Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:eduroam:easyroam [2022/08/30 08:46] – [easyroam im Regelbetrieb] Ralf Paffrathde:eduroam:easyroam [2024/03/14 09:39] (aktuell) – [Installation der eduroam Profile auf ANDROID <= 9] Ralf Paffrath
Zeile 1: Zeile 1:
 ===== easyroam im Regelbetrieb ===== ===== easyroam im Regelbetrieb =====
  
-[[de:eduroam:easyroam-regelbetrieb|Für eaysroam Admins: Weiche Migration in den Regelbetrieb ]]+[[de:eduroam:easyroam-regelbetrieb|Für easyroam Admins und für die, die es gerne werden wollen: Weiche Migration in den Regelbetrieb ]]
  
-==== Allgemeines zu easyroam ====+==== Allgemeines zu easyroam und Schnellzugriff auf die Anleitungen ====
  
 easyroam versteht sich als eine Weiterentwicklung des eduroam Dienstes und richtet sich hauptsächlich an kleine Einrichtungen im DFN, kann aber auch von großen Einrichtungen im DFN genutzt werden. easyroam versteht sich als eine Weiterentwicklung des eduroam Dienstes und richtet sich hauptsächlich an kleine Einrichtungen im DFN, kann aber auch von großen Einrichtungen im DFN genutzt werden.
  
-Die Idee eduroam und die DFN-AAI zusammenzuführen ist nichts Neues und war lange Zeit leider nicht möglich, da es die DFN-AAI in der Fläche noch nicht gab. Das hat sich seit einiger Zeit geändert, so dass nun die Möglichkeit gegeben ist, den Dienst eduroam mit der Zusammenführung von eduroam und der DFN-AAI sicherer und einfacher zu gestalten. Herzstück von easyroam ist das easyroam Portal: [[https://www.easyroam.de|https://www.easyroam.de]], welches als DFN-AAI Service Provider in der DFN-AAI-Basic, eduroam Profile für die gängigen Betriebssystem wie: W10, MacOSX/iOS, ANDROID und LINUX Derivate bereitstellt. Das easyroam Portal kann in den Konfigurationsassistenten auf [[https://cat.eduroam.org|https://cat.eduroam.org]] über den Eintrag des eduroam - IdP's (Identity Providers) der Einrichtungen eigetragen werden.+Die Idee eduroam und die DFN-AAI zusammenzuführen ist nichts Neues und war lange Zeit leider nicht möglich, da es die DFN-AAI in der Fläche noch nicht gab. Das hat sich seit einiger Zeit geändert, so dass nun die Möglichkeit gegeben ist, den Dienst eduroam mit der Zusammenführung von eduroam und der DFN-AAI sicherer und einfacher zu gestalten. Herzstück von easyroam ist das easyroam Portal: [[https://www.easyroam.de|https://www.easyroam.de]], welches als DFN-AAI Service Provider in der DFN-AAI, eduroam Profile für die gängigen Betriebssystem wie: W10, macOS/iOS, ANDROID und LINUX Derivate bereitstellt. Das easyroam Portal kann in den Konfigurationsassistenten auf [[https://cat.eduroam.org|https://cat.eduroam.org]] über den Eintrag des eduroam - IdP's (Identity Providers) der Einrichtungen eingetragen werden.
  
 {{:de:eduroam:qr-code.png?200|}} {{:de:eduroam:qr-code.png?200|}}
  
-In eduroam gibt es neben anderen Verfahren zur Anmeldung die Authentifizierungsmethode EAP-TLS. Bei dieser Methode kommen ausschließlich Client/Nutzer Zertifikate für die Anmeldung zum Einsatz. Diese Zertifikate für eduroam können die eduroam Nutzenden auf www.easyroam.de nur generieren, wenn sie im Besitz einer gültigen DFN-AAI IdP Kennung mit Opt-In sind. Die eduroam Client/Server Zertifikate sind Teil einer "Self-Signed PKI" und können nur in eduroam eingesetzt werden. Der easyroam Server speichert ausschließlich nur die Pairwise - ID (Pseudonym) des DFN-AAI IdP Accounts und die Seriennummer des Client/Nutzer Zertifikats. Letzteres ist auch Teil der Roaming Indentität. Eine Besonderheit gegenüber aktuellen EAP-TLS Angeboten ist, dass die eduroam Nutzenden nicht mehr mit Namen im Zertifikat erkennbar sind. Somit ist es unmöglich Bewegungsprofile der eduroam Nutzenden zu erstellen. Jedoch ist es möglich, eine Zuordnung zwischen Pairwise - ID und Zertifikats-Seriennummer herzustellen und den eduroam Nutzenden eindeutig mit einer Person in Verbindung zu bringen. Somit ist man nicht generell anonym in eduroam unterwegs, wie das auch bisher der Fall ist.+In eduroam gibt es neben anderen Verfahren zur Anmeldung die Authentifizierungsmethode EAP-TLS. Bei dieser Methode kommen ausschließlich Client/Nutzer Zertifikate für die Anmeldung zum Einsatz. Diese Zertifikate für eduroam können die eduroam Nutzenden auf www.easyroam.de nur generieren, wenn sie im Besitz einer gültigen DFN-AAI IdP Kennung mit Opt-In sind. Die eduroam Client/Server Zertifikate sind Teil einer "Self-Signed PKI" und können nur in eduroam eingesetzt werden. Der easyroam Server speichert ausschließlich nur die Pairwise - ID (Pseudonym) des DFN-AAI IdP Accounts und die Seriennummer des Client/Nutzer Zertifikats. Letzteres ist auch Teil der Roaming Identität. Eine Besonderheit gegenüber aktuellen EAP-TLS Angeboten ist, dass die eduroam Nutzenden nicht mehr mit Namen im Zertifikat erkennbar sind. Somit ist es unmöglich Bewegungsprofile der eduroam Nutzenden zu erstellen. Jedoch ist es möglich, eine Zuordnung zwischen Pairwise - ID und Zertifikats-Seriennummer herzustellen und den eduroam Nutzenden eindeutig mit einer Person in Verbindung zu bringen. Somit ist man nicht generell anonym in eduroam unterwegs, wie das auch bisher der Fall ist.
  
 Die Server Software ist eine .NET Entwicklung in C-Sharp geschrieben. Es wurde bewusst auf PHP verzichtet, da PHP nicht die Server Sicherheit bot, die an die Server Software gelegt wurde. Der Server unterstützt aktuell drei Sprachen: Deutsch, Englisch und Chinesisch (wird zur Zeit überarbeitet).  Die Server Software ist eine .NET Entwicklung in C-Sharp geschrieben. Es wurde bewusst auf PHP verzichtet, da PHP nicht die Server Sicherheit bot, die an die Server Software gelegt wurde. Der Server unterstützt aktuell drei Sprachen: Deutsch, Englisch und Chinesisch (wird zur Zeit überarbeitet). 
  
-Für W10 kann die Installation der eduroam Profile von www.easyroam.de über die GETEDUROAM App realisiert werdenAnleitungen sweiter unten im Dokument.+Die Anleitungen auf einem Blick finden die easyroam Nutzenden [[https://doku.tid.dfn.de/de:eduroam:easyroam-anleitungen|hier]].
  
-==== Für Admins: Die Internationalisierung von easyroam durch NAPTR Records für Realmsdie nicht auf ".de" enden ==== + 
-Wenn man keine ".de" - Realms verwendet, ist für die Internationalisierung von eduroam/easyroam wichtig, einen sogenannten NAPTR (**N**etwork **A**uthority **P**oin**T**e**R**) - Record für seine Realms   +==== Für Admins: Die Internationalisierung von easyroam durch NAPTR Records für Realms oder für die Top-Level Domain ".de" Text-Records ==== 
-zu konfigurieren.+Für die Internationalisierung von eduroam/easyroam ist es wichtig, einen sogenannten NAPTR (**N**etwork **A**uthority **P**oin**T**e**R**) - Record für seine Realms   
 +zu konfigurieren. Aber auch für die nationale Nutzung ist es wichtig zumindest für die unten genannten Realms einen Text-Record im DNS zu konfigurieren. Da gemäß der eduroam Policy der Realm im globalen DNS auflösbar sein muss.
  
 Für easyroam sind beispielhaft folgende NAPTR's zu konfigurieren: Für easyroam sind beispielhaft folgende NAPTR's zu konfigurieren:
Zeile 46: Zeile 47:
  
  
-==== Für Admins: easyroam in der DFN-AAI-Basic im OptIn ====+==== Für Admins: easyroam in der DFN-AAI im OptIn ====
  
 Für die Freigabe am DFN-AAI SP https://www.easyroam.de (Entity-ID https://get.eduroam.de/shibboleth) werden folgende Attribute benötigt: Für die Freigabe am DFN-AAI SP https://www.easyroam.de (Entity-ID https://get.eduroam.de/shibboleth) werden folgende Attribute benötigt:
Zeile 52: Zeile 53:
   * [[de:common_attributes#a17|samlPairwiseID]], siehe [[de:shibidp:config-attributes-aaiplus|Generierung]] und [[de:shibidp:config-storage#umstellung_auf_saml_pairwise-id|Umstellung ]]   * [[de:common_attributes#a17|samlPairwiseID]], siehe [[de:shibidp:config-attributes-aaiplus|Generierung]] und [[de:shibidp:config-storage#umstellung_auf_saml_pairwise-id|Umstellung ]]
   * [[de:common_attributes#a10|eduPersonEntitlement]] mit den Werten   * [[de:common_attributes#a10|eduPersonEntitlement]] mit den Werten
 +  <alert>Im Folgendem handelt es sich um Attributwerte und nicht um Links!</alert>
     * https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins     * https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins
     * https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende und Admins     * https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende und Admins
Zeile 91: Zeile 93:
 {{:de:eduroam:screenshot_2021-08-04_at_16.20.48.png?400|}} {{:de:eduroam:screenshot_2021-08-04_at_16.20.48.png?400|}}
  
-Hier kann man die Seriennnumer des Zertifikats und auch die Laufzeit des Zertifikats einsehen. Wird nun ein Zertifikat widerrufen, so kommt es auf die Widerrufsliste und wird beim Udate der CRL anschließend von RADIUS Server abgelehnt. Bei Widerruf des Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt.+Hier kann man die Seriennummer des Zertifikats und auch die Laufzeit des Zertifikats einsehen. Wird nun ein Zertifikat widerrufen, so kommt es auf die Widerrufsliste und wird beim Udate der CRL anschließend von RADIUS Server abgelehnt. Bei Widerruf des Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt.
  
 Die Laufzeit der eduroam Profile legen in der Regel die easyroam Administratoren in den Einrichtungen fest. Wenn von den easyroam Administratoren keine Laufzeit der eduroam Profile festgelegt wird, sind die eduroam Profile 3 Monate gültig. Im Bereich "Zugänge verwalten" Die Laufzeit der eduroam Profile legen in der Regel die easyroam Administratoren in den Einrichtungen fest. Wenn von den easyroam Administratoren keine Laufzeit der eduroam Profile festgelegt wird, sind die eduroam Profile 3 Monate gültig. Im Bereich "Zugänge verwalten"
Zeile 105: Zeile 107:
 Die Admins sehen mehr als die eduroam Nutzenden. Klicken Admins auf den Reiter "Verwalten von Benutzerzugängen", so können sie anhand der Pairwise-ID und der Seriennummer (die Pairwise-ID ist in der folgenden Grafik nur zum Teil sichtbar, da ausgeschwärzt) die Profile verwalten: Die Admins sehen mehr als die eduroam Nutzenden. Klicken Admins auf den Reiter "Verwalten von Benutzerzugängen", so können sie anhand der Pairwise-ID und der Seriennummer (die Pairwise-ID ist in der folgenden Grafik nur zum Teil sichtbar, da ausgeschwärzt) die Profile verwalten:
  
-{{:de:eduroam:screenshot_2021-08-04_at_16.55.43.png?400|}}+{{:de:eduroam:screenshot_2023-11-14_at_16.03.13.png?400|}}
  
-Pairwise-ID und Seriennummer der Zertifikate sind suchbar, geben die Administrierenden die Pairewise-ID ein, so erhalten sie alle Zertifikate der/des pseudonymisierten eduroam Nutzenden angezeigt. Bei Widerruf eiens Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. Grundsätzlich ist es für die eduroam Admins nicht möglich, eduroam Nutzende in easyroam anhand der Pairwise-ID auf dem easyroam Server get.eduroam.de zu sperren. Nur die DFN-AAI IdP Admins können anhand der Pairwise - ID, die eduroam Nutzenden einer Person zuordnen und diese dann das Entitlement für den Zugang zu easyroam entziehen. Das DFN-AAI Team empfiehlt einen DFN-AAI IdP nie ohne Datenbank zu betreiben. Somit lassen sich im Bedarfsfall die Personen anhand der Pairwise-ID durch die zuständigen DFN-AAI IdP Admins leichter zuordnen. +Pairwise-ID und Seriennummer der Zertifikate sind suchbar, geben die Administrierenden die Pairewise-ID ein, so erhalten sie alle Zertifikate der/des pseudonymisierten eduroam Nutzenden angezeigt. Bei Widerruf eines Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. Grundsätzlich ist es für die eduroam Admins nicht möglich, eduroam Nutzende in easyroam anhand der Pairwise-ID auf dem easyroam Server get.eduroam.de zu sperren. Nur die DFN-AAI IdP Admins können anhand der Pairwise - ID, die eduroam Nutzenden einer Person zuordnen und diese dann das Entitlement für den Zugang zu easyroam entziehen. Das DFN-AAI Team empfiehlt einen DFN-AAI IdP nie ohne Datenbank zu betreiben. Somit lassen sich im Bedarfsfall die Personen anhand der Pairwise-ID durch die zuständigen DFN-AAI IdP Admins leichter zuordnen. 
  
 === Vorgehensweise der easyroam Admins bei Sperrung einer Person in easyroam === === Vorgehensweise der easyroam Admins bei Sperrung einer Person in easyroam ===
-In easyroam werden die Identitäten der Personen durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbverständlich geschützt.   +In easyroam werden die Identitäten der Personen durch pseudonymisierte Profile/Zertifikate im Rahmen der DSGVO selbstverständlich geschützt.   
-Kommt es vor, dass eine Personn in easyroam, z.B. wegen eines virenverseuchten Rechners, gesperrt werden muss, so ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der Zertifikate, die für die Anmeldung in eduroam erforderlich sind, sind fester Bestandteil der Roaming Identität, auch bekannt als äußere Roaming Identität. Die äußere Roaming Identität kann nicht geändert werden, da sie fest an dem CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden ohne, dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennnumer der Profile/Zertifikate, der in eduroam angemeldeten Person, können die zuständigen easyroam Admins auf dem Portal www.easyroam.de im Bereich "Verwalten von Benutzerzugängen" nach der Pairwise-ID suchen und das betrefende eduroam Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Damit easyroam Nutzende nicht augenblicklich ein neues Profil/Zertifikat für das gesperrte Endgerät genrieren, sollte den Nutzenden Erlaubnis neue Profile zu generieren temporär entzogen werden.+Kommt es vor, dass eine Person in easyroam, z.B. wegen eines virenverseuchten Rechners, gesperrt werden muss, so ermittelt der eduroam Admin zunächst die Seriennummer des Zertifikats der in eduroam angemeldeten Person. Die Seriennummern der Zertifikate, die für die Anmeldung in eduroam erforderlich sind, sind fester Bestandteil der Roaming Identität, auch bekannt als äußere Roaming Identität. Die äußere Roaming Identität kann nicht geändert werden, da sie fest an dem CN (Common Name) im Zertifikat der pseudonymen Identität gebunden ist. Somit können die Personen in easyroam unterschieden werden ohne, dass die wahren Identitäten der Personen offengelegt werden. Anhand der Seriennummer der Profile/Zertifikate, der in eduroam angemeldeten Person, können die zuständigen easyroam Admins auf dem Portal www.easyroam.de im Bereich "Verwalten von Benutzerprofilen" nach der Pairwise-ID suchen und das betreffende eduroam Profil/Zertifikat widerrufen. Damit verliert das widerrufene Profil/Zertifikat die Gültigkeit in eduroam und das entsprechende Endgerät ist für eduroam gesperrt. Damit easyroam Nutzende nicht augenblicklich ein neues Profil/Zertifikat für das gesperrte Endgerät generieren, sollte den Nutzenden Erlaubnis neue Profile zu generieren temporär entzogen werden.
  
 {{:de:eduroam:screenshot_2021-11-17_at_15.24.02.png?400|}} {{:de:eduroam:screenshot_2021-11-17_at_15.24.02.png?400|}}
Zeile 122: Zeile 124:
  
 <alert> Bitte beachten! Die Zertifikate werden augenblicklich gesperrt.</alert> <alert> Bitte beachten! Die Zertifikate werden augenblicklich gesperrt.</alert>
-==== Installation der eduroam Profile auf W10 mit GETEDUROAM ====+==== Installation der eduroam Profile auf W10/11 mit der easyroam App ====
  
-Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN.+Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam).
  
-1. Die GETEDUROAM App herunterladen: [[https://github.com/geteduroam/windows-app/releases/download/geteduroam-3.2.5/geteduroam.exe]] und installieren.+1. Wenn die GETEDUROAM app und/oder alte eduroam Profile installiert sind, diese bitte jetzt löschen.
  
-2. GETEDUROAM App starten und den Name seiner Heimateinrichtung in der Organisations - Box eingeben und auf Weiter klicken. +2. Die easyroam app herunterladen: [[https://www.easyroam.de/winapp/easyroam.msix]] und installieren.
-3Mit seinem DFN-AAI IdP Account anmelden.+
  
-4Nach erfolgreicher Anmeldung wird versucht, das Profil zu installieren. Es gibt einen Sicherheitshinweis, aber keine Warnung, dass ein Profil installiert werden soll. Der Installtion des Profils sollte man zustimmen.+2easyroam app starten. In der Regel wird ein Browser automatisch geöffnet.
  
-W10 versucht eine Verbindung zum eduroam Netz aufzubauen, wenn kein eduroam Netz in der Nähe ist, gibt es logischer Weise einen Hinweis, dass das Netz eduroam nicht erreichbar ist. In der Regel baut W10 automatisch eine Verbindung zum eduroam Netzwerk aufsobald eines in der Nähe ist.+3. Im anschließenden WAYF (Where Are You From) findet man seine Einrichtung und meldet sich über seinen DFN-AAI IdP Account an. Sollte die Heimateinrichtung nicht nicht im WAYF aufgeführt werdenkann stattdessen der Eintrag „easyroam im Regelbetrieb“ ausgewählt werden.
  
-<alert> Die äußere Identität darf nicht geändert werdenda diese an den CN (Common Name) im Client Zertifikat gebunden ist</alert>+4. Nach erfolgreicher DFN-AAI Anmeldungwird das Hauptmenü "Home" aufgerufen. Mit einem Klick auf die Schaltfläche "Neues Profil installieren" wird ein neues easyroam 
 + Profil installiert. 
 + 
 +{{:de:eduroam:screenshot_start_2023-01-09_101243.png?400|}} 
 + 
 +5. Das neu installierte easyroam Profil wird als "Gültig" markiert im Hauptmenü angezeigt.
  
 +{{:de:eduroam:screenshot_neu_cert_2023-01-09_101420.png?400|}}
 ==== Installation der eduroam Profile auf iOS <= 12 ==== ==== Installation der eduroam Profile auf iOS <= 12 ====
  
Zeile 147: Zeile 154:
 3. Namen für das Profil eingeben, z.B iOS-12-Profil und mit "Zugang generieren" quittieren. 3. Namen für das Profil eingeben, z.B iOS-12-Profil und mit "Zugang generieren" quittieren.
  
-4. Die Meldung: "Diese Webseite versucht, ein Konfigurationsprofil zu laden. Darf sie das?" mit Klick auf Zulassen erkauben.+4. Die Meldung: "Diese Webseite versucht, ein Konfigurationsprofil zu laden. Darf sie das?" mit Klick auf Zulassen erlauben.
  
 5. Die Meldung: "Profil geladen Überprüfe das Profil in den Einstellungen, wenn du es installieren möchtest." mit Klick auf Schließen beenden. 5. Die Meldung: "Profil geladen Überprüfe das Profil in den Einstellungen, wenn du es installieren möchtest." mit Klick auf Schließen beenden.
Zeile 163: Zeile 170:
 ==== Installation der eduroam Profile auf macOS ==== ==== Installation der eduroam Profile auf macOS ====
  
-Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). Wenn alte eduroam Profile, die nicht mit easyroam installiert wurden, noch auf dem System sind, bitte vor der Nutzung von easyroam unbedingt löschen. s. „System Prefences/System Einstellungen“ und Profile. +Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). Wenn alte eduroam Profile, die nicht mit easyroam installiert wurden, noch auf dem System sind, bitte vor der Nutzung von easyroam unbedingt löschen. s. „System Preferences/System Einstellungen“ und Profile. 
-Alte Profile, die mit easyroan installiert wurden, müssen nicht vorher gelöscht werden.+Alte Profile, die mit easyroam installiert wurden, müssen nicht vorher gelöscht werden.
  
 1. Browser (in der Regel Safari) aufrufen und [[https://www.easyroam.de]] eingeben. 1. Browser (in der Regel Safari) aufrufen und [[https://www.easyroam.de]] eingeben.
Zeile 178: Zeile 185:
 {{:de:eduroam:screenshot_2021-08-06_at_07.54.28.png?400|}} {{:de:eduroam:screenshot_2021-08-06_at_07.54.28.png?400|}}
  
-4. Mit "Klick" auf "OK" geht es weiter. Anschließend "System Prefences/System Einstellungen" aufrufen+4. Mit "Klick" auf "OK" geht es weiter. Anschließend "System Preferences/System Einstellungen" aufrufen.  
 +Im Suchfenster wird anschließend "Profile" eingeben und das Untermenü "Profile" aufgerufen.
  
-{{:de:eduroam:screenshot_2021-08-06_at_07.58.10.png?400|}}+{{:de:eduroam:screenshot_2023-09-30_at_07.42.06.png?400|}}
  
-und unten rechts Profiles auswählen. +5. Es erscheint ein Menü mit den Nutzerprofilen und mit dem heruntergeladenen Profil, Dreieck Icon mit gelb hinterlegtem Ausrufezeichen.
- +
-5. Es erscheint ein Menü mit den Nutzerprofilen und mit dem heruntegeladenen Profil, Dreieck Icon mit gelb hinterlegtem Ausrufezeichen.+
  
 {{:de:eduroam:screenshot_2021-08-06_at_07.57.00.png?400|}} {{:de:eduroam:screenshot_2021-08-06_at_07.57.00.png?400|}}
Zeile 192: Zeile 198:
 {{:de:eduroam:screenshot_2021-08-06_at_07.59.40.png?400|}} {{:de:eduroam:screenshot_2021-08-06_at_07.59.40.png?400|}}
  
-6. Nun besteht nochmals Möglichkeit in die Details des Profils zu schauen oder die Installation abzuschließen. Bei Abschluss der Installation fragt das System nach dem Passwort des Users, damit wird die Erlaubnis erteilt das Profil auf dem System zu installieren. Nach der Installation versucht der MacOSX-Rechner eine Verbindung zum eduroam Netz aufzubauen. Sollte kein eduroam Netz in der Nähe sein, so kann es zu einer Fehlermeldung kommen. Das Profil ist jedoch installiert und sobald ein eduroam Netz gefunden wird, wird eine automatische Anmeldung im eduroam Netz durchgeführt. +6. Nun besteht nochmals Möglichkeit in die Details des Profils zu schauen oder die Installation abzuschließen. Bei Abschluss der Installation fragt das System nach dem Passwort des Users, damit wird die Erlaubnis erteilt das Profil auf dem System zu installieren. Nach der Installation versucht der macOS-Rechner eine Verbindung zum eduroam Netz aufzubauen. Sollte kein eduroam Netz in der Nähe sein, so kann es zu einer Fehlermeldung kommen. Das Profil ist jedoch installiert und sobald ein eduroam Netz gefunden wird, wird eine automatische Anmeldung im eduroam Netz durchgeführt. 
  
 <alert> Die äußere Identität darf nicht geändert werden, da diese an den CN (Common Name) im Client Zertifikat gebunden ist. </alert> <alert> Die äußere Identität darf nicht geändert werden, da diese an den CN (Common Name) im Client Zertifikat gebunden ist. </alert>
  
-==== Installation der eduroam Profile auf ANDROID >= 10 ====+==== Installation der eduroam Profile auf watchOS ====
  
-Siehe [[de:eduroam:anleitungen:easyroamapp#installation_der_eduroam_profile_mit_der_easyroam_app_auf_android_10|hier]]+Die Installation des easyroam Profils auf Geräten mit watchOS erfolgt über das iPhone und der AppleWatch app.\\ 
 +Sicherstellen, dass eine Internetverbindung auf dem iPhone besteht, LTE oder WLAN.
  
 +1. Browser (in der Regel Safari) auf dem iPhone aufrufen und [[https://www.easyroam.de]] eingeben.
  
 +{{:de:eduroam:screenshot_2021-08-06_at_08.25.12.png?400|}}
  
-==== Installation der eduroam Profile auf ANDROID <= 9 ====+2. Nach erfolgreicher Anmeldung über den DFN-AAI IdP der Einrichtung ein Klick auf "Manuelle Optionen" und Mobile-Config (Apple) auswählen, einen Namen für das Profil eingeben und auf "Zugang generieren" klicken.
  
-Sicherstellen, dass eine Internetverbindung besteht, WLAN (nicht eduroam), LTE, etc.+{{:de:eduroam:img_0677.png?400|}}
  
-<alert>  +3Zulassen, dass die Webseite versucht ein Konfigurationsprofil zu laden.
-Wichtige Vorbereitungen: +
-Sollte bereits ein eduroam Profile auf dem Gerät installiert sein, bitte löschenAus dem Google PlayStore die eduroamCAT App herunterladen. +
-</alert>+
  
-1. WEB-Browser, z.B. Chrome und [[https://www.easyroam.de]] eingeben. Im WAYF (Where Are You From) den eigenen DFN-AAI IdP auswählen.+4. Im Menü Gerät wählen die Apple Watch auswählen.
  
-{{:de:eduroam:screenshot_20210806-095025.png?200|}}+{{:de:eduroam:img_0678.png?400|}}
  
-2Am DFN-AAI IdP anmelden und nach erfolgreicher Anmeldung auf "Manuelle Optionen" klicken. EAP-Config (Kreis links EAP-Config klicken) und in der Eingabe-Box Name (Klick auf Eingabebox),einen Namen auswählen, z.B. MyAndroid und auf "Zugang generieren".+5Die Signatur des easyroam Profils prüfen: Verein zur Förderung eines Deutschen Forschungsnetzes DFN-Verein, anschließend auf "Installieren" klicken
  
-{{:de:eduroam:screenshot_20210806-105422.png?200|}}+{{:de:eduroam:img_0679.png?400|}}
  
-3Nun muss man leider ein wenig Geduld beweisen und versuchen auf "Zugang genrieren" zu klicken. Die Darstellung ist auf dem SmartPhone alles andere als freundlich für die eduroam Nutzenden. Es ist eben ein WORKAROUND. Vielleicht geht es im Querformat besser oder verkleinern bzw. vergrößern. Schafft man es auf "Zugang generieren" erfolgreich zu klicken, wird die EAP-Config heruntergeladen.+6Sobald das iPhone mit dem watchOS Gerät verbunden ist, wird das easyroam Profil über die AppleWatch App auf das watchOS Gerät übertragen.
  
-<alert> Achtung bitte nicht gleich auf "Öffnen klicken". </alert> 
  
-{{:de:eduroam:screenshot_20210806-105542.png?200|}}+==== Installation der eduroam Profile auf ANDROID >= 10 ====
  
-4. Bitte Browser schließen und eduroamCAT App starten. Nun wird es spannend, wenn die wichtigen Vorbereitungen durchgeführt worden sind, wird in der eduroamCAT App der Reiter Profile ausgwählt.+Siehe [[de:eduroam:anleitungen:easyroamapp#installation_der_eduroam_profile_mit_der_easyroam_app_auf_android_10|hier]]
  
-{{:de:eduroam:screenshot_20210806-112424.png?200|}} 
  
-5. Nun ins Menü oben rechts auf die drei untereinander stehenden Punkte klicken. 
  
-{{:de:eduroam:screenshot_20210806-113002.png?200|}} 
  
-6. "Konfigurationsdatei auswählen" auswählen und anschließemd im Suchfeld oben eap eingeben.+==== Installation der eduroam Profile auf ANDROID, wenn alle Stricke reißen ====
  
-{{:de:eduroam:screenshot_20210806-103718.png?200|}}+<alert>Bitte diese Anleitung nur im Notfall verwendenFür Geräte mit ANDROID >= 10 bitte immer die easyroam app installieren. Bitte beachten, dass die easyroam app auf allen Geräten für ANDROID >= 10 läuft! Denn die manuelle Installation ist zwar auf jedem ANDROID Gerät möglich, jedoch deutlich komplizierter und daher nicht zu empfehlen.</alert>
  
-7Das heruntergeladene Profil (s. Datum) auswählen. Bevor das Profil gelesen wirdmuss das Passwort für den Zugriff auf den  geheimen Zertifikatsschlüssel eingegeben werden. Das Passwort lautet: pkcs12 .+1Wenn app's, die eduroam Profile auf das Gerät bringeninstalliert sind, müssen diese vorher gelöscht werden. Da diese sonst die manuelle Konfiguration behindern können.
  
-{{:de:eduroam:screenshot_20210806-103554.png?200|}}+2. Auf dem Gerät im Browser [[http://www.easyroam.de|http://www.easyroam.de/]] eingeben und sich über den WAYF (**W**here **A**re **Y**ou **F**rom) an seinem DFN-AAI-IdP (Identity Provider) am easyroam SP (Service Provider) anmelden.
  
-8. Auf "ok" klicken und dann (s. Abbildung) auf Installieren klicken.+{{:de:eduroam:wayf.png?200|}}
  
-{{:de:eduroam:screenshot_20210806-103638.png?200|}}+3. In den manuellen Optionen wählt man PKCS12 aus und vergibt einen Namen. Anschließend auf "Zugang generieren" klicken.
  
-9Leider nochmal auf Installieren klicken.+{{:de:eduroam:manuelle_optionen.png?200|}} {{:de:eduroam:p12.png?200|}}
  
-{{:de:eduroam:screenshot_20210806-103718.png?200|}}+4. In der Regel wird die PKCS12 Datei in den Download Folder auf dem Gerät abgelegt. Bitte beachten, das ist nicht überall auf allen Geräten einheitlich und je nach Alter des Geräts kann es sogar vorkommen, dass man ein USB Kabel benötigt, um die PKCS12-Datei auf das Gerät zu bekommen.
  
-10Dieses Mal nicht auf installieren klicken denn dort steht doch **Profil installiert**, ist aber egal.+{{:de:eduroam:download.png?200|}} {{:de:eduroam:download2.png?200|}}
  
-{{:de:eduroam:screenshot_20210806-120325.png?200|}}+5. Sobald die PKCS12-Datei auf dem Gerät ist, kann man sie in der Regel einlesen. Dabei wählt man den Zertifikat-Typ aus: WLAN-Zertifikat. Auch das kann auf anderen Geräten komplett anders aussehen. Nun den Dateinamen für das Pseudozertifikat auswählen. 
 + 
 +{{:de:eduroam:cert-typ.png?200|}} {{:de:eduroam:datei-name.png?200|}} 
 + 
 +6. Ist die PKCS12 Datei eingelesen, kann man in den Systemeinstellungen ins WLAN Menü gehen. 
 + 
 +7. "+ WLAN hinzufügen" auswählen und folgendes konfigurieren: 
 + 
 +<code>Netwzwerkname: eduroam 
 +Sicherheit: WPA/WPA2-Enterprise 
 +EAP-Methode: TLS 
 +CA-Zertifikat: Systemzertifikate verwenden 
 +Online-Zertifikatstatus: Zertifikatstatus anfordern 
 +Domain: easyroam.eduroam.de 
 +Nutzerzertifikat auswählen: Dateinamen, den man, s. oben, beim Einlesen der PKCS12-Datei vergeben hat, auswählen, z.B. MyAndroidCert</code> 
 +<alert>ACHTUNG: Als Identität gibt man die Seriennummer des easyroam Pseudozertifikats an, gefolgt vom easyroam Realm der EIGENEN!!! Einrichtung.  
 +Beispiel: Wenn vorher der Realm anonymous@dfn.de oder anonymous@uni-greifswald.de eingegeben wurde, muss nun vor dem dfn.de oder vor uni-greifswald.de ein easyroam-pca stehen, mit Angabe der Seriennummer des Pseudozertifikats, z.B. 12345678910@easyroam-pca.dfn.de oder 12345678910@easyroam-pca.uni-greifswald.de. Die Seriennummer hier in der Anleitung ist nur ein Beispiel!!!  
 +Die Identität ist in der Regel der CN (Common Name) des easyroam Pseudozertifikats. Die Übereinstimmung von Identität und CN im easyroam Pseudozertifikat wird vom RADIUS Server geprüft. Ohne korrekte Eingabe der Identität ist keine Anmeldung in eduroam via easyroam möglich. 
 +Die Seriennummer des easyroam Pseudozertifikats kann man auf dem Portal [[http://www.easyroam.de|http://www.easyroam.de]] im Bereich "Profile verwalten" einsehen.  
 +Man hängt anschließend nur noch den Realm seiner Einrichtung an, z.B. @easyroam-pca.dfn.de an.</alert> 
 + 
 +{{:de:eduroam:wlan_hinzufuegen.png?200|}} {{:de:eduroam:wlan_hinzufuegen2.png?200|}} 
 + 
 +Am Ende der Konfiguration sollte sich das Gerät mit eduroam verbinden lassen. 
 + 
 +{{:de:eduroam:connect.png?200|}}
  
-<alert> Die äußere Identität darf nicht geändert werden, da diese an den CN (Common Name) im Client Zertifikat gebunden ist. </alert> 
  
 ==== Installation der easyroam Profile auf Linux Geräten ==== ==== Installation der easyroam Profile auf Linux Geräten ====
  
-Die Nutzung von easyroam ist selbstverständlich auch auf Linux Derivaten möglich. Leider gibt es keine allgemein gültige Anleitung. Im folgenden wird beschrieben wie die einzelenen Komponenten, die bei einer manuellen Konfiguration von easyroam auf Linux Geräten benötigt werden, aus dem easyroam Portal gewonnen werden können:+Die Nutzung von easyroam ist selbstverständlich auch auf Linux Derivaten möglich. Leider gibt es keine allgemein gültige Anleitung. Im folgenden wird beschrieben wie die einzelnen Komponenten, die bei einer manuellen Konfiguration von easyroam auf Linux Geräten benötigt werden, aus dem easyroam Portal gewonnen werden können:
  
 1. Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN. 1. Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN.
Zeile 269: Zeile 295:
 5. Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird der CLI von openssl verwendet: 5. Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird der CLI von openssl verwendet:
 <alert>Bitte beachten, dass Import Password der .p12 - Datei ist leer. Bei der Verwendung von openssl auf die Formulierung achten: Enter Import Password mit <Return> quittieren.</alert> <alert>Bitte beachten, dass Import Password der .p12 - Datei ist leer. Bei der Verwendung von openssl auf die Formulierung achten: Enter Import Password mit <Return> quittieren.</alert>
-  * Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -legacy -nokeys > easyroam_client_cert.pem</code> +  * Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -legacy -nokeys | openssl x509 > easyroam_client_cert.pem</code
-  * Private Key:<alert>Bitte beachten, da die diversen Network Manager und der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich! </alert><code>openssl pkcs12 -legacy -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem</code> +  * CN (Common Name) Extraktion: <code>openssl x509 -noout -subject -in easyroam_client_cert.pem -legacy | sed 's/.*CN = \(.*\), C.*/\1/'</code><alert>Bitte beachten, die Option -legacy muss hier und im folgenden eventuel weggelassen werden. Leider ist die Verwendung der Option OpenSSL versionsabhängig.</alert
-  * RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -cacerts > easyroam_root_ca.pem</code>+  * Private Key:<alert>Bitte beachten, da die diversen Network Manager und der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich! </alert><code>openssl pkcs12 -legacy -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem -legacy</code> 
 +  * RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -legacy -cacerts -nokeys > easyroam_root_ca.pem</code>
   * Die .p12 auf einem Blick:<code>openssl pkcs12 -info -in my_easyroam_cert.p12 -legacy -nodes</code><alert>Mit Copy/Paste können die Zertifikats-Dateien auch zusammengebaut werden. Zu beachten ist, dass noch der Private Key mit einem Passwort versehen werden muss.</alert>   * Die .p12 auf einem Blick:<code>openssl pkcs12 -info -in my_easyroam_cert.p12 -legacy -nodes</code><alert>Mit Copy/Paste können die Zertifikats-Dateien auch zusammengebaut werden. Zu beachten ist, dass noch der Private Key mit einem Passwort versehen werden muss.</alert>
  
 6. Es finden sich in der Tat Anleitungen im Netz, um EAP-TLS auf diversen Network Managern aus den angegebenen Komponenten zu konfigurieren. Exemplarisch wird anhand des CLI netctl auf Archlinux gezeigt wie EAP-TLS und damit easyroam/eduroam auf einem Linux Gerät konfiguriert werden kann. Folgendes wird vorausgesetzt: 6. Es finden sich in der Tat Anleitungen im Netz, um EAP-TLS auf diversen Network Managern aus den angegebenen Komponenten zu konfigurieren. Exemplarisch wird anhand des CLI netctl auf Archlinux gezeigt wie EAP-TLS und damit easyroam/eduroam auf einem Linux Gerät konfiguriert werden kann. Folgendes wird vorausgesetzt:
   * netctl   * netctl
-  * wpa_spplicant+  * wpa_supplicant
   * easyroam .p12 Pseudozertifikat   * easyroam .p12 Pseudozertifikat
-Die in Schrit 5. generierten Dateien (easyroam_cient_cert.pem, easyroam_client_key.pem, easyroam_root_ca.pem) unter /etc/netctl/cert ablegen und anschließend ein File mit dem Namen easyroam erzeugen, dort wird folgendes hineingeschrieben und gespeichert:<code>description='easyroam connection'+Die in Schritt 5. generierten Dateien (easyroam_client_cert.pem, easyroam_client_key.pem, easyroam_root_ca.pem) unter /etc/netctl/cert ablegen und anschließend ein File mit dem Namen easyroam erzeugen, dort wird folgendes hineingeschrieben und gespeichert:<code>description='easyroam connection'
 Interface=wlan0 Interface=wlan0
 Connection=wireless Connection=wireless
Zeile 288: Zeile 315:
     'eap=TLS'     'eap=TLS'
     'proto=WPA RSN'     'proto=WPA RSN'
-    'identity="76673789883214453797@easyroam.realm_der_einrichtung.tld"'   # Hier muss der CN (Common Name) aus dem easyroam Pseudozertifikat stehen! +    'identity="76673789883214453797@easyroam.realm_der_einrichtung.tld"'   # Hier muss der CN (Common Name) aus dem easyroam Pseudozertifikat stehen, siehe oben. Auf keinen Fall die Pairwise-ID eingeben!!!!
-    'client-cert="/etc/netctl/cert/easyroam_client_cert.pem"'+    'client_cert="/etc/netctl/cert/easyroam_client_cert.pem"'
     'private_key="/etc/netctl/cert/easyroam_client_key.pem"'     'private_key="/etc/netctl/cert/easyroam_client_key.pem"'
 +    'altsubject_match="DNS:easyroam.eduroam.de"'
     'private_key_passwd="FORYOUREYSEONLY"'     'private_key_passwd="FORYOUREYSEONLY"'
     'ca_cert="/etc/netctl/cert/easyroam_root_ca.pem"'     'ca_cert="/etc/netctl/cert/easyroam_root_ca.pem"'
     'ca_cert2="/etc/netctl/cert/easyroam_root_ca.pem"'     'ca_cert2="/etc/netctl/cert/easyroam_root_ca.pem"'
 ) </code> ) </code>
-Mit Root Rechten wird folgendes Kommando aufgerufen:<code>netctl easyroam start</code>Soll permanent easyroam instaliert werden, so wird folgendes Komando aufgerufen:<code>netctl easyroam enable</code> +Mit Root Rechten wird folgendes Kommando aufgerufen:<code>netctl start easyroam </code>Soll permanent easyroam installiert werden, so wird folgendes Kommando aufgerufen:<code>netctl enable easyroam</code>
-==== Erfahrungsberichte zur easyroam app auf ANDROID Geräten ====+
  
-  - Bisher nur auf OnePlus ANDROID 12: Wenn zum eduroam WLAN weitere manuelle WLAN'konfiguriert sindfunktioniert das Wechseln zwischen den automatisch konfigurierten eduroam WLAN und den manuell konfigurierten WLAN's nichtNutzt man ein manuell konfiguriertes WLAN und will zu eduroam wechselnfunktioniert das leider nicht. <alert>AbhilfeAuto Connect in den manuell konfigurierten WLAN'deaktivieren und das WLAN Interface kurz ausschalten und wieder einschaltenDas Geräte verbindet sich dann wieder mit eduroam.</alert> Auf OnePlus ANDROID 11 besteht das Problem nicht+==== Installation der easyroam Profile auf Linux Geräten ohne Desktop Umgebung (wpa-supplicant only) ==== 
-  - Huawei P40 ANDROID 11, P20 ANDROID 10Das Profil für easroam wird zwar generiert, aber lässt sich nicht über die easyroam app auf den Geräten P20/40 installieren. <alert>Analyse läuftAbbhilfeManuelle Konfiguration siehe Anleitung zu [[de:eduroam:easyroam#installation_der_eduroam_profile_auf_android_9|ANDROID <= 9]]</alert>+ 
 +Anhand eines Rasperry Pi'3 Model B+ wird exepmplarisch gezeigtwie ohne grafische Oberfläche ein easyroam Profil installiert werden kann. 
 + 
 +<alert>Voraussetzung:\\ 
 +Raspberry Pi OS Lite (64-bit, Debian Bullseye, keine Desktopumgebung)\\ 
 +Es wurde bereits eine P12-Datei via easyroam.de erzeugt und über das Kommando sftp und einer  
 +Ethernetverbindung auf das Gerät gebracht.</alert> 
 + 
 +Um die einzelnen Komponenten wie das Client Zertifikat, der Private Key und das RootCA Zertifikat zu extrahieren wird der CLI von openssl verwendet: 
 +<alert>Bitte beachtendass Import Password der .p12 - Datei ist leer. Bei der Verwendung von openssl auf die Formulierung achten: Enter Import Password mit <Return> quittieren.</alert> 
 +  * Client Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -nokeys | openssl x509 > easyroam_client_cert.pem</code> 
 +  * CN (Common Name) Extraktion: <code>openssl x509 -noout -subject -in easyroam_client_cert.pem | sed 's/.*CN = \(.*\), C.*/\1/' > CN </code> 
 +  * Private Key:<alert>Bitte beachten, da der wpa_supplicant in der Regel nur passwortgeschützte Private Keys akzeptieren, muss bei der Extrahierung ein Passwort gesetzt werden. Bei folgendem Komando erscheint zunächst Enter Import Password, also mit <Return> quittieren, dann erscheint Enter PEM pass phrase: Hier gibt man ein neues Password ein und merkt es sich</alert><code>openssl pkcs12  -in my_easyroam_cert.p12 -nodes -nocerts | openssl rsa -aes256 -out easyroam_client_key.pem</code> 
 +  * RootCA Zertifikat:<code>openssl pkcs12 -in my_easyroam_cert.p12 -cacerts -nokeys > easyroam_root_ca.pem</code> 
 +  * Die .p12 auf einem Blick:<code>openssl pkcs12 -info -in my_easyroam_cert.p12 -nodes</code> 
 +  * Anlegen eines Verzeichnis für die easyroam Zertifikatsumgebung:<code>sudo mkdir /etc/easyroam-certs  
 +sudo mv easyroam_client_cert.pem CN easyroam_client_key.pem easyroam_root_ca.pem /etc/easyroam-certs/
 +    </code> 
 +  * Die wpa_supplicant.conf im Verzeichnis /etc/wpa_supplicant:<code>ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev 
 +update_config=1 
 +country=DE 
 + 
 +network={ 
 +   ssid="eduroam" 
 +   scan_ssid=1 
 +   key_mgmt=WPA-EAP 
 +   proto=WPA2 
 +   eap=TLS 
 +   pairwise=CCMP 
 +   group=CCMP 
 +   identity="12345678910111213abcd@easyroam-pca.dfn.de"  # <---- Hier einfach die CN Datei mit einem Editor vim oder vi einlesen 
 +   ca_cert="/etc/easyroam-certs/easyroam_root_ca.pem" 
 +   client_cert="/etc/easyroam-certs/easyroam_client_cert.pem" 
 +   private_key="/etc/easyroam-certs/easyroam_client_key.pem" 
 +   private_key_passwd="secretphrase" 
 +}</code> 
 +<code>sudo reboot</code> 
 +<alert>Tip: Mit Copy/Paste können die hier angegebenen Zeilen kopiert werden und ebenfalls über sftp auf das Gerät gebracht werden.</alert> 
 +==== Installation der easyroam app auf Linux Geräten (Network Manager) ==== 
 + 
 +Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). 
 + 
 +1. Wenn alte eduroam oder easyroam Konfigurationen vorhanden sind, diese bitte löschen. 
 + 
 +2. Die easyroam app herunterladen: [[https://www.easyroam.de/debapp/easyroam.deb]] und über das GUI mit einem "Doppelklick" auf die .deb-Datei die app installieren. Für die Installation werden Root-Rechte benötigt. 
 + 
 +2. easyroam app starten. In der Regel wird ein Browser automatisch geöffnet. <alert>Die easyroam app bitte nicht mit Root-Rechten starten, Sie erhalten dann eine Fehlermeldung und die easroam app bricht die Ausführung ab!</alert>   
 + 
 +3. Im anschließenden WAYF (Where Are You From) findet man seine Einrichtung und meldet sich über seinen DFN-AAI IdP Account an. Sollte die Heimateinrichtung nicht  im WAYF aufgeführt werden, kann stattdessen der Eintrag „easyroam im Regelbetrieb“ ausgewählt werden. 
 + 
 +4. Nach erfolgreicher DFN-AAI Anmeldung, wird das Hauptmenü "Home" aufgerufen. Mit einem Klick auf die Schaltfläche "Neues Profil installieren" wird ein neues easyroam 
 + Profil installiert. 
 + 
 +{{:de:eduroam:screenshot_start_2023-01-09_101243.png?400|}} 
 + 
 +5. Das neu installierte easyroam Profil wird als "Gültig" markiert im Hauptmenü angezeigt. 
 + 
 +{{:de:eduroam:screenshot_neu_cert_2023-01-09_101420.png?400|}} 
 + 
 +<alert> Bitte beachten: Das GUI auf Linux Systemen zeigt leider nicht alle easyroam Konfigurationsdetails an, welche aus Gründen der Sicherheit konfiguriert werden mussten. Eine manuelle Änderung im Nachgang der Installation der easyroam Profile, "zerschießt" unweigerlich die easyroam Konfiguration auf dem Linux System.</alert> 
 + 
 +==== Erfahrungsberichte zur easyroam app auf ANDROID Geräten ====
  
 +Bisher liegen uns keine Erfahrungsberichte vor.
 + 
 <alert>  Support Address: ([[easyroam@dfn.de|easyroam@dfn.de]]) </alert> <alert>  Support Address: ([[easyroam@dfn.de|easyroam@dfn.de]]) </alert>
  
  • Zuletzt geändert: vor 19 Monaten