WLANAnleitungen

Rechenzentrum

Anleitung zur Konfiguration von WLANmit 802.1x

Florian T. Huber

Rechenzentrum - Hochschule Biberach

2. Oktober 2012

Campus-WLAN mit 802.1x

WLAN-Abdeckung

Die fur WLAN benotigen Accesspoints finden sich campusweit auf dem Gelande verteiltund sollten uberall einen guten Empfang ermoglichen. Die genauen Standorte lassen sichder Abbildung 1 auf Seite 2 entnehmen. Zusatzlich zu den dort aufgefuhrten Standortengibt es noch Accesspoints in Gebaude K (Raum K2.02), Gebaude L (Pavillion) und Ge-baude O (EG + 1.OG).

Unterstutzte Clients

Momentan unterstutzen folgende Betriebssyteme von Haus aus 802.1x:

• Windows 7 (alle Editionen)

• Windows Vista (alle Editionen)

• Windows XP (s. Seite 3)

• Windows 2003 Server / Windows 2008 Server

• Windows CE/Windows Mobile1 (s. Seite 12)

• Mac OS X Panther (Mac OS X 10.3)

• Apple iPhone / Apple iPOD Touch

• Android-Handies ab Version 1.8 (s. Seite 10)

1Mit Patch

1

WL

AN

Anleitu

ngen

Rech

enzen

trum

Abbildung 1: Standorte der Accesspoints

2

WLANAnleitungen

Rechenzentrum

Windows Vista/Windows 7

Fur Windows Vista bzw. Windows 7 existiert ein fertiges Konfigurationsscript zur automatischenEinrichtung des WLAN-Profils und der Verknupfungen zu K-Laufwerk, Eigene Dateien undTerminalserver. Dieses Skript kann von der WLAN-Ecke auf dem Desktop des Virenschleuße-Rechners bezogen werden. Einfach die Datei HBC-WLAN-Installer.exe auf einen USB-Stickkopieren, den eigenen Rechner transferieren und dort ausfuhren.

Windows XP

Eine detaillierte Anleitung fur die WLAN-Konfiguration und -installation unter Windows XPbefindet sich im direkten Anschluß an diese Seite! Ein direkter Import des WLAN-Profils, wieunter Windows Vista ist leider nicht moglich. Jedoch kann das Vista-WLAN-Installationsskriptauch unter Windows XP ausgefuhrt werden, um die Verknupfungen zum K-Laufwerk, EigeneDateien und Terminalserver anzulegen.

Windows 2000

Windows 2000 benotigt einen zusatzlichen Patch und mindestens Servicepack 4. Wichtig istauch, daß der Treiber der WLAN-Karte WPA-Verschlusselung beherrscht. Mehr Informationenzu 802.1x finden sich auf den Microsoft-Supportseiten2. Generell kann das Rechenzentrum beiWindows 2000 keinen WLAN-Support leisten. Eine Liste mit alternativen 802.1x-Clients furaltere Betriebssysteme befindet sich im Internet3.

Linux

Unter Linux steht das Programm XSupplicant fur 802.1x zur Verfugung. Distributionen, wie z.B.SuSE Linux ab Version 10 bieten bereits zum Teil auch uber eigene Konfigurationswerkzeugedie Moglichkeit WLAN mit 802.1x einzurichten.Auch hier gilt: Aufgrund der geringen Verbreitung von Linux auf Studenten-PCs und der unuber-schaubaren Vielzahl von Linuxdistributionen kann kein Installations-Support fur Linux gegebenwerden.

Apple Macintosh

Bei MacOS X nicht Internetverbindung wahlen, sondern Andere bei Netzwerk und dort dann die

SSID eingeben, Benutzernahme, Paßwort und 802.1x mit WPA auswahlen. Den Zertifikatshin-

weis akzeptieren und am besten dem Zertifikat von ntserv01 das Vertrauen ausprechen. Hierzu

muß das Computerpaßwort fur den Mac eingegeben werden. Anschließend sollte Wireless funk-

tionieren.

2http://support.microsoft.com/kb/3136643http://www.uni-bielefeld.de/hrz/netze/dot1x/client_liste.htm

3

WLANAnleitungen

Rechenzentrum

Einrichtung unter Windows XP - Schritt fur Schritt

Schritt 1: Mindestvoraussetzungen testen

Fur das neue WLAN wird eine WPA- bzw. WPA2-Verschlusselung benotigt. Windows XPbietet diese erst ab ServicePack 24– außer der verwendete Wireless-Treiber bringt diesemit. Auf alle Falle empfiehlt sich fur jene, die bisher kein ServicePack 2 installiert haben,solches zu installieren. Es wird zudem fur alle empfohlen ihren Wirelesstreiber auf denaktuellsten Stand zu bringen.

Schritt 2: Drahtlos-Netzwerk anlegen

Unter ”Start | Einstellungen | Netzwerkverbindungen” die Eigenschaften der drahtlosenVerbindung offnen und dort den Tab Drahtlosnetzwerke offnen. Hier Windows fur dieKonfiguration der Drahtlosverbindung auswahlen und den Button Hinzufugen klicken.

Abbildung 2: Drahtlosnetzwerke

4Die Windowsversion samt ServicePack laßt sich uber <Windowstaste>+<R> und anschließender Eingabevon winver herausfinden

4

WLANAnleitungen

Rechenzentrum

Schritt 3: SSID-Vergabe und Verschusselungseinstellungen

Ein neues WLAN mit der SSID HBC-802.1X anlegen (großes ”X”), als Netzwerkautheni-fizierung WPA2 (empfohlen) bzw. WPA wahlen. Als Verschlusselung falls verfugbar AESwahlen, bzw. TKIP falls ersteres nicht zur Verfugung steht.

Achtung: Nicht WPA-PSK5 wahlen! - Der Netzwerkschlussel wird automatisch bereit-gestellt!

Abbildung 3: 802.1X-Eigenschaften (Zuordnung)

Erganzung: Bei einigen Versionen von Windows XP gibt es auf dieser Seite noch eineCheckbox Mit Netzwerkverbinden auch wenn keine SSID gebroadcastet wird. Hier muß derHaken gesetzt werden, damit das Hochschulnetz gefunden wird!6

5PSK = Preshared Key6Zur besseren Linuxkompatibilitar wurde die SSID inzwischen sichtbar geschaltet.

5

WLANAnleitungen

Rechenzentrum

Schritt 4: Authentifizierungseinstellungen

IEEE 802.1X-Authentifizierung fur das Netzwerk aktivieren und den EAP-Typ Geschutz-tes EAP (PEAP) auswahlen. Die beiden Hakchen fur Computer- und Gastauthen-tifizierung deaktivieren .

Abbildung 4: 802.1X-Eigenschaften (Authentifizierung)

6

WLANAnleitungen

Rechenzentrum

Schritt 5: EAP-Konfiguration

Da der Studentenrechner kein Mitglied der RZ1-Domane ist, mussen die Eigenschaf-ten fur EAP bearbeitet werden. Die Prufung des Serverzertifikates deaktivieren und alsAuthentifizierungs-Methode Sicheres Kennwort (EAP-MSCHAP v2) wahlen.

Abbildung 5: Eigenschaften geschutztes EAP

7

WLANAnleitungen

Rechenzentrum

Schritt 6: Anmelde-Einstellungen

Kennwort konfigurieren und Haken bei Automatisch eigenen Windowsanmeldenamen undKennwort verwenden deaktivieren, da sich der Student an seinem Rechner lokal andersanmeldet, als er es in der RZ-Domane tate. Bei der ersten Verbindung erscheint eineWindows-Hinweisblase, die zur Eingabe der Zugangsdaten auffordert7.

Abbildung 6: EAP-MSCHAPv2-Eigenschaften

Schritt 7 - Einrichten von K:-Laufwerk

Der Zugriff auf das K-Laufwerk muß manuell eingerichtet werden. Hierzu Rechtsklickauf Arbeitsplatz, dort Netzwerklaufwerk verbinden wahlen und dann Laufwerk K: mit\\ntserv05.fh-biberach.de\temp-daten verbinden (s. Abb. 7). Dem Benutzernamen ist einRZ1\ voranzustellen (z.B. RZ1\w06p001).

Abbildung 7: Netzlaufwerk K:

7Sollte bei XP keine Aufforderung der Zugangsdaten beim Herstellen der Verbindung erscheinen, kannes helfen den Patch WindowsXP-KB893357-v2-x86-DEU einzuspielen

8

WLANAnleitungen

Rechenzentrum

Zugriff auf diverse Netzwerkresourcen

Folgende Resourcen lassen sich u.a. per WLAN nutzen. Eingabe in Explorer-Leiste bzw.dem Browser.

Bei der Frage nach den Zugangsdaten geben Sie bitte Ihre RZ-Logindaten an.

Fur Freigaben in der RZ1-Domane in der Form: RZ1\Loginname

Resource Typ NetzwerkpfadSemesterarbeiten SMB \\ntserv04\Semsesterarbeitentemp-daten (K-Server) SMB \\ntserv05\temp-datenILIAS-eLearning-Server HTTPS https://elearns02.fh-biberach.de

Terminalserver

Mit Hilfe des Remote Desktops haben Sie die Moglichkeit auf den Terminalserver zuverbinden und uber diesen Druckauftrage im RZ abzuschicken. Sie finden den RemoteDesktop unter: Start > Programme > Zubehor > Remotedesktopverbindung.

Als Server tragen Sie ein: rz-ts01.fh-biberach.de

ILIAS-Terminalserver

Ebenfalls uber Remote-Desktop konnen Sie zum ILIAS-Terminalserver verbinden undSkripte bestimmter Professoren drucken oder online betrachten. Ein Download/Speicherndieser Skripte ist jedoch nicht moglich.

Als Server tragen Sie ein: ilias-ts.fh-biberach.de

ILIAS-eLearning-Server

Eine Anleitung zur Einbindung von ILIAS als WebDAV-Ordner findet sich unter https://elearns02.fh-biberach.de/ilias3/webdav.php/HSBC/ILIAS?mount-instructions

Microsoft Exchange (eMail)

Neben dem direkten Zugriff uber Outlook Webaccess 8 (https://mserv01-cas.fh-biberach.de), konnen Sie auch uber beliebige eMail-Clients (Outlook, Thunderbird, etc.) Ihre eMailsabfragen9.

8Um die volle Funktionalitat zu erlangen, verwenden Sie bitte den Internet Explorer9Mehr Informationen zum Thema eMail finden sich unter http://www.hochschule-bc.de/web/

rechenzentrum/mail

9

WLANAnleitungen

Rechenzentrum

Einrichtung unter Android - Schritt fur Schritt

Schritt 1:Aktivieren von WLAN und wahlen der Hochschul-SSID

Aktivieren Sie bei Ihrem Android-Smartphone das WLAN. Dies konnen Sie uber zweiArten realisieren 10:

Entweder Sie ziehen die Schnellstart/Statusleiste vom oberen Rand mit dem Finger nachunten und selektieren dort das Symbol fur WLAN oder sie setzen einen Haken unterEinstellungen > Drahtlos und Netzwerke > WLAN-Einstellungen (Abb. 8).

Anschließend wahlen Sie das Netz der Hochschule Biberach mit der SSID HBC-802.1Xfur die weitere Konfiguration (Abb. 9).

Abbildung 8: WLANanktivieren

Abbildung 9: Hochschul-WLANwahlen

10Bitte beachten Sie, daß aufgrund unterschiedlicher Android-Versionen, Hersteller und Themes, dieDarstellung der einzelnen Abbildungen sich geringfugig unterscheiden konnen!

10

WLANAnleitungen

Rechenzentrum

Schritt 2: Einstellen der Verschlusselungs-Parameter und Zugangskennung

Wahlen Sie fur die Sicherheit 802.1x-EAP mit PEAP und MSCHAPv2 als Authentifizie-rungsmethode.

Als Identitat geben Sie Ihren RZ1-Benutzernamen an zusammen mit dem Paßwort, daßSie auch fur ILIAS oder die RZ-Rechnerpools verwenden.

Abbildung 10: Verschlusselungkonfigurieren

Abbildung 11: Zugangsdateneingeben

11

WLANAnleitungen

Rechenzentrum

Einrichtung unter Windows Mobile - Schritt fur Schritt

An dieser Stellen bedanken wir uns bei Matthias Bockh, der uns den Tipp mit demRegistry-Hack geliefert hat und uns ebenfalls die Screenshots und die CAB-Datei zurRegistry-Modifikation zur Verfugung gestellt hat.

Schritt 1: Anlegen des Netzes mit HBC-SSID

Ein neues WLAN mit der SSID HBC-802.1X anlegen und darauf achten, das es ein großesX ist (Abb. 12).

Abbildung 12: WLANangelegen

Abbildung 13: Verschlusselungkonfigurieren

Schritt 2: Einstellen der Verschlusselungs-Parameter

Fur die Authentifizierung WPA2 verwenden bzw. WPA falls ersteres nicht verfugbar istund bei der Verschlusselung AES auswahlen bzw. TKIP. Den Haken bei key automaticallyprovided setzen (Abb. 13).

12

WLANAnleitungen

Rechenzentrum

Schritt 3: Einstellen der 802.1x-Einstellungen

Den Haken bei IEEE 802.1x-Authentifizierung fur das Netzwerk setzen und den EAP-TypPEAP auswahlen (Abb. 14).

Abbildung 14: 802.1xkonfigurieren

Abbildung 15: Netzwerkverbinden

Schritt 4: Netzwerk auswahlen und verbinden

Naturlich laßt sich eine Verbindung zum Hochschul-WLAN nur aufbauen, wenn das Netz-werk auch verfugbar ist. Zum Zeitpunkt des Screenshots war dies leider nicht der Fall(Abb. 15).

Schritt 5: Registry patchen

Nun folgt der kniffligste Schritt beim Einrichten von WLAN unter einem Windows-PDA- das Patchen der Registry. Anders als unter Windows XP oder Vista, wo sich in einemKonfigurationsdialog das Prufen des Serverzertifikats abschalten laßt, bietet die abge-speckte Windowsversion diese Moglichkeit leider nicht an. Daher muß hier eine Ena-

ble_WLAN.cab auf den PDA transferiert werden (MemoryCard, ActivSync o.a.) und aufdem PDA dann ausgefuhrt werden. Die Enable_WLAN.cab findet man in der WLAN-Eckeauf dem Virenschleuse-Rechner (gegenuber RZ-Serviceraum).

13

WLANAnleitungen

Rechenzentrum

Allgemeine Hinweise fur Wireless-Tools von Drittanbietern bzw.andere Computerplattformen

Wichtig!

Viele interne Wireless-Karten lassen Sich uber einen Schalter oder eine Tastenkombinationaktivieren bzw. deaktivieren. Solange die Wirelesskarte nicht hardwaremaßig auf dieseWeise aktiviert wurde, wird kein Wirelessnetz gefunden!

Die Funktionstaste zum Aktivieren-/Deaktivieren ist oft eine Kombination aus Taste Fn

und einer F-Taste.

Folgende Einstellungen sind bei der Wirelesskonfiguration vorzunehmen:

SSID HBC-802.1X (Das ”X” muß groß sein!)Authentifizierung WPA2-Enterprise bzw. WPA-Enterprise (kein WPA-PSK!)Verschlusselung AES bzw. TKIP802.1X aktivierenEAP-Typ PEAPAuthentifizierungsmethode MS-CHAP v2Serverzertifikatuberprufen neinVerbinden wenn Netzkein Broadcast sendet ja

Folgendes betrifft nur Intel Wireless Tool:Roamingidentitat BenutzernameCisco-Extensions deaktivieren

WLAN-Sicherheit

Mit 802.1x wird kein PPTP-Tunnel mehr uber die WLAN-Strecke benotigt, da die Kom-munikation von vorne herein verschlusselt stattfindet und der Benutzer gegenuber derRZ1-Domane authentifiziert wird. Auch wenn WPA bzw. WPA2 noch als sicher gelten,findet in kurzen zyklischen Intervallen automatisch ein dynamischer Wechsel des verwen-deten WPA-Schlussels statt. Da der Zeitaufwand zum Knacken des WPA-Schlussels mitder heutigen Rechnerleistung großer als das Wechselintervall ist, ist ein Abhoren der ver-schlusselten WLAN-Verbindung nicht moglich.

14

WLANAnleitungen

Rechenzentrum

FAQ - Haufig gestellte Fragen

Neue Anmeldedaten (Benutzername oder Paßwort) lassen sich nichteingeben

Das Anmelde-Paßwort mußte geandert werden oder der Benutzername hat sich geandertund nun bietet Windows keine Moglichkeit diese Informationen zu aktualisieren. Die gelbeHinweisblase, deren Aktivierung den Anmeldedialog bringt, erscheint nicht.

Durch Loschen eines Zweiges in der Registry lassen sich alle 802.1x-Anmeldedaten lo-schen. Es sind dann jedoch alle Anmeldedaten fur 802.1x gesicherte Netzwerke geloschtund mussen neu eingegeben werden. WLAN, Wohnheim und ggf. anderweit eingerichtete802.1x gesicherte Netzwerke.

• Offnen der Registry: Start | Ausfuhren → regedit

• Loschen aller Unterzweige von:HKEY_CURRENT_USER\Software\Microsoft\EAPOL\UserEAPinfo

Trotz erfolgreicher Assoziierung und Authentifizierung am WLAN istkein Zugriff auf das Internet oder freigegebene Netzressourcenmoglich

Die IP-Adresse des WLAN-Adapters wurde manuell konfiguriert.

Die IP-Einstellungen lassen Sich uber die Konsole prufen:

• Start | Ausfuhren → cmd → ipconfig /all

• Einstellungen prufen: DHCP aktiviert muß auf ja stehen

Die IP-Adresse muß lauten: 10.5.x.xDas Gateway muß lauten: 10.5.0.1Der DNS-Server muß lauten: 10.5.0.1

Vergeben Sie nicht manuell eine statische IP-Adresse aus dem WLAN-IP-Pool der Hoch-schule! Sie schaffen sich so mehr Probleme, als Sie momentan vielleicht losen und riskierengeblockt zu werden.

15

WLANAnleitungen

Rechenzentrum

Trotz korrekter 802.1x-Parameter und EAP-PEAP klappt beiWindows Mobile die Authentifizierung am Campus-WLAN nicht

Windows Mobile / PocketPC versuchen auch beim EAP-Typ PEAP ein Zertifikatvom Au-thentifizierungsserver zu validieren. Eine Option zum Deaktivierender Serververifizierunggibt es nicht.

Uber eine kleine Anderung in der Registry von Windows Mobile / PocketPC ist es moglichdie Verifizierung des Serverzertifikats zu deaktivieren.

Hierzu muß folgender Registry-Schlussel geandert werden:

\HKLM\Comm\EAP\Extension\25\ValidateServerCert=dword:00000000

Anschließend sollte eine Anmeldung im WLAN mit den RZ-Accountdaten moglich sein.

Da spezielle Tools zur Registry-Anderung notig sind, gibt es einen fertigen Installer denman in der WLAN-Ecker der Virenschleuse (gegenuber RZ-Serviceraum) finden kann.

Welche Wirelesskarte fur das Hochschulnetz

Interne Intel-WLAN-Karten, wie die Intel 2100 oder 2200BG, funktionieren mit den ak-tuellen Treibern problemlos. Ansonsten findet man auf der WLAN-Seite der FH Ful-da (http://www.fh-fulda.de/index.php?id=4016) eine kleine Kompatibilitatsliste vonWireless-Karten.

16