Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:eduroam:start [2021/09/08 10:41] – [Installation der eduroam Profile auf ANDROID Versionen >= 9 mit GETEDUROAM] Ralf Paffrathde:eduroam:start [2022/07/06 16:15] (aktuell) Ralf Paffrath
Zeile 1: Zeile 1:
 ====== eduroam ====== ====== eduroam ======
 +Herzlich willkommen auf den Seiten der Online-Dokumentation für den DFN Dienst eduroam!
  
-===== Der Pilotdienst EasyRoam4Edu in eduroam =====+eduroam ist ein Dienst des DFN-Vereins im [[https://www2.dfn.de/fileadmin/6Organisation/Teilnehmer/Entgeltordnung_DFNInternet_und_Dienst-Paket-2_0721.pdf|DFNInternet und Dienst-Paket]] und dem Bereich [[https://dfn.de/dienste/security-trust-and-identity-services/|Security, Trust & Identity Services]] zugeordnet.
  
-EasyRoam4Edu ist aktuell in der Entwicklung und versteht sich als eine Weiterentwicklung des eduroam Dienstes und richtet sich hauptsächlich an kleine Einrichtungen im DFNkann aber auch von großen Einrichtungen im DFN genutzt werden.+Informationen zu den Erweiterungen in eduroam, z.B. [[de:eduroam:easyroam|easyroam]], [[de:eduroam:lookingglass|TLSLookingGlass]] und [[de:eduroam:eduroam-ca|eduroam CA]] können [[de:eduroam:addons|hier]] eingesehen werden.
  
-Die Idee eduroam und die DFN-AAI zusammenzuführen ist nichts Neues und war lange Zeit leider nicht möglichda es die DFN-AAI in der Fläche noch nicht gabDas hat sich seit einiger Zeit geändertso dass nun die Möglichkeit gegeben ist, den Dienst eduroam mit der Zusammenführung von eduroam und DFN-AAI sicherer und einfacher zu gestaltenIm Pilotbetrieb gibt es den EasyRoam4Edu Server [[https://get.eduroam.de|https://get.eduroam.de]], der als DFN-AAI Service Provider eduroam Profile für die gängigen Betriebssystem wie: W10MacOSX/iOS, ANDROID und LINUX Derivate in der DFN-AAI-Basic anbietet. Der EasyRoam Server ist dabei in den Konfigurationsassistenten auf [[https://cat.eduroam.org|https://cat.eduroam.org]] eingebunden und kann auch darüber aktuell über den Eintrag EasyRoam4Edu (DFN-GS Pilot) angesteuert werden. In eduroam gibt es neben anderen Verfahren zur Anmeldung die Authentifizierungsmedthode EAP-TLSBei dieser Methode kommen ausschließlich Client/Nutzer Zertifikate für die Anmeldung zum Einsatz. Diese Zertifikate für eduroam können die eduroam Nutzenden auf get.eduroam.de nur generieren, wenn sie im Besitz einer gültigen DFN-AAI IdP Kennung mit OptIn sind. Die eduroam Client/Server Zertifikate sind Teil einer "Self-Signed PKI" und können nur in eduroam eingesetzt werden. Der EasyRoam Server speichert ausschließlich nur die Pairwise - ID (Pseudonym) des DFN-AAI IdP Account und die Seriennummer des Client/Nutzer Zertifikats. Letzteres ist auch Teil der Roaming Indentität. Eine Besonderheit gegenüber aktuellen EAP-TLS Angeboten, einschließlich der DFN-GS, ist der, dass die eduroam Nutzenden nicht mehr mit Namen im Zertifikat erkennbar sind. Somit ist es unmöglich Bewegungsprofile der eduroam Nutzenden zu erstellen. Jedoch ist es möglichmit richterlichem Beschluss eine Zuordnung zwischen Pairwise - ID und Zertifikats-Seriennummer herzustellen und den eduroam Nutzenden eindeutig mit einer Person in Verbindung zu bringen. Somit ist man nicht generell anonym in eduroam unterwegs, wie das auch bisher der Fall ist.+Viele Informationen zum Dienst eduroam, insbesondere zur eduroam Infrastrukur, z.B. Wartung, neue EntwicklungenAusfälle werden zeitnah über die Mailing Liste dfnroaming@listserv.dfn.de  
 +an eduroam Admins gepostet. eduroam Admins werden daher gebetenüber [[https://www.listserv.dfn.de/|ListServ]] die Mailing Liste dfnroaming@listserv.dfn.de zu abonnierenum informiert zu bleiben
  
-Die Server Software ist eine .NET Entwiclung in C-Sharp geschrieben. Es wurde bewusst auf PHP verzichetet, da PHP nicht die Server Sicherheit bot, die an die Server Software gelegt wurde. Der Server unterstützt aktuell drei Sprachen: Chinesisch, Deutsch und Englisch.  +Für Fragen und Anregungen kontaktieren Sie bitte das eduroam Team ([[eduroam@dfn.de|eduroam@dfn.de]]).
- +
-Für W10 und IOS kann die Installation der eduroam Profile von get.eduroam.de über die GETEDUROAM App realisiert werden. Das läuft bereits sehr stabil. Anleitungen s. weiter unten im Dokument. Für GETEDUROAM auf ANDROID ist aktuell ein Workaround erforderlich. +
- +
-==== EasyRoam4Edu in der DFN-AAI-Basic im OptIn ==== +
- +
-Für die Freigabe am DFN-AAI SP https://get.eduroam.de werden folgende Attribute benötigt: +
-  * [[de:common_attributes#a09|eduPersonScopedAffiliation]] +
-  * [[de:common_attributes#a17|samlPairwiseID]], zur Generierung siehe [[de:shibidp:config-attributes-aaiplus|hier]] +
-  * [[de:common_attributes#a10|eduPersonEntitlement]] mit den Werten +
-    * https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins +
-    * https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende +
- +
-Konfigurations-Schnipsel gibt es [[de:shibidp:config-attributes-easyroam4edu|hier]]. +
- +
- +
-Ein Aufruf von https://get.eduroam.de ohne korrekte Entitlements führt aktuell noch zu einem "404 Not Found" (wird noch geändert) und ist ein Hinweis, dass das Entitlement oder  +
-für die Admins die benötigten Entitlements nicht gesetzt sind.\\ +
- +
-Beispiel für die Freigabe am DFN-AAI SP für die gewöhnliche Nutzenden: +
- +
-{{:de:eduroam:screenshot_2021-08-20_at_12.23.59.png?400|}} +
- +
-Beispiel für die Freigabe am DFN-AAI SP für Admins: +
- +
-{{:de:eduroam:screenshot_2021-08-20_at_12.18.24.png?400|}} +
- +
-Die Zugehörigkeiten (Affiliations) werden im Pilotbetrieb noch nicht ausgewertet.  +
-==== Die GETEDUROAM App ==== +
- +
-GETEDUROAM ist die offizielle eduroam App von GÉANT. Für Windows 10 muss die aktuelle GETEDUROAM App Version 3.2.5 verwendet werden. Die GETEDUROAM App läuft stabil auf IOS Geräten. GETEDUROAM greift auf den Konfigurationsassistenten cat.eduroam.org zurück, alle anderen Anmeldeverfahren sind weiterhin möglich. +
- +
-==== Die Webseite get.eduroam.de für die eduroam Nutzenden ==== +
- +
-Die Web-Seite get.eduroam.de dient der Verwaltung der eduroam Profile durch die eduroam Nutzenden. Bitte die Installationsanleitungen s.u. oder Inhaltsverzeichnis beachten!  Nach dem Aufruf der Seite [[https://get.eduroam.de]] im Browser und der Autorisierung über seinen DFN-AAI IdP gelangt man auf die folgende Seite: +
- +
-{{:de:eduroam:techdoc-dienstleistungen-eduroam-screenshot_2021-08-04_at_16.10.53.png?400|}} +
- +
-Klickt man mit der Maus auf "Zugänge verwalten" so gelangen die eduroam Nutzenden in das Verwaltungsmenü für die Zugangszertifikate: +
- +
-{{:de:eduroam:screenshot_2021-08-04_at_16.20.48.png?400|}} +
- +
-Hier kann man die Seriennnumer des Zertifikats und auch die Laufzeit des Zertifikats einsehen. Wird nun ein Zertifikat widerrufen, so kommt es auf die Widerrufsliste und wird beim Udate der CRL anschließend von RADIUS Server abgelehnt. Bei Widerruf des Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. +
- +
-Klickt man auf manuelle Optionen im Hauptmenü kann man zwischen PKCS12, EAP-Config und Mobil-Config (Apple) auswählen:  +
- +
-{{:de:eduroam:screenshot_2021-08-04_at_16.28.27.png?400|}} +
- +
-Das Zertifikatsformat PKCS12 ist für eduroam Nutzende gedacht, die das Betriebssystem Linux verwenden. Das Dateiformat EAP-Config spielt bei dem Workaround auf den ANDROID Geräten später eine wesentliche Rolle. Das Mobile-Config ist für die eduroam Nutzenden des Betriebssystem Mac-OSX gedacht. +
- +
-==== Die Webseite get.eduroam.de für die eduroam Admins ==== +
- +
-Die Admins sehen mehr als die eduroam Nutzenden. Klicken die Admins auf Verwalten von Benutzerzugängen so können sie anhand der Pairwise-ID und der Seriennummer (die Pairwise-ID ist nur zum Teil sichtbar, da ausgeschwärzt) die Profile verwalten: +
- +
-{{:de:eduroam:screenshot_2021-08-04_at_16.55.43.png?400|}} +
- +
-Pair-Wise ID und Seriennummer der Zertifikate sind suchbar, geben die Administrierenden die Paire-Wise ID ein, so erhalten sie alle Zertifikate des pseudonymisierten eduroam Nutzenden angezeigt.  Bei Widerruf eiens Profils/Zertifikats, wird dieses innerhalb von 24 Stunden auf dem RADIUS Server gesperrt. +
- +
-==== Installation der eduroam Profile auf W10 mit GETEDUROAM ==== +
- +
-Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN. +
- +
-1. Die GETEDUROAM App herunterladen: [[https://github.com/geteduroam/windows-app/releases/download/geteduroam-3.2.5/geteduroam.exe]] und installieren. +
- +
-2. GETEDUROAM App starten und EasyRoam4Edu (DFN-GS-Pilotin der Organisations - Box eingeben und auf Weiter klickenHier wird der eduroam IdP ausgewählt, wie die eduroam Nutzenden das von cat.eduroam.org her kennen. Erst im nächsten Schritt wird dann der DFN-AAI IdP ausgewählt: (Abbildung folgt). +
- +
-3. Mit seinem DFN-AAI IdP Account anmelden. +
- +
-4. Nach erfolgreicher Anmeldung wird versucht, das Profil zu installieren. Es gibt einen Sicherheitshinweis, dass ein Profil installiert werden soll. Der Installtion des Profils sollte man zustimmen. +
- +
-W10 versucht eine Verbindung zum eduroam Netz aufzubauen, wenn kein eduroam Netz in der Nähe ist, gibt es logischer Weise einen Hinweis, dass das Netz eduroam nicht erreichbar ist. In der Regel baut W10 automatisch eine Verbindung zum eduroam Netzwerk auf, sobald eines in der Nähe ist. +
- +
-==== Installation der eduroam Profile auf IOS mit GETEDUROAM ==== +
- +
-Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). +
- +
-Bei Erneuerung des EasyRoam4Edu Profils bzw. des Zertifikats ab Schritt 2 der Anleitung folgen.  +
- +
-1. Die GETEDUROAM App aus dem Apple App Store herunterladen und installieren. +
- +
-2. GETEDUROAM App starten und EasyRoam4Edu (DFN-GS-Pilot) in der Organisations - Box eingeben und auf weiter klicken. Hier wird der eduroam IdP ausgewählt, nicht der DFN-AAI IdP! s. nächsten Schritt. +
- +
-3. Den DFN-AAI IdP auswählen und mit seinem DFN-AAI IdP Account anmelden. +
- +
-4. Nach erfolgreicher Anmeldung wird das Profil automatisch installiert. +
- +
-IOS versucht eine Verbindung zum eduroam Netz aufzubauen. Bei der Neuinstallation des Profils kann der Verbindungsaufbau etwas länger dauern ca. 30 - 60 Sekunden,  +
-da das Profil vom Betriebssystem zunächst etabliert werden muss, bestehende Netz-Verbindungen werden kurz unterbrochen. +
- +
-==== Installation der eduroam Profile auf ANDROID Versionen >= 9 mit GETEDUROAM ==== +
- +
-Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). +
- +
-Bei Erneuerung des EasyRoam4Edu Profils bzw. des Zertifikats ab Schritt 2 der Anleitung folgen.  +
- +
-1. Die GETEDUROAM App aus dem Google PlayStore herunterladen und installieren. +
- +
-2. GETEDUROAM App starten und EasyRoam4Edu (DFN-GS-Pilot) in der Organisations - Box eingeben und auf weiter klicken. Hier wird der eduroam IdP ausgewählt, nicht der DFN-AAI IdP! s. nächsten Schritt. +
- +
-3. Den DFN-AAI IdP auswählen und mit seinem DFN-AAI IdP Account anmelden. +
- +
-4. Nach erfolgreicher Anmeldung wird das Profil automatisch installiert. +
- +
-ANDROID versucht eine Verbindung zum eduroam Netz aufzubauen. Bei der Neuinstallation des Profils kann der Verbindungsaufbau etwas länger dauern ca. 30 - 60 Sekunden,  +
-da das Profil vom Betriebssystem zunächst etabliert werden muss, bestehende Netz-Verbindungen werden kurz unterbrochen.  +
- +
-<callout type="primary" icon="true"> Die äußere Identität darf nicht geändert werden, da diese an den CN (Common Name) im Client Zertifikat gebunden ist. </callout> +
-==== Installation der eduroam Profile auf MacOSX (es gibt keine GETEDUROAM App, da nicht notwendig) ==== +
- +
-Sicherstellen, dass eine Internetverbindung besteht, LAN oder WLAN (nicht eduroam). +
- +
-1. Browser aufrufen und [[https://get.eduroam.de]] eingeben. +
- +
-{{:de:eduroam:screenshot_2021-08-06_at_08.25.12.png?400|}} +
- +
-2. Nach erfolgreicher Anmeldung ein Klick auf "Manuelle Optionen" und Mobile-Config (Apple) auswählen. +
- +
-{{:de:eduroam:screenshot_2021-08-06_at_08.56.24.png?400|}} +
- +
-3. Mit dem "Klick" auf "Zugang generieren" erscheint im Vordergrund des Browser-Fensters die Download Box. +
- +
-{{:de:eduroam:screenshot_2021-08-06_at_07.54.28.png?400|}} +
- +
-4. Mit "Klick" auf "OK" geht es weiter. Anschließend "System Prefences/System Einstellungen" aufrufen +
- +
-{{:de:eduroam:screenshot_2021-08-06_at_07.58.10.png?400|}} +
- +
-und unten rechts Profiles auswählen. +
- +
-5. Es erscheint ein Menü mit den Nutzerprofilen und mit dem heruntegeladenen Profil, Dreieck Icon mit gelb hinterlegtem Ausrufezeichen. +
- +
-{{:de:eduroam:screenshot_2021-08-06_at_07.57.00.png?400|}} +
- +
-Das heruntegeladene Profil anklicken und dann ein "Klick" auf Install/Installieren, es erscheint das nächste Menü. +
- +
-{{:de:eduroam:screenshot_2021-08-06_at_07.59.40.png?400|}} +
- +
-6. Nun besteht nochmals Möglichkeit in die Details des Profils zu schauen oder die Installation abzuschließen. Bei Abschluss der Installation fragt das System nach dem Passwort des Users, damit wird die Erlaubnis erteilt das Profil auf dem System zu installieren. Nach der Installation versucht der MacOSX-Rechner eine Verbindung zum eduroam Netz aufzubauen. Sollte kein eduroam Netz in der Nähe sein, so kann es zu einer Fehlermeldung kommen. Das Profil ist jedoch installiert und sobald ein eduroam Netz gefunden wird, wird eine automatische Anmeldung im eduroam Netz durchgeführt.  +
- +
-<callout type="primary" icon="true"> Die äußere Identität darf nicht geändert werden, da diese an den CN (Common Name) im Client Zertifikat gebunden ist. </callout> +
- +
-==== Installation der eduroam Profile auf ANDROID Verionen < 9 ==== +
- +
-Für ANDROID Versionen ab 9 steht die GETEDUROAM App im Google PlayStore zur Verfügung. +
- +
-Sicherstellen, dass eine Internetverbindung besteht, WLAN (nicht eduroam), LTE, etc. +
- +
-<callout type="primary" icon="true">  +
-Wichtige Vorbereitungen: +
-Sollte bereits ein eduroam Profile auf dem Gerät installiert sein, bitte löschen. Aus dem Google PlayStore die eduroamCAT App herunterladen. +
-</callout> +
- +
-1. WEB-Browser, z.B. Chrome und [[https://get.eduroam.de]] eingeben. Im WAYF (Where Are You From) den eigenen DFN-AAI IdP auswählen. +
- +
-{{:de:eduroam:screenshot_20210806-095025.png?200|}} +
- +
-2. Am DFN-AAI IdP anmelden und nach erfolgreicher Anmeldung auf "Manuelle Optionen" klicken. EAP-Config (Kreis links EAP-Config klicken) und in der Eingabe-Box Name (Klick auf Eingabebox),einen Namen auswählen, z.B. MyAndroid und auf "Zugang generieren"+
- +
-{{:de:eduroam:screenshot_20210806-105422.png?200|}} +
- +
-3. Nun muss man leider ein wenig Geduld beweisen und versuchen auf "Zugang genrieren" zu klicken. Die Darstellung ist auf dem SmartPhone alles andere als freundlich für die eduroam Nutzenden. Es ist eben ein WORKAROUND. Vielleicht geht es im Querformat besser oder verkleinern bzw. vergrößern. Schafft man es auf "Zugang generieren" erfolgreich zu klicken, wird die EAP-Config heruntergeladen. +
- +
-<callout type="primary" icon="true"> Achtung bitte nicht gleich auf "Öffnen klicken". </callout> +
- +
-{{:de:eduroam:screenshot_20210806-105542.png?200|}} +
- +
-4. Bitte Browser schließen und eduroamCAT App starten. Nun wird es spannend, wenn die wichtigen Vorbereitungen durchgeführt worden sind, wird in der eduroamCAT App der Reiter Profile ausgwählt. +
- +
-{{:de:eduroam:screenshot_20210806-112424.png?200|}} +
- +
-5. Nun ins Menü oben rechts auf die drei untereinander stehenden Punkte klicken. +
- +
-{{:de:eduroam:screenshot_20210806-113002.png?200|}} +
- +
-6. "Konfigurationsdatei auswählen" auswählen und anschließemd im Suchfeld oben eap eingeben. +
- +
-{{:de:eduroam:screenshot_20210806-103718.png?200|}} +
- +
-7. Das heruntergeladene Profil (s. Datum) auswählen. Bevor das Profil gelesen wird, muss das Passwort für den Zugriff auf den  geheimen Zertifikatsschlüssel eingegeben werden. Das Passwort lautet: pkcs12 und ist von GETEDUROAM übernommen worden. +
- +
-{{:de:eduroam:screenshot_20210806-103554.png?200|}} +
- +
-8. Auf "ok" klicken und dann (s. Abbildung) auf Installieren klicken. +
- +
-{{:de:eduroam:screenshot_20210806-103638.png?200|}} +
- +
-9. Leider nochmal auf Installieren klicken. +
- +
-{{:de:eduroam:screenshot_20210806-103718.png?200|}} +
- +
-10. Dieses Mal nicht auf installieren klicken denn dort steht doch **Profil installiert**, ist aber egal. +
- +
-{{:de:eduroam:screenshot_20210806-120325.png?200|}} +
- +
-<callout type="primary" icon="true"> Die äußere Identität darf nicht geändert werden, da diese an den CN (Common Name) im Client Zertifikat gebunden ist. </callout> +
- +
-<callout type="primary" icon="true">  Support Address: easyroam4edu@dfn.de </callout>+
  
  • Zuletzt geändert: vor 3 Jahren