| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:eduroam:easyroam [2025/10/15 09:29] – [Die Webseite www.easyroam.de für die eduroam Admins] Ralf Paffrath | de:eduroam:easyroam [2025/11/03 12:58] (aktuell) – [Installation der easyroam Profile auf Linux Geräten ohne Desktop Umgebung (wpa-supplicant only)] Ralf Paffrath |
|---|
| |
| Hier kann die Seriennummer des Zertifikats sowie dessen Gültigkeitsdauer eingesehen werden. Wird ein Zertifikat widerrufen, ist es umgehend für die Nutzung in easyroam gesperrt. | Hier kann die Seriennummer des Zertifikats sowie dessen Gültigkeitsdauer eingesehen werden. Wird ein Zertifikat widerrufen, ist es umgehend für die Nutzung in easyroam gesperrt. |
| Die Gültigkeitsdauer der eduroam-Profile wird in der Regel von den easyroam-Administratoren der Einrichtungen festgelegt. Wird von den easyroam-Administratoren keine Gültigkeitsdauer für die eduroam-Profile festgelegt, sind diese drei Monate gültig. | Die Gültigkeitsdauer der eduroam-Profile wird in der Regel von den easyroam Admins der Einrichtungen festgelegt. Wird von den easyroam-Administratoren keine Gültigkeitsdauer für die eduroam-Profile festgelegt, sind diese drei Monate gültig. |
| ==== Die Webseite www.easyroam.de für die eduroam Admins ==== | ==== Die Webseite www.easyroam.de für die eduroam Admins ==== |
| Bei Admins werden im Portal zusätzliche administrative Rechte vergeben. | Bei Admins werden im Portal zusätzliche administrative Rechte vergeben. |
| In easyroam werden die Identitäten der Nutzer durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbstverständlich geschützt. | In easyroam werden die Identitäten der Nutzer durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbstverständlich geschützt. |
| |
| Sollte eine Person in easyroam, beispielsweise aufgrund eines virenverseuchten Rechners, gesperrt werden müssen, ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der für die Anmeldung in eduroam erforderlichen Zertifikate sind fester Bestandteil der Roaming-Identität, auch bekannt als äußere Roaming-Identität. Die äußere Roaming-Identität kann nicht geändert werden, da sie fest an den CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden, ohne dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennummer der Profile/Zertifikate der in eduroam angemeldeten Person können die zuständigen easyroam-Administratoren auf dem Portal www.easyroam.de im Bereich “Nutzerverwaltung” nach der Pairwise-ID suchen und das betreffende eduroam-Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Um zu verhindern, dass easyroam-Nutzer unmittelbar ein neues Profil/Zertifikat für das gesperrte Endgerät generieren, sollte den Nutzern die Erlaubnis zur Generierung neuer Profile temporär entzogen werden. | Sollte eine Person in easyroam, beispielsweise aufgrund eines virenverseuchten Rechners, gesperrt werden müssen, ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der für die Anmeldung in eduroam erforderlichen Zertifikate sind fester Bestandteil der Roaming-Identität, auch bekannt als äußere Roaming-Identität. Die äußere Roaming-Identität kann nicht geändert werden, da sie fest an den CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden, ohne dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennummer der Profile/Zertifikate der in eduroam angemeldeten Person können die zuständigen easyroam-Administratoren auf dem Portal www.easyroam.de im Bereich “Profilverwaltung” das betreffende eduroam-Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Um zu verhindern, dass easyroam-Nutzende unmittelbar ein neues Profil/Zertifikat für das gesperrte Endgerät generieren, sollte den Nutzenden die Erlaubnis zur Generierung neuer Profile temporär entzogen werden. In der „Profilverwaltung“ wird der Besitzer jeder Seriennummer durch eine interne ID dargestellt. Durch einen Klick auf die ID des Besitzers gelangen Admins direkt in die Nutzerverwaltung, wo sie die betreffende Person temporär sperren können. |
| | |
| | {{:de:eduroam:screenshot_2025-10-15_at_09.44.39.png?400|}} {{:de:eduroam:screenshot_2025-10-15_at_09.49.43.png?400|}} |
| |
| <alert> Bitte beachten! Die Zertifikate werden augenblicklich gesperrt.</alert> | <alert> Bitte beachten! Die Zertifikate werden augenblicklich gesperrt.</alert> |
| ==== Installation der eduroam Profile auf macOS ==== | ==== Installation der eduroam Profile auf macOS ==== |
| |
| Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). Wenn alte eduroam Profile, die nicht mit easyroam installiert wurden, noch auf dem System sind, bitte vor der Nutzung von easyroam unbedingt löschen. s. „System Preferences/System Einstellungen“ und Profile. | Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). Wenn alte eduroam Profile, die nicht mit easyroam installiert wurden, noch auf dem System sind, bitte vor der Nutzung von easyroam unbedingt löschen. s. „System Preferences/System Einstellungen“ im Device Management. |
| Alte Profile, die mit easyroam installiert wurden, müssen nicht vorher gelöscht werden. | Alte Profile, die mit easyroam installiert wurden, müssen nicht vorher gelöscht werden. |
| |
| 1. Browser (in der Regel Safari) aufrufen und [[https://www.easyroam.de]] eingeben. | 1. Browser (in der Regel Safari) aufrufen und [[https://www.easyroam.de]] eingeben und anschließend anmelden. |
| |
| {{:de:eduroam:screenshot_2021-08-06_at_08.25.12.png?400|}} | {{:de:eduroam:screenshot_2025-10-24_at_16.29.23.png?400|}} |
| | |
| | 2. Nach erfolgreicher Anmeldung "Apple" auswählen. |
| | |
| | {{:de:eduroam:screenshot_2025-10-24_at_16.31.35.png?400|}} |
| |
| 2. Nach erfolgreicher Anmeldung ein Klick auf "Manuelle Optionen" und Mobile-Config (Apple) auswählen. | 3. In der Eingabe - Box den Namen für das Profil festlegen. |
| |
| {{:de:eduroam:screenshot_2021-08-06_at_08.56.24.png?400|}} | {{:de:eduroam:screenshot_2025-10-24_at_16.35.48.png?400|}} |
| |
| 3. Mit dem "Klick" auf "Zugang generieren" erscheint im Vordergrund des Browser-Fensters die Download Box. | 4. Das heruntegeladene Profil öffnen |
| |
| {{:de:eduroam:screenshot_2021-08-06_at_07.54.28.png?400|}} | {{:de:eduroam:screenshot_2025-10-24_at_16.40.50.png?400|}} |
| |
| 4. Mit "Klick" auf "OK" geht es weiter. Anschließend "System Preferences/System Einstellungen" aufrufen. | 5. Nach dem Öffnen des Profils die Info Box "würdigen" und mit "OK" bestätigen |
| Im Suchfenster wird anschließend "Profile" eingeben und das Untermenü "Profile" aufgerufen. | |
| |
| {{:de:eduroam:screenshot_2023-09-30_at_07.42.06.png?400|}} | {{:de:eduroam:screenshot_2025-10-24_at_16.45.14.png?200|}} |
| |
| 5. Es erscheint ein Menü mit den Nutzerprofilen und mit dem heruntergeladenen Profil, Dreieck Icon mit gelb hinterlegtem Ausrufezeichen. | 6. Nun die Systemeinstellungen starten und "Profile Downloaded" auswählen, s. weißen Pfeil in der Grafik und einfacher Klick mit dem Mauszeiger. |
| |
| {{:de:eduroam:screenshot_2021-08-06_at_07.57.00.png?400|}} | {{:de:eduroam:screenshot_2025-10-24_at_16.55.03.png?200|}} {{:de:eduroam:screenshot_2025-10-24_at_16.51.04.png?400|}} |
| |
| Das heruntegeladene Profil anklicken und dann ein "Klick" auf Install/Installieren, es erscheint das nächste Menü. | 7. Im Device Manager mit einem Doppel-Klick mit dem Mauszeiger, siehe Grafik weißer Pfeil, das noch nicht installierte Profil "eduroam" auswählen. |
| |
| {{:de:eduroam:screenshot_2021-08-06_at_07.59.40.png?400|}} | {{:de:eduroam:screenshot_2025-10-24_at_17.08.11.png?400|}} |
| |
| 6. Nun besteht nochmals Möglichkeit in die Details des Profils zu schauen oder die Installation abzuschließen. Bei Abschluss der Installation fragt das System nach dem Passwort des Users, damit wird die Erlaubnis erteilt das Profil auf dem System zu installieren. Nach der Installation versucht der macOS-Rechner eine Verbindung zum eduroam Netz aufzubauen. Sollte kein eduroam Netz in der Nähe sein, so kann es zu einer Fehlermeldung kommen. Das Profil ist jedoch installiert und sobald ein eduroam Netz gefunden wird, wird eine automatische Anmeldung im eduroam Netz durchgeführt. | 8. In der Auswahl Box mit dem Titel „Are you sure you want to install this profile?“ „Install“ auswählen, anschließend dem „Device Management“ mit der Eingabe des Passworts (Anmelde-Passwort für die Kennung auf dem macOS-Gerät) erlauben, das Profil zu installieren. Die Eingabe des Passworts mit „OK“ bestätigen. |
| |
| <alert> Die äußere Identität darf nicht geändert werden, da diese an den CN (Common Name) im Client Zertifikat gebunden ist. </alert> | {{:de:eduroam:screenshot_2025-10-24_at_17.13.44.png?400|}} {{:de:eduroam:screenshot_2025-10-24_at_17.15.05.png?200|}} |
| | |
| |
| ==== Installation der eduroam Profile auf watchOS ==== | ==== Installation der eduroam Profile auf watchOS ==== |
| # extract key, cert, ca and identity | # extract key, cert, ca and identity |
| |
| openssl pkcs12 -in "$InputFile" $LegacyOption -nokeys -passin pass: -out "$ConfDir/easyroam_client_cert.pem" | openssl pkcs12 -in "$InputFile" -clcerts $LegacyOption -nokeys -passin pass: -out "$ConfDir/easyroam_client_cert.pem" |
| openssl pkcs12 -in "$InputFile" $LegacyOption -nocerts -passin pass: -passout pass:"$Pwd" -out "$ConfDir/easyroam_client_key.pem" | openssl pkcs12 -in "$InputFile" $LegacyOption -nocerts -passin pass: -passout pass:"$Pwd" -out "$ConfDir/easyroam_client_key.pem" |
| openssl pkcs12 -info -in "$InputFile" $LegacyOption -cacerts -nokeys -passin pass: -out "$ConfDir/easyroam_root_ca.pem" > /dev/null 2>&1 | openssl pkcs12 -info -in "$InputFile" $LegacyOption -cacerts -nokeys -passin pass: -out "$ConfDir/easyroam_root_ca.pem" > /dev/null 2>&1 |
| |
| |
| Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird das folgende {{ :de:eduroam:easyroam_extract.sh |Script}} aufgerufen, welches auf der Grundlage des Scripts der [[https://rz.uni-greifswald.de/dienste/technische-infrastruktur/wlan-eduroam/linux/|Universität Greifswald]] angepasst wurde: | Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird das folgende {{:de:eduroam:easyroam_extract.sh |Script}} aufgerufen, welches auf der Grundlage des Scripts der [[https://rz.uni-greifswald.de/dienste/technische-infrastruktur/wlan-eduroam/linux/|Universität Greifswald]] angepasst wurde: |
| <code> | <code> |
| #!/bin/bash | #!/bin/bash |
| # extract key, cert, ca and identity | # extract key, cert, ca and identity |
| |
| openssl pkcs12 -in "$InputFile" $LegacyOption -nokeys -passin pass: -out "$ConfDir/easyroam_client_cert.pem" | openssl pkcs12 -in "$InputFile" -clcerts $LegacyOption -nokeys -passin pass: -out "$ConfDir/easyroam_client_cert.pem" |
| openssl pkcs12 -in "$InputFile" $LegacyOption -nocerts -passin pass: -passout pass:"$Pwd" -out "$ConfDir/easyroam_client_key.pem" | openssl pkcs12 -in "$InputFile" $LegacyOption -nocerts -passin pass: -passout pass:"$Pwd" -out "$ConfDir/easyroam_client_key.pem" |
| openssl pkcs12 -info -in "$InputFile" $LegacyOption -cacerts -nokeys -passin pass: -out "$ConfDir/easyroam_root_ca.pem" > /dev/null 2>&1 | openssl pkcs12 -info -in "$InputFile" $LegacyOption -cacerts -nokeys -passin pass: -out "$ConfDir/easyroam_root_ca.pem" > /dev/null 2>&1 |