.png?400|}}
+<alert>Bitte beachten, dass die verwendeten Geräte für die jeweilige Zeitzone und lokale Standard Zeit korrekt konfiguriert sind. Ein typisches Fehlerbild für die nicht korrekt eingestellte Zeit ist im folgenden zu betrachten. Nach dem DFN-AAI IdP-Login wiederholt sich die Fehlermeldung dauerhaft. Es handelt sich hierbei nicht um ein easyroam Problem!</alert>
+{{:de:eduroam:screenshot_2024-10-25_061523.jpg?800|}}
+==== Installation der eduroam Profile auf iOS <= 12 ====
+Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).
+. Browser aufrufen und [[https://www.easyroam.de]] eingeben.
+. Nach erfolgreicher Anmeldung über seinen DFN-AAI Identity Provider ein Klick auf "Manuelle Optionen" und Mobile-Config (Apple) auswählen.
+. Namen für das Profil eingeben, z.B iOS-12-Profil und mit "Zugang generieren" quittieren.
+. Die Meldung: "Diese Webseite versucht, ein Konfigurationsprofil zu laden. Darf sie das?" mit Klick auf Zulassen erlauben.
+. Die Meldung: "Profil geladen Überprüfe das Profil in den Einstellungen, wenn du es installieren möchtest." mit Klick auf Schließen beenden.
+. Vom Server Abmelden (Schaltfläche im Browser).
+. Einstellungen starten und auf Menü-Punkt: Profil geladen klicken.
+. Anschließend mit Installieren den Vorgang abschließen und sich auf eduroam freuen.
+==== Installation der eduroam Profile auf iOS >= 13 ====
+Siehe [[de:eduroam:anleitungen:easyroamapp#installation_der_eduroam_profile_mit_der_easyroam_app_auf_ios_11|hier]]
+==== Installation der eduroam Profile auf macOS ====
+Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). Wenn alte eduroam Profile, die nicht mit easyroam installiert wurden, noch auf dem System sind, bitte vor der Nutzung von easyroam unbedingt löschen. s. „System Preferences/System Einstellungen“ im Device Management.
+Alte Profile, die mit easyroam installiert wurden, müssen nicht vorher gelöscht werden.
+. Browser (in der Regel Safari) aufrufen und [[https://www.easyroam.de]] eingeben und anschließend anmelden.
+{{:de:eduroam:screenshot_2025-10-24_at_16.29.23.png?400|}}
+. Nach erfolgreicher Anmeldung "Apple" auswählen.
+{{:de:eduroam:screenshot_2025-10-24_at_16.31.35.png?400|}}
+. In der Eingabe - Box den Namen für das Profil festlegen.
+{{:de:eduroam:screenshot_2025-10-24_at_16.35.48.png?400|}}
+. Das heruntegeladene Profil öffnen
+{{:de:eduroam:screenshot_2025-10-24_at_16.40.50.png?400|}}
+. Nach dem Öffnen des Profils die Info Box "würdigen" und mit "OK" bestätigen
+{{:de:eduroam:screenshot_2025-10-24_at_16.45.14.png?200|}}
+. Nun die Systemeinstellungen starten und "Profile Downloaded" auswählen, s. weißen Pfeil in der Grafik und einfacher Klick mit dem Mauszeiger.
+{{:de:eduroam:screenshot_2025-10-24_at_16.55.03.png?200|}} {{:de:eduroam:screenshot_2025-10-24_at_16.51.04.png?400|}}
+. Im Device Manager mit einem Doppel-Klick mit dem Mauszeiger, siehe Grafik weißer Pfeil, das noch nicht installierte Profil "eduroam" auswählen.
+{{:de:eduroam:screenshot_2025-10-24_at_17.08.11.png?400|}}
+. In der Auswahl Box mit dem Titel „Are you sure you want to install this profile?“ „Install“ auswählen, anschließend dem „Device Management“ mit der Eingabe des Passworts (Anmelde-Passwort für die Kennung auf dem macOS-Gerät) erlauben, das Profil zu installieren. Die Eingabe des Passworts mit „OK“ bestätigen.
+{{:de:eduroam:screenshot_2025-10-24_at_17.13.44.png?400|}} {{:de:eduroam:screenshot_2025-10-24_at_17.15.05.png?200|}}
+==== Installation der eduroam Profile auf watchOS ====
+Die Installation des easyroam Profils auf Geräten mit watchOS erfolgt über das iPhone und der AppleWatch app.\\
+Sicherstellen, dass eine Internetverbindung auf dem iPhone besteht, LTE oder WLAN.
+. Browser (in der Regel Safari) auf dem iPhone aufrufen und [[https://www.easyroam.de]] eingeben.
+{{:de:eduroam:screenshot_2021-08-06_at_08.25.12.png?400|}}
+. Nach erfolgreicher Anmeldung über den DFN-AAI IdP der Einrichtung ein Klick auf "Manuelle Optionen" und Mobile-Config (Apple) auswählen, einen Namen für das Profil eingeben und auf "Zugang generieren" klicken.
+{{:de:eduroam:img_0677.png?400|}}
+. Zulassen, dass die Webseite versucht ein Konfigurationsprofil zu laden.
+. Im Menü Gerät wählen die Apple Watch auswählen.
+{{:de:eduroam:img_0678.png?400|}}
+. Die Signatur des easyroam Profils prüfen: Verein zur Förderung eines Deutschen Forschungsnetzes DFN-Verein, anschließend auf "Installieren" klicken
+{{:de:eduroam:img_0679.png?400|}}
+. Sobald das iPhone mit dem watchOS Gerät verbunden ist, wird das easyroam Profil über die AppleWatch App auf das watchOS Gerät übertragen.
+==== Installation der eduroam Profile auf ANDROID >= 10 ====
+Siehe [[de:eduroam:anleitungen:easyroamapp#installation_der_eduroam_profile_mit_der_easyroam_app_auf_android_10|hier]]
+==== Installation der eduroam Profile auf ANDROID, wenn alle Stricke reißen ====
+<alert>Bitte diese Anleitung nur im Notfall verwenden. Für Geräte mit ANDROID >= 10 bitte immer die easyroam app installieren. Bitte beachten, dass die easyroam app auf allen Geräten für ANDROID >= 10 läuft! Denn die manuelle Installation ist zwar auf jedem ANDROID Gerät möglich, jedoch deutlich komplizierter und daher nicht zu empfehlen.</alert>
+. Wenn app's, die eduroam Profile auf das Gerät bringen, installiert sind, müssen diese vorher gelöscht werden. Da diese sonst die manuelle Konfiguration behindern können.
+. Auf dem Gerät im Browser [[http://www.easyroam.de|http://www.easyroam.de/]] eingeben und sich über den WAYF (**W**here **A**re **Y**ou **F**rom) an seinem DFN-AAI-IdP (Identity Provider) am easyroam SP (Service Provider) anmelden.
+{{:de:eduroam:wayf.png?200|}}
+. In den manuellen Optionen wählt man PKCS12 aus und vergibt einen Namen. Anschließend auf "Zugang generieren" klicken.
+{{:de:eduroam:manuelle_optionen.png?200|}} {{:de:eduroam:p12.png?200|}}
+. In der Regel wird die PKCS12 Datei in den Download Folder auf dem Gerät abgelegt. Bitte beachten, das ist nicht überall auf allen Geräten einheitlich und je nach Alter des Geräts kann es sogar vorkommen, dass man ein USB Kabel benötigt, um die PKCS12-Datei auf das Gerät zu bekommen.
+{{:de:eduroam:download.png?200|}} {{:de:eduroam:download2.png?200|}}
+. Sobald die PKCS12-Datei auf dem Gerät ist, kann man sie in der Regel einlesen. Dabei wählt man den Zertifikat-Typ aus: WLAN-Zertifikat. Auch das kann auf anderen Geräten komplett anders aussehen. Nun den Dateinamen für das Pseudozertifikat auswählen.
+{{:de:eduroam:cert-typ.png?200|}} {{:de:eduroam:datei-name.png?200|}}
+. Ist die PKCS12 Datei eingelesen, kann man in den Systemeinstellungen ins WLAN Menü gehen.
+. "+ WLAN hinzufügen" auswählen und folgendes konfigurieren:
+<code>Netwzwerkname: eduroam
+Sicherheit: WPA/WPA2-Enterprise
+EAP-Methode: TLS
+CA-Zertifikat: Systemzertifikate verwenden
+Online-Zertifikatstatus: Zertifikatstatus anfordern
+Domain: easyroam.eduroam.de
+Nutzerzertifikat auswählen: Dateinamen, den man, s. oben, beim Einlesen der PKCS12-Datei vergeben hat, auswählen, z.B. MyAndroidCert</code>
+<alert>ACHTUNG: Die hier aufgeführten Beispiele sind als Illustration gedacht und sollten keinesfalls unreflektiert via copy + paste übernommen werden! \\ \\ Als Identität gibt man die Seriennummer des easyroam Pseudozertifikats an, gefolgt vom easyroam Realm der EIGENEN!!! Einrichtung.
+Beispiel: Wenn vorher der Realm anonymous@dfn.de oder anonymous@uni-greifswald.de eingegeben wurde, muss nun vor dem dfn.de oder vor uni-greifswald.de ein easyroam-pca stehen, mit Angabe der Seriennummer des Pseudozertifikats, z.B. 12345678910@easyroam-pca.dfn.de oder 12345678910@easyroam-pca.uni-greifswald.de. **Die Seriennummer und der Realm, also 12345678910@easyroam-pca.dfn.de und 12345678910@easyroam-pca.uni-greifswald.de sind in der Anleitung hier nur Beispiele, bitte nicht übernehmen!!!**
+Die Identität ist in der Regel der CN (Common Name) des easyroam Pseudozertifikats. Die Übereinstimmung von Identität und CN im easyroam Pseudozertifikat wird vom RADIUS Server geprüft. Ohne korrekte Eingabe der Identität ist keine Anmeldung in eduroam via easyroam möglich.
+Die Seriennummer des easyroam Pseudozertifikats kann man auf dem Portal [[http://www.easyroam.de|http://www.easyroam.de]] im Bereich "Profile verwalten" einsehen.
+Man hängt anschließend nur noch den Realm seiner Einrichtung an, z.B. @easyroam-pca.dfn.de an.</alert>
+{{:de:eduroam:wlan_hinzufuegen.png?200|}} {{:de:eduroam:wlan_hinzufuegen2.png?200|}}
+Am Ende der Konfiguration sollte sich das Gerät mit eduroam verbinden lassen.
+{{:de:eduroam:connect.png?200|}}
+==== Installation der easyroam Profile auf Linux Geräten ====
+=== Extrahieren der erforderlichen Zertifikate aus der easyroam PKCS12 Datei ===
+Die Nutzung von easyroam ist selbstverständlich auch auf Linux Derivaten möglich. Leider gibt es keine allgemein gültige Anleitung. Im folgenden wird beschrieben wie die einzelnen Komponenten, die bei einer manuellen Konfiguration von easyroam auf Linux Geräten benötigt werden, aus dem easyroam Portal gewonnen werden können:
+. Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN.
+. Anmeldung am easyroam Portal: https:www.easyroam.de.
+. Direkt nach der erfolgreichen Anmeldung am Portal auf "Manuelle Optionen" klicken und PKCS12 mit Klick auf die Auswahlbox auswählen.
+. Den Profil Namen angeben und auf Zugang generieren klicken.<alert>Bitte beachten! Der Name des Profils ist nicht der Name der PKCS12 Datei. Der Name des Profils wird für die interne Verwaltung der easyroam Profile verwendet. Der Name der heruntergeladenen PKCS12 Datei wird gebildet aus dem Datum und der Uhrzeit der Erzeugung der PKCS12 Datei mit dem Suffix .p12.</alert>
+. Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird das folgende {{ :de:eduroam:easyroam_extract.sh |Script}} aufgerufen, welches auf der Grundlage des Scripts der [[https://rz.uni-greifswald.de/dienste/technische-infrastruktur/wlan-eduroam/linux/|Universität Greifswald]] angepasst wurde:
+<code>
+#!/bin/bash
+# This script extract all the necessary information from the easyroam PKCS12 File and put it under /etc/easyroam-certs
+# Usage:   bash easyroam_extract.sh <YOUR-PKCS12-File>
+set -e
+# check if we are root
+if [[ $EUID -ne 0 ]]; then
+    echo "You must be root to run easyroam_extract.sh." 1>&2
+    exit 100
+fi
+ConfDir="/etc/easyroam-certs"
+[ -d "$ConfDir" ] || mkdir -p "$ConfDir"
+# check input file
+if [ -z "$1" ]; then
+        echo ""
+        echo "Your pkcs12 file is missed as input parameter."
+        echo ""
+        exit 1
+else
+        InputFile="$1"
+fi
+# set openssl legacy options if necessary
+LegacyOption=
+OpenSSLversion=$(openssl version | awk '{print $2}' | sed -e 's/\..*$//')
+if [ "$OpenSSLversion" -eq "3" ]; then
+        LegacyOption="-legacy"
+fi
+# check pkcs12 file
+Pwd="pkcs12"
+if ! openssl pkcs12 -in "$InputFile" $LegacyOption -info -passin pass: -passout pass:"$Pwd" > /dev/null 2>&1; then
+        echo ""
+        echo "ERROR: The given input file does not seem to be a valid pkcs12 file."
+        echo ""
+        exit 1
+fi
+# extract key, cert, ca and identity
+openssl pkcs12 -in "$InputFile" -clcerts $LegacyOption -nokeys -passin pass: -out "$ConfDir/easyroam_client_cert.pem"
+openssl pkcs12 -in "$InputFile" $LegacyOption -nocerts -passin pass: -passout pass:"$Pwd" -out "$ConfDir/easyroam_client_key.pem"
+openssl pkcs12 -info -in "$InputFile" $LegacyOption -cacerts -nokeys -passin pass: -out "$ConfDir/easyroam_root_ca.pem" > /dev/null 2>&1
+openssl x509 -noout -in "$ConfDir/easyroam_client_cert.pem" -subject | awk -F \, '{print $6}' | sed -e 's/.*=//' -e 's/\s*//' >  "$ConfDir/identity"
+echo "Done."
+</code>
+=== Verwendung der extrahierten easyroam Profile am Beispiel des Netzwerk Managers mit der Bezeichnung netctl ===
+ Folgendes wird vorausgesetzt:
+  * easyroam_extract.sh aufgerufen
+  * netctl
+  * wpa_supplicant
+  * easyroam .p12 Pseudozertifikat
+Die in Schritt 5. extrahierten Dateien die sich unter /etc/easyroam-certs befinden, werden anschließend in einem File mit dem Namen /etc/netctl/easyroam verwendet, dort wird folgendes hineingeschrieben und gespeichert:<code>description='easyroam connection'
+Interface=wlan0
+Connection=wireless
+Security='wpa-configsection'
+IP='dhcp'
+WPAConfigSection=(
+    'ssid="eduroam"'
+    'key_mgmt=WPA-EAP'
+    'eap=TLS'
+    'proto=WPA RSN'
+    'identity="76673789883214453797@easyroam.realm_der_einrichtung.tld"'   # <---- Hier muss der CN (Common Name), also der Wert aus der Datei /etc/easyroam-certs/identity s. Beispiel links. Auf keinen Fall die Pairwise-ID eingeben!!!!!
+    'client_cert="/etc/easyroam-certs/easyroam_client_cert.pem"'
+    'private_key="/etc/easyroam-certs/easyroam_client_key.pem"'
+    'altsubject_match="DNS:easyroam.eduroam.de"'
+    'private_key_passwd="pkcs12"'
+    'ca_cert="/etc/easyroam-certs/easyroam_root_ca.pem"'
+    'ca_cert2="/etc/easyroam-certs/easyroam_root_ca.pem"'
+) </code>
+Mit Root Rechten wird folgendes Kommando aufgerufen:<code>netctl start easyroam </code>Soll permanent easyroam installiert werden, so wird folgendes Kommando aufgerufen:<code>netctl enable easyroam</code>
+=== Verwendung der extrahierten easyroam Profile am Beispiel des Netzwerk Managers mit der Bezeichnung NetworkManager (nmcli) ===
+Nachdem die Schritte 1. bis 5. ausgeführt und die easyroam Zertifikate extrahiert wurden, wird folgendes Script aufgerufen, welches auf der Grundlage des {{ :de:eduroam:easyroam_nmcli.sh |Script}} der [[https://rz.uni-greifswald.de/dienste/technische-infrastruktur/wlan-eduroam/linux/|Universität Greifswald]] angepasst wurde:
+<code>
+#!/bin/bash
+# Usage: bash   easyroam_nmcli.sh
+set -e
+# check if we are root
+if [[ $EUID -ne 0 ]]; then
+    echo "You must be root to run easyroam_nmcli.sh." 1>&2
+    exit 100
+fi
+# check for easyroam-cert files
+[ -d /etc/easyroam-certs ] && ConfDir=/etc/easyroam-certs || { echo "Aborted, run easyroam_extract.sh first!"; exit 1;  }
+[ -f /etc/easyroam-certs/easyroam_client_cert.pem ] ||  { echo "Aborted, client_cert missing."; exit 1;  }
+[ -f /etc/easyroam-certs/easyroam_root_ca.pem ] ||  { echo "Aborted, root_ca missing."; exit 1;  }
+[ -f /etc/easyroam-certs/easyroam_client_key.pem ] ||  { echo "Aborted, client_key missing."; exit 1;  }
+[ -f /etc/easyroam-certs/identity ] && Identity=$(cat "$ConfDir/identity") ||  { echo "Aborted, identity missing"; exit 1;  }
+Pwd="pkcs12"
+# check for nmcli
+if ! type nmcli >/dev/null 2>&1; then
+        echo ""
+        echo "ERROR: nmcli not found!" >&2
+        echo "This wizard assumes that your network connections are NOT managed by NetworkManager." >&2
+        echo ""
+        exit 1
+fi
+# check for wifi device
+if ! nmcli -g TYPE,DEVICE device | grep wifi >/dev/null; then
+        echo ""
+        echo "ERROR: Unable to find any wifi device!" >&2
+        echo ""
+        exit 1
+fi
+# configure parameters
+WIntName=$(iw dev | awk '$1=="Interface"{print $2}')
+WOn="GENERAL.STATE:"
+WLANName="eduroam"
+ALT_SUBJECT="DNS:easyroam.eduroam.de"
+# TLS_1.3
+TLS_VERSION="0x100"
+# Remove existing connections
+nmcli connection show | \
+        awk '$1==c{ print $2 }' c="$WLANName" | \
+        xargs -rn1 nmcli connection delete uuid
+# switch wlan on
+nmcli dev show "$WIntName" | \
+      awk '$1==c{ print $2 }' c="$WOn" | \
+      xargs -rn1 nmcli radio wifi on
+# Create new connection
+nmcli connection add \
+        type wifi \
+        con-name "$WLANName" \
+        ssid "$WLANName" \
+        -- \
+        wifi-sec.key-mgmt wpa-eap \
+-1x.eap tls \
+-1x.altsubject-matches "$ALT_SUBJECT" \
+-1x.phase1-auth-flags "$TLS_VERSION" \
+-1x.identity "$Identity" \
+-1x.ca-cert "$ConfDir/easyroam_root_ca.pem" \
+-1x.client-cert "$ConfDir/easyroam_client_cert.pem" \
+-1x.private-key-password "$Pwd" \
+-1x.private-key "$ConfDir/easyroam_client_key.pem"
+ </code>
+<alert>Im File /etc/NetworkManager/NetworkManager.conf kann mit \\
+\\
+[device]\\
+wifi.scan-rand-mac-address=yes \\
+\\
+die Randomisierung der MAC-Adresse konfiguriert werden.</alert>
+==== Installation der easyroam Profile auf Linux Geräten ohne Desktop Umgebung (wpa-supplicant only) ====
+Anhand eines Rasperry Pi's 3 Model B+ wird exepmplarisch gezeigt, wie ohne grafische Oberfläche ein easyroam Profil installiert werden kann.
+<alert>Voraussetzung:\\
+Raspberry Pi OS Lite (64-bit, Debian Bullseye, keine Desktopumgebung)\\
+Es wurde bereits eine P12-Datei via easyroam.de erzeugt und über das Kommando sftp und einer
+Ethernetverbindung auf das Gerät gebracht.</alert>
+Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird das folgende {{:de:eduroam:easyroam_extract.sh |Script}} aufgerufen, welches auf der Grundlage des Scripts der [[https://rz.uni-greifswald.de/dienste/technische-infrastruktur/wlan-eduroam/linux/|Universität Greifswald]] angepasst wurde:
+<code>
+#!/bin/bash
+# This script extract all the necessary information from the easyroam PKCS12 File and put it under /etc/easyroam-certs
+# Usage:   bash easyroam_extract.sh <YOUR-PKCS12-File>
+set -e
+# check if we are root
+if [[ $EUID -ne 0 ]]; then
+    echo "You must be root to run easyroam_extract.sh." 1>&2
+    exit 100
+fi
+ConfDir="/etc/easyroam-certs"
+[ -d "$ConfDir" ] || mkdir -p "$ConfDir"
+# check input file
+if [ -z "$1" ]; then
+        echo ""
+        echo "Your pkcs12 file is missed as input parameter."
+        echo ""
+        exit 1
+else
+        InputFile="$1"
+fi
+# set openssl legacy options if necessary
+LegacyOption=
+OpenSSLversion=$(openssl version | awk '{print $2}' | sed -e 's/\..*$//')
+if [ "$OpenSSLversion" -eq "3" ]; then
+        LegacyOption="-legacy"
+fi
+# check pkcs12 file
+Pwd="pkcs12"
+if ! openssl pkcs12 -in "$InputFile" $LegacyOption -info -passin pass: -passout pass:"$Pwd" > /dev/null 2>&1; then
+        echo ""
+        echo "ERROR: The given input file does not seem to be a valid pkcs12 file."
+        echo ""
+        exit 1
+fi
+# extract key, cert, ca and identity
+openssl pkcs12 -in "$InputFile" -clcerts $LegacyOption -nokeys -passin pass: -out "$ConfDir/easyroam_client_cert.pem"
+openssl pkcs12 -in "$InputFile" $LegacyOption -nocerts -passin pass: -passout pass:"$Pwd" -out "$ConfDir/easyroam_client_key.pem"
+openssl pkcs12 -info -in "$InputFile" $LegacyOption -cacerts -nokeys -passin pass: -out "$ConfDir/easyroam_root_ca.pem" > /dev/null 2>&1
+openssl x509 -noout -in "$ConfDir/easyroam_client_cert.pem" -subject | awk -F \, '{print $6}' | sed -e 's/.*=//' -e 's/\s*//' >  "$ConfDir/identity"
+echo "Done."
+</code>
+Die wpa_supplicant.conf im Verzeichnis /etc/wpa_supplicant:<code>ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
+update_config=1
+country=DE
+network={
+   ssid="eduroam"
+   scan_ssid=1
+   key_mgmt=WPA-EAP
+   proto=WPA2
+   eap=TLS
+   pairwise=CCMP
+   group=CCMP
+   identity="12345678910111213abcd@realm_der_einrichtung.tld"   # <---- Hier muss der CN (Common Name), also der Wert aus der Datei /etc/easyroam-certs/identity s. Beispiel links. Auf keinen Fall die Pairwise-ID eingeben!!!!!
+   altsubject_match="DNS:easyroam.eduroam.de"
+   ca_cert="/etc/easyroam-certs/easyroam_root_ca.pem"
+   client_cert="/etc/easyroam-certs/easyroam_client_cert.pem"
+   private_key="/etc/easyroam-certs/easyroam_client_key.pem"
+   private_key_passwd="pkcs12"
+}</code>
+<code>sudo reboot</code>
+<alert>Tip: Mit Copy/Paste können die hier angegebenen Zeilen kopiert werden und ebenfalls über sftp auf das Gerät gebracht werden.</alert>
+==== Installation der easyroam app auf Linux Desktop Geräten (x86) mit Network Manager ====
+<alert>Die easyroam app konfiguriert ausschließlich den eduroam Zugang für das Anmeldeverfahren EAP-TLS auf den Geräten. Die easyroam app führt weder die Anmeldung in eduroam aus noch ist sie verantwortlich für die Etablierung der Verbindung zum eduroam Netz. Die easyroam app versteht sich als Hilfswerkzeug (nicht zwingend erforderlich), um die Installation der Pseudozertifikate, welche das Betriebssystem nutzt, damit sich die Geräte in eduroam anmelden können.</alert>
+Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).
+. Wenn alte eduroam oder easyroam Konfigurationen vorhanden sind, diese bitte löschen.
+. Die easyroam app herunterladen: [[https://snapcraft.io/easyroam]] .
+. easyroam app starten. In der Regel wird ein Browser automatisch geöffnet. <alert>Die easyroam app bitte nicht mit Root-Rechten starten, Sie erhalten dann eine Fehlermeldung und die easroam app bricht die Ausführung ab!</alert>
+. Im anschließenden WAYF (Where Are You From) findet man seine Einrichtung und meldet sich über seinen DFN-AAI IdP Account an. Sollte die Heimateinrichtung nicht  im WAYF aufgeführt werden, kann stattdessen der Eintrag „easyroam im Regelbetrieb“ ausgewählt werden.
+. Nach erfolgreicher DFN-AAI Anmeldung, wird das Hauptmenü "Home" aufgerufen. Mit einem Klick auf die Schaltfläche "Neues Profil installieren" wird ein neues easyroam
+ Profil installiert.
+{{:de:eduroam:screenshot_start_2023-01-09_101243.png?400|}}
+. Das neu installierte easyroam Profil wird als "Gültig" markiert im Hauptmenü angezeigt.
+{{:de:eduroam:screenshot_neu_cert_2023-01-09_101420.png?400|}}
+<alert> Bitte beachten: Das GUI auf Linux Systemen zeigt leider nicht alle easyroam Konfigurationsdetails an, welche aus Gründen der Sicherheit konfiguriert werden mussten. Eine manuelle Änderung im Nachgang der Installation der easyroam Profile, "zerschießt" unweigerlich die easyroam Konfiguration auf dem Linux System.</alert>
+==== Erfahrungsberichte zur easyroam App auf diversen Geräten ====
+=== ANDROID-Geräte ===
+Ein paar Nutzende der easyroam App auf Android-Geräten, wie z. B. von Samsung oder Huawei, haben berichtet, dass ihre easyroam Profile nach einiger Zeit verschwinden, obwohl die Zertifikate noch gültig sind. Um die Profile wieder in die WLAN-Einstellungen des Geräts zu bekommen, muss die easyroam App geöffnet und das Profil über den Reinstallieren-Button erneut installiert werden.
+Das Löschen von Nutzerdaten ist normalerweise nicht üblich auf Android-Geräten. Es scheint, dass einige Distributoren Daten, die Nutzende über Apps auf ihre Geräte bringen, nicht als vertrauenswürdig betrachten.
+Unser Team hat festgestellt, dass es einen Zusammenhang zwischen dem Löschen der Profile und der Zeit gibt. Wenn Nutzer länger als eine Woche nicht mit dem eduroam WLAN verbunden sind, wird das Profil aus der Konfiguration entfernt. \\
+=== iOS-Geräte ===
+Bei der Übertragung von Daten von einem älteren auf ein neueres iOS-Gerät kam es zu sogenannten „Zombie-Einträgen“ in den WLAN-Einstellungen. Infolgedessen trat die Fehlermeldung „Verbindung mit eduroam fehlgeschlagen“ in der easyroam App auf. Eine Reinstallation oder Neuinstallation der Profile war nicht möglich. Es liegt offensichtlich ein Betriebssystemfehler vor.
+Tritt dieses Problem auf, ist zunächst eine manuelle Installation des easyroam Profils über die mobileConfig-Datei durchzuführen. Anschließend wird das manuell installierte Profil wieder gelöscht. Durch das Entfernen des manuell installierten Profils wird der „Zombie-Eintrag“ entfernt. Danach funktioniert auch die easyroam App wieder und das alte Profil mit dem noch gültigen Zertifikat kann erneut installiert werden.
+Grundsätzlich müssen auf iOS-Geräten, auf denen manuell easyroam Profile über die mobileConfig-Datei installiert werden, diese wieder entfernt werden, damit die easyroam App korrekt funktionieren kann. Es ist dokumentiert, dass manuelle Konfigurationen Vorrang vor den durch Apps installierten Daten auf iOS-Geräten haben.
+<alert>  Support Address: ([[easyroam@dfn.de|easyroam@dfn.de]]) </alert>