Katholieke Hogeschool Limburg – Dienst ICT Campus Diepenbeek, Agoralaan Gebouw B bus 1 3590 Diepenbeek
eduroam Versie: 1.5
Inhoud 1
Samenvatting ......................................................................................................................... 2
2
Eduroam ................................................................................................................................ 2
3
2.1
Intel PROSet ..................................................................................................................... 4
2.2
MS Windows XP ................................................................................................................ 7
2.3
MS Windows 7 .................................................................................................................10
2.4
Mac OS X 10.6 en lager ....................................................................................................14
2.5
Mac OS X 10.7 en hoger ...................................................................................................17
2.6
Ubuntu ...........................................................................................................................20
2.7
Nokia Symbian ................................................................................................................21
2.8
Android ...........................................................................................................................22
2.9
Overzicht Van De Basisparameters .....................................................................................24
Links ....................................................................................................................................25
Page 1 of 25
1 Samenvatting In dit document wordt uitgelegd hoe je gebruik kan maken van het “eduroam” netwerk. Elk hoofdstuk staat op zichzelf en vormt een handleiding voor een bepaald besturingssysteem of toestel. Je moet dus enkel de stappen uitvoeren die op jouw specifieke configuratie van toepassing zijn. Wanneer je bv. MS Windows XP gebruikt (zonder Intel PROSet) moet je enkel de stappen onder het hoofdstuk “MS Windows XP” op pagina 7 uitvoeren. Alle correcties en suggesties zijn welkom en mogen doorgestuurd worden naar
[email protected].
2 Eduroam Het lokale “eduroam” netwerk kan gebruikt worden door bezoekers van andere onderwijs- en onderzoeksinstellingen die ook deelnemen aan het eduroamproject [1]. KHLim studenten, docenten en personeelsleden kunnen natuurlijk ook connecteren op het lokale “eduroam” netwerk. Een extra voordeel is dat KHLim-gebruikers ook kunnen connecteren op het “eduroam” netwerk van een andere instelling, daarbij gebruikmakend van hun eigen KHLim-gebruikersnaam en paswoord. Om aan te geven van welke instelling je bent moet je voor eduroam wel een zogenaamde “realm” gebruiken:
Voor docenten en personeelsleden is dit “khlim.be”:
@khlim.be Voor studenten is dit “student.khlim.be”: @student.khlim.be
Deze realmnotatie lijkt zeer sterk op het emailadres maar de twee zijn dusdanig niet gekoppeld en kunnen dus van mekaar afwijken.
Een beknopt overzicht van de basisparameters kan achteraan in het hoofdstuk “Overzicht Van De Basisparameters” op pagina 24 gevonden worden voor diegenen die geen gebruik willen maken van de stap voor stap handleidingen. Bij het gebruik van eduroam in een andere instelling moet je rekening houden met een aantal netwerkparameters die specifiek zijn voor de instelling zelf:
SSID: in principe is elke deelnemende instelling verplicht om het SSID “eduroam” te gebruiken maar aangezien dit niet echt gecontroleerd kan worden kan het zijn dat andere instellingen hier hun eigen interpretatie aan geven zoals bv. “Eduroam”, “<schoolnaam>_eduroam”, ... Beveiliging: Dit gaat in een andere instelling hoogstwaarschijnlijk “WPA Enterprise” of “WPA2 Enterprise” zijn. Encryptie: Dit gaat in een andere instelling hoogstwaarschijnlijk “TKIP” of “AES – CCMP” zijn.
Alle verdere parameters voor KHLim-gebruikers zijn afhankelijk van de KHLim en deze blijven dus overal waar je eduroam wil gebruiken hetzelfde.
Page 2 of 25
Om zo veilig mogelijk te kunnen werken wordt er aangeraden om ook het servercertificaat van de achterliggende radiusserver te verifiëren. Hiervoor kan het nodig zijn om het “AddTrust External CA Root” basiscertificaat bij te installeren als dit nog niet standaard aanwezig is. Dit basiscertificaat kan gedownload worden van de KHLim website in verschillende formaten en met verschillende extensies via de URL “http://www.khlim.be/pagina/draadloos-netwerk”. In MS Windows kan je nagaan of dit basiscertificaat al geïnstalleerd is m.b.v. “certmgr”, deze management console kan je starten door bij uitvoeren “certmgr.msc” te typen. Onder “Vertrouwde basiscertificeringsinstanties” kan je nu zien welke basiscertificaten reeds geïnstalleerd zijn en verifiëren of het “AddTrust External CA Root” basiscertificaat er al tussen staat of niet:
Wanneer dit certificaat nog niet geïnstalleerd is kan je dit onder MS Windows als volgt importeren:
Download het certificaat van de website. Dubbelklik op het certificaat en bevestig eventueel dat je dit wil openen. Kies nu voor de optie “Certificaat installeren...” om naar de importwizard te gaan. Kies voor Volgende om verder te gaan met de importwizard. Selecteer de optie “Automatisch het certificaatarchief selecteren...” en kies opnieuw voor Volgende om verder te gaan. Kies tenslotte voor Voltooien om het certificaat te importeren.
Page 3 of 25
2.1 Intel PROSet De volgende stappen werden uitgewerkt op MS Windows XP SP3 met Intel PROSet 11.5.1.2.
In Windows XP is het mogelijk om additionele software, zoals de Intel PROSet, te gebruiken om de draadloze netwerken te beheren. Via Start Programma’s “Intel PROSet Wireless” kan je de Intel PROSet software openen als deze geïnstalleerd is. Wanneer je dan echter het onderstaande venster krijgt wordt de Intel PROSet software niet gebruikt om de draadloze netwerken te beheren en moet je de stappen onder het hoofdstuk “MS Windows XP” op pagina 7 volgen om de MS Windows WZC te configureren anders kan je verder gaan met de stappen in dit hoofdstuk.
Voeg in de Intel PROSet een nieuw profiel toe via “Profielen...” en kies daarna voor “Toevoegen...”:
Page 4 of 25
De “Algemene Instellingen”: Profielnaam: eduroam SSID: eduroam
De “PEAP-gebruiker” sectie onder “Beveiligingsinstellingen”: Netwerkverificatie: WPA2 – Enterprise (op de KHLim, in een andere instelling kan dit anders zijn) Gegevensencodering: AES – CCMP (op de KHLim, in een andere instelling kan dit anders zijn) Verificatietype: PEAP Verificatieprotocol: MS-CHAP-V2 Als gebruikersreferenties kan je nu kiezen om manueel de referenties in te geven of om gebruik te maken van de Windowsreferenties. Manueel: o Gebruikersreferenties: “Het volgende gebruiken” o Gebruikersnaam: @(student.)khlim.be o Domein: o Wachtwoord:
Page 5 of 25
Of m.b.v. de Windowsreferenties: o Gebruikersreferenties: "Aanmeldingsgegevens voor Windows gebruiken"
Dit zal enkel correct werken wanneer de lokale Windowsreferenties (gebruikersnaam en paswoord) hetzelfde zijn als in MS AD. Dit betekent concreet dat wanneer je KHLim-gebruikersnaam bv. “1234567” is, dat je dan lokaal op je laptop ook met de gebruiker “1234567” en hetzelfde paswoord als in MS AD moet werken om van deze optie gebruik te kunnen maken. Hou hier rekening mee en gebruik deze optie dus enkel wanneer je zeker bent dat deze overeenkomen!
Zwervende identiteit: @(student.)khlim.be
De “PEAP-server” sectie onder “Beveiligingsinstellingen”: De optie “Servercertificaat valideren” aanzetten. Certificaatverlener: “AddTrust External CA Root” Wanneer dit niet in de lijst voorkomt kan het zijn dat dit basiscertificaat nog niet geïnstalleerd is.
De optie “Server- of certificaatnaam opgeven” aanzetten. Server- of certificaatnaam: radius.khlim.be De optie “Servernaam moet identiek zijn aan de opgegeven naam” aanzetten.
Klik op “OK” om het profiel op te slaan en daarna op “Sluiten” om terug naar het overzicht van de draadloze netwerken te gaan. Wanneer je nu het “eduroam” netwerk selecteert en op “Verbinden” klikt zal er hiermee verbonden worden gebruikmakend van de configuratie in het nieuwe profiel.
Page 6 of 25
2.2 MS Windows XP De volgende stappen werden uitgewerkt op MS Windows XP SP3.
Ga via Start Instellingen Netwerkverbindingen naar het overzicht van de netwerkverbindingen. Rechtsklik hier op de draadloze netwerkverbinding en kies daarna in het menu voor de optie “Beschikbare draadloze netwerken weergeven”. Selecteer nu in het overzicht van de draadloze netwerken de optie "Geavanceerde instellingen wijzigen".
Selecteer daarna in het “Eigenschappen voor...” venster het tabblad "Draadloze netwerken" en kies voor "Toevoegen" om een nieuw profiel te maken.
Page 7 of 25
Onder
het tabblad “Koppeling”: SSID: eduroam Netwerkverificatie: WPA2 (op de KHLim, in een andere instelling kan dit anders zijn) Gegevensversleuteling: AES (op de KHLim, in een andere instelling kan dit anders zijn)
Onder
het tabblad “Verificatie”: EAP-type: Beveiligde EAP (PEAP) "Als computer verifiëren..." uitzetten. "Als gast verifiëren..." uitzetten.
Selecteer "Eigenschappen": o De optie "Servercertificaat verifiëren" aanzetten. o De optie "Verbinding maken met deze servers" aanzetten en als "radius.khlim.be" invullen. o Selecteer als vertrouwde certificeringsinstantie "AddTrust External CA Root". Wanneer dit niet in de lijst voorkomt kan het zijn dat dit basiscertificaat nog niet geïnstalleerd is.
o o
De optie "Gebruiker niet vragen om nieuwe..." aanzetten. Selecteer als verificatiemethode “Beveiligd wachtwoord (EAP-MSCHAP v2)”.
Page 8 of 25
server
o
Selecteer “Configureren”: De optie "Automatisch mijn windows..." uitzetten.
o o o o
De optie "Snel opnieuw verbinding..." mag je aan- of uitzetten. De optie "Quarantainecontroles..." uitzetten. De optie "Verbinding verbreken als..." uitzetten. Klik op “OK” om deze instellingen op te slaan.
Selecteer nogmaals “OK” om dit profiel op te slaan.
Wanneer er nu voor de eerste maal verbinding gemaakt wordt met het “eduroam” netwerk zal er gevraagd worden naar de gebruikersreferenties m.b.v. een melding in de notificationtray: "Klik hier als u een certificaat of andere referenties...". Vul de “Gebruikersnaam” en “Wachtwoord” in (in de realmnotatie) en laat het “Aanmeldingsdomein” leeg.
Wanneer de aanmelding succesvol was worden deze referenties opgeslagen in de registry zodat hier niet telkens opnieuw naar gevraagd wordt. Het nadeel hiervan is wel dat wanneer je later toch zou willen inloggen met andere referenties je de oude manueel moet verwijderen uit de registry. Zie ook http://support.microsoft.com/kb/823731
Page 9 of 25
2.3 MS Windows 7 De volgende stappen werden uitgewerkt op MS Windows 7.
Ga via Start Configuratiescherm “Netwerk en internet” naar het “Netwerkcentrum" en selecteer de optie "Draadloze netwerken beheren".
Selecteer hier “Toevoegen” en kies voor "Handmatig een netwerkprofiel toevoegen":
Netwerknaam: eduroam Beveiligingstype: WPA2-Enterprise (op de KHLim, in een andere instelling kan dit anders zijn) Versleutelingstype: AES (op de KHLim, in een andere instelling kan dit anders zijn)
Page 10 of 25
Kies nu voor “Volgende” en selecteer beveiligingsopties verder te configureren:
Onder het tabblad “Beveiliging”: o Selecteer als netwerkverificatie methode: “Microsoft: Beveiligde EAP (PEAP)”
o
"Verbindingsinstellingen
wijzigen"
om
de
Selecteer “Instellingen”: De optie "Servercertificaat valideren" aanzetten. De optie "Verbinding maken met deze servers" aanzetten en als server "radius.khlim.be" invullen. Selecteer als Trusted Root Certification Authorities "AddTrust External CA Root". Wanneer dit niet in de lijst voorkomt kan het zijn dat dit basiscertificaat nog niet geïnstalleerd is.
De optie "Gebruiker niet vragen om nieuwe servers of…" aanzetten. Selecteer als Verificatiemethode: “Beveiligd paswoord (EAP-MSCHAP v2)” Selecteer “Configureren”: De optie "Automatisch mijn Windows..." uitzetten.
De optie "Snel opnieuw verbinding maken inschakelen" mag je aan- of uitzetten. De optie "NAP afdwingen" uitzetten.
Page 11 of 25
o
De optie "Verbinding verbreken als de server geen…" uitzetten. De optie "Identiteitsprivacy inschakelen" uitzetten. Klik op “OK” om de instellingen op te slaan.
Selecteer "Geavanceerde instellingen": De optie "Verificatiemodus opgeven" aanzetten. Selecteer "Verificatie van de gebruiker".
o
M.b.v. "Referenties opslaan" kan je de referenties eventueel hier al ingeven (in de realmnotatie), anders zal dit gevraagd worden wanneer er voor de eerste maal een verbinding gemaakt wordt met het “eduroam” netwerk m.b.v. een melding in de notificationtray.
Klik op “OK” om de instellingen op te slaan. Klik nogmaals op “OK” om het profiel op te slaan. Page 12 of 25
Wanneer de eerste aanmelding succesvol was worden de referenties opgeslagen. Deze referenties kunnen verwijderd worden door bij de eigenschappen van het netwerkprofiel in het tabblad Beveiliging de optie "Mijn referenties voor deze verbinding onthouden nadat ik ben aangemeld." uit te zetten of bij het van tevoren invullen m.b.v. "Referenties opslaan" de optie "Referenties verwijderen voor alle gebruikers" aan te zetten.
Page 13 of 25
2.4 Mac OS X 10.6 en lager De volgende stappen werden uitgewerkt op een Mac OS X 10.6.5 Snow Leopard.
Selecteer in het “Apple-menu” de optie “Systeemvoorkeuren” en daarna, in de sectie “Internet en draadloos”, het onderdeel “Netwerk”.
Zorg ervoor dat de “AirPort” adapter geselecteerd is.
Page 14 of 25
Kies voor “Geavanceerd...”. Selecteer de “802.1X” tab o Klik op “+” en selecteer “voeg gebruikersprofiel toe”, geef dit profiel een naam zoals “eduroam”. o Gebruikersnaam: @(student.)khlim.be o Paswoord: o Selecteer bij “identiteitscontrole” enkel PEAP. o Klik op “OK”.
Klik op “Pas toe”.
Klik daarna op het “Apple Airport signaalsterkte icoon” in de menubalk zodat je een lijst van de beschikbare netwerken te zien krijgt. Selecteer het “eduroam” netwerk en kies in het volgende venster bij “802.1X” het juist gemaakte profiel, hierdoor zullen automatisch de gebruikersnaam en paswoord velden ingevuld worden.
Page 15 of 25
De eerste keer dat je connecteert zal je een melding krijgen om het certificaat te controleren. Het wordt aangeraden om na te gaan of de certificaatgegevens kloppen om zeker te zijn van de identiteit van de radiusserver.
Selecteer nu “Toon certificaat” en verifieer of de gegevens van het certificaat overeenkomen met het onderstaande:
Selecteer nu “Ga door” als dit in orde is om dit certificaat permanent te aanvaarden en met het “eduroam” netwerk te verbinden.
Page 16 of 25
2.5 Mac OS X 10.7 en hoger De volgende stappen werden uitgewerkt op een Mac OS X 10.8.3 Mountion Lion.
Selecteer in het “Apple-menu” de optie “Systeemvoorkeuren” en daarna, in de sectie “Internet en draadloos”, het onderdeel “Netwerk”.
Zorg ervoor dat de “Wi-Fi” adapter geselecteerd is. Klik op “Geen Netwerk geselecteerd”. De beschikbare netwerken worden dan getoond.
Page 17 of 25
Klik op “eduroam”.
Nu wordt er gevraagd naar je KHLim-gebruikersnaam en paswoord. KHLim-gebruikersnaam: @(student.)khlim.be Klik vervolgens op “Verbind”.
De eerste keer dat je connecteert zal je een melding krijgen om het certificaat te controleren. Het wordt aangeraden om na te gaan of de certificaatgegevens kloppen om zeker te zijn van de identiteit van de radiusserver.
Page 18 of 25
Selecteer nu “Toon certificaat” en verifieer of de gegevens van het certificaat overeenkomen met het onderstaande:
Selecteer nu “Ga door” als dit in orde is om dit certificaat permanent te aanvaarden en met het “eduroam” netwerk te verbinden.
Page 19 of 25
2.6 Ubuntu De volgende stappen werden uitgewerkt op Ubuntu Desktop 10.10.
Klik in de menubalk op het icoontje van de draadloze netwerken:
Selecteer daarna in het overzicht van de beschikbare netwerken het “eduroam” netwerk:
Vul volgende gegevens in: Wireless security: WPA & WPA2 Enterprise (op de KHLim, in een andere instelling kan dit anders zijn) Authentication: Protected EAP (PEAP) Anonymous identity: @(student.)khlim.be CA certificate: “AddTrust External CA Root” Het kan zijn dat je dit certificaat nog moet downloaden van de KHLim website.
PEAP version: Automatic Inner authentication: MSCHAPv2 Username: @(student.)khlim.be Password:
Klik op “Connect” om verbinding te maken.
Page 20 of 25
2.7 Nokia Symbian De volgende stappen werden uitgewerkt op een Nokia E71 met firmware 400.21.013.
Controleer eerst en vooral of het “AddTrust External CA Root” certificaat aanwezig is aangezien de verificatie van het servercertificaat niet uitgezet kan worden. Ga via menu Tools Settings General Security “Certificate management” naar “Authority certificates” om de geïnstalleerde basiscertificaten te bekijken. Als het certificaat nog niet geïnstalleerd is moet dit eerst toegevoegd worden door dit bv. te downloaden of m.b.v. een memorycard over te zetten. Ga naar “menu”, “Connectivity” en vervolgens “WLAN wiz.”. highlight het “eduroam” netwerk en selecteer “Options” en dan “Define access point”. Configureer de netwerksettings nu als volgt: Connection name: <een duidelijke naam voor het netwerk of gewoon de SSID naam houden> Data bearer: Wireless LAN WLAN network name: eduroam Network status: Public WLAN network mode: Infrastructure WLAN security mode: 802.1x Selecteer vervolgens de “WLAN security settings”: WPA/WPA2: EAP Selecteer “EAP plug-in settings”: Enkel EAP-PEAP zou uiteindelijk mogen enabled zijn en deze kan best helemaal bovenaan gezet worden. Selecteer “EAP-PEAP”: Personal certificate: “Not defined” Authority certificate: “AddTrust External CA Root” User name in use: “User defined” User name: @(student.)khlim.be Realm in use: “User defined” Realm: leeg laten Allow PEAPv0: Yes Allow PEAPv1: No Allow PEAPv2: No Druk nu naar rechts om de inner EAP-methods te configureren en enable enkel EAP-MSCHAPv2 en zet deze ook best helemaal bovenaan. Selecteer daarna EAP-MSCHAPv2: User name: @(student.)khlim.be Prompt password: “No” om eenmalig het KHLim-paswoord in te voeren of “Yes” om bij elke nieuwe verbinding opnieuw het KHLim-paswoord in te voeren. Password: Indien er bij “Prompt password” voor “No” gekozen werd moet je hier je KHLimpaswoord eenmalig invoeren. Druk meerdere malen op “back” om de configuratie te beëindigen. Vanaf dan zou het mogelijk moeten zijn om te connecteren op het “eduroam” netwerk.
Page 21 of 25
2.8 Android De volgende stappen werden uitgewerkt op een Samsung Galaxy Apollo met Android 2.1.
Controleer of het “AddTrust External CA Root” basiscertificaat aanwezig is. Indien het certificaat nog niet aanwezig is moet dit eerst toegevoegd worden door dit bv. te downloaden of m.b.v. een memorycard over te zetten. Ga via Applicaties Instellingen “Draadloos en netwerk” naar de “Wi-Fi-instellingen”.
Selecteer hier het “eduroam” netwerk. Er wordt mogelijk een paswoord gevraagd. Dit paswoord kan je vrij kiezen en wordt gebruikt voor het beveiligen van je credentials. Wanneer je bv. je credentials wil verwijderen moet je dit paswoord opgeven.
Page 22 of 25
Configureer de netwerksettings nu als volgt: EAP-methode: PEAP Fase 2 verificatie: MSCHAPV2 CA-certificaat: “AddTrust External CA Root” Clientcertificaat: N/A Identificatie: @(student.)khlim.be Anonieme identificatie: @(student.)khlim.be Draadloos wachtwoord:
Druk nu op verbinden om verbinding te maken met “eduroam”.
Page 23 of 25
2.9 Overzicht Van De Basisparameters Voor diegenen die geen gebruik willen maken van de voorgaande stap voor stap handleidingen kunnen de volgende parameters als richtlijn gebruikt worden voor de configuratie:
SSID: eduroam Beveiliging: op te vragen in de gastinstelling (op de KHLim: WPA2 Enterprise) Encryptie: op te vragen in de gastinstelling (op de KHLim: AES - CCMP) Authenticatiemethode: afhankelijk van de thuisinstelling (voor KHLim-gebruikers: PEAP-EAP-MSCHAPv2) Inner identity: afhankelijk van de thuisinstelling (voor KHLim-gebruikers: @(student.)khlim.be) Paswoord: afhankelijk van de thuisinstelling (voor KHLim-gebruikers: ) Outer identity: afhankelijk van de thuisinstelling (voor KHLim-gebruikers: @(student.)khlim.be) Root CA: afhankelijk van de thuisinstelling (voor KHLim-gebruikers: “AddTrust External CA Root”) Servernaam: afhankelijk van de thuisinstelling (voor KHLim-gebruikers: radius.khlim.be)
Page 24 of 25
3 Links [1] http://www.eduroam.org/
Page 25 of 25
