Anleitung zur Kon guration von WLAN mit 802 … · WLAN Anleitungen Rechenzentrum Anleitung zur Kon...
Transcript of Anleitung zur Kon guration von WLAN mit 802 … · WLAN Anleitungen Rechenzentrum Anleitung zur Kon...
WLANAnleitungen
Rechenzentrum
Anleitung zur Konfiguration von WLANmit 802.1x
Florian T. Huber
Rechenzentrum - Hochschule Biberach
2. Oktober 2012
Campus-WLAN mit 802.1x
WLAN-Abdeckung
Die fur WLAN benotigen Accesspoints finden sich campusweit auf dem Gelande verteiltund sollten uberall einen guten Empfang ermoglichen. Die genauen Standorte lassen sichder Abbildung 1 auf Seite 2 entnehmen. Zusatzlich zu den dort aufgefuhrten Standortengibt es noch Accesspoints in Gebaude K (Raum K2.02), Gebaude L (Pavillion) und Ge-baude O (EG + 1.OG).
Unterstutzte Clients
Momentan unterstutzen folgende Betriebssyteme von Haus aus 802.1x:
• Windows 7 (alle Editionen)
• Windows Vista (alle Editionen)
• Windows XP (s. Seite 3)
• Windows 2003 Server / Windows 2008 Server
• Windows CE/Windows Mobile1 (s. Seite 12)
• Mac OS X Panther (Mac OS X 10.3)
• Apple iPhone / Apple iPOD Touch
• Android-Handies ab Version 1.8 (s. Seite 10)
1Mit Patch
1
WL
AN
Anleitu
ngen
Rech
enzen
trum
Abbildung 1: Standorte der Accesspoints
2
WLANAnleitungen
Rechenzentrum
Windows Vista/Windows 7
Fur Windows Vista bzw. Windows 7 existiert ein fertiges Konfigurationsscript zur automatischenEinrichtung des WLAN-Profils und der Verknupfungen zu K-Laufwerk, Eigene Dateien undTerminalserver. Dieses Skript kann von der WLAN-Ecke auf dem Desktop des Virenschleuße-Rechners bezogen werden. Einfach die Datei HBC-WLAN-Installer.exe auf einen USB-Stickkopieren, den eigenen Rechner transferieren und dort ausfuhren.
Windows XP
Eine detaillierte Anleitung fur die WLAN-Konfiguration und -installation unter Windows XPbefindet sich im direkten Anschluß an diese Seite! Ein direkter Import des WLAN-Profils, wieunter Windows Vista ist leider nicht moglich. Jedoch kann das Vista-WLAN-Installationsskriptauch unter Windows XP ausgefuhrt werden, um die Verknupfungen zum K-Laufwerk, EigeneDateien und Terminalserver anzulegen.
Windows 2000
Windows 2000 benotigt einen zusatzlichen Patch und mindestens Servicepack 4. Wichtig istauch, daß der Treiber der WLAN-Karte WPA-Verschlusselung beherrscht. Mehr Informationenzu 802.1x finden sich auf den Microsoft-Supportseiten2. Generell kann das Rechenzentrum beiWindows 2000 keinen WLAN-Support leisten. Eine Liste mit alternativen 802.1x-Clients furaltere Betriebssysteme befindet sich im Internet3.
Linux
Unter Linux steht das Programm XSupplicant fur 802.1x zur Verfugung. Distributionen, wie z.B.SuSE Linux ab Version 10 bieten bereits zum Teil auch uber eigene Konfigurationswerkzeugedie Moglichkeit WLAN mit 802.1x einzurichten.Auch hier gilt: Aufgrund der geringen Verbreitung von Linux auf Studenten-PCs und der unuber-schaubaren Vielzahl von Linuxdistributionen kann kein Installations-Support fur Linux gegebenwerden.
Apple Macintosh
Bei MacOS X nicht Internetverbindung wahlen, sondern Andere bei Netzwerk und dort dann die
SSID eingeben, Benutzernahme, Paßwort und 802.1x mit WPA auswahlen. Den Zertifikatshin-
weis akzeptieren und am besten dem Zertifikat von ntserv01 das Vertrauen ausprechen. Hierzu
muß das Computerpaßwort fur den Mac eingegeben werden. Anschließend sollte Wireless funk-
tionieren.
2http://support.microsoft.com/kb/3136643http://www.uni-bielefeld.de/hrz/netze/dot1x/client_liste.htm
3
WLANAnleitungen
Rechenzentrum
Einrichtung unter Windows XP - Schritt fur Schritt
Schritt 1: Mindestvoraussetzungen testen
Fur das neue WLAN wird eine WPA- bzw. WPA2-Verschlusselung benotigt. Windows XPbietet diese erst ab ServicePack 24– außer der verwendete Wireless-Treiber bringt diesemit. Auf alle Falle empfiehlt sich fur jene, die bisher kein ServicePack 2 installiert haben,solches zu installieren. Es wird zudem fur alle empfohlen ihren Wirelesstreiber auf denaktuellsten Stand zu bringen.
Schritt 2: Drahtlos-Netzwerk anlegen
Unter ”Start | Einstellungen | Netzwerkverbindungen” die Eigenschaften der drahtlosenVerbindung offnen und dort den Tab Drahtlosnetzwerke offnen. Hier Windows fur dieKonfiguration der Drahtlosverbindung auswahlen und den Button Hinzufugen klicken.
Abbildung 2: Drahtlosnetzwerke
4Die Windowsversion samt ServicePack laßt sich uber <Windowstaste>+<R> und anschließender Eingabevon winver herausfinden
4
WLANAnleitungen
Rechenzentrum
Schritt 3: SSID-Vergabe und Verschusselungseinstellungen
Ein neues WLAN mit der SSID HBC-802.1X anlegen (großes ”X”), als Netzwerkautheni-fizierung WPA2 (empfohlen) bzw. WPA wahlen. Als Verschlusselung falls verfugbar AESwahlen, bzw. TKIP falls ersteres nicht zur Verfugung steht.
Achtung: Nicht WPA-PSK5 wahlen! - Der Netzwerkschlussel wird automatisch bereit-gestellt!
Abbildung 3: 802.1X-Eigenschaften (Zuordnung)
Erganzung: Bei einigen Versionen von Windows XP gibt es auf dieser Seite noch eineCheckbox Mit Netzwerkverbinden auch wenn keine SSID gebroadcastet wird. Hier muß derHaken gesetzt werden, damit das Hochschulnetz gefunden wird!6
5PSK = Preshared Key6Zur besseren Linuxkompatibilitar wurde die SSID inzwischen sichtbar geschaltet.
5
WLANAnleitungen
Rechenzentrum
Schritt 4: Authentifizierungseinstellungen
IEEE 802.1X-Authentifizierung fur das Netzwerk aktivieren und den EAP-Typ Geschutz-tes EAP (PEAP) auswahlen. Die beiden Hakchen fur Computer- und Gastauthen-tifizierung deaktivieren .
Abbildung 4: 802.1X-Eigenschaften (Authentifizierung)
6
WLANAnleitungen
Rechenzentrum
Schritt 5: EAP-Konfiguration
Da der Studentenrechner kein Mitglied der RZ1-Domane ist, mussen die Eigenschaf-ten fur EAP bearbeitet werden. Die Prufung des Serverzertifikates deaktivieren und alsAuthentifizierungs-Methode Sicheres Kennwort (EAP-MSCHAP v2) wahlen.
Abbildung 5: Eigenschaften geschutztes EAP
7
WLANAnleitungen
Rechenzentrum
Schritt 6: Anmelde-Einstellungen
Kennwort konfigurieren und Haken bei Automatisch eigenen Windowsanmeldenamen undKennwort verwenden deaktivieren, da sich der Student an seinem Rechner lokal andersanmeldet, als er es in der RZ-Domane tate. Bei der ersten Verbindung erscheint eineWindows-Hinweisblase, die zur Eingabe der Zugangsdaten auffordert7.
Abbildung 6: EAP-MSCHAPv2-Eigenschaften
Schritt 7 - Einrichten von K:-Laufwerk
Der Zugriff auf das K-Laufwerk muß manuell eingerichtet werden. Hierzu Rechtsklickauf Arbeitsplatz, dort Netzwerklaufwerk verbinden wahlen und dann Laufwerk K: mit\\ntserv05.fh-biberach.de\temp-daten verbinden (s. Abb. 7). Dem Benutzernamen ist einRZ1\ voranzustellen (z.B. RZ1\w06p001).
Abbildung 7: Netzlaufwerk K:
7Sollte bei XP keine Aufforderung der Zugangsdaten beim Herstellen der Verbindung erscheinen, kannes helfen den Patch WindowsXP-KB893357-v2-x86-DEU einzuspielen
8
WLANAnleitungen
Rechenzentrum
Zugriff auf diverse Netzwerkresourcen
Folgende Resourcen lassen sich u.a. per WLAN nutzen. Eingabe in Explorer-Leiste bzw.dem Browser.
Bei der Frage nach den Zugangsdaten geben Sie bitte Ihre RZ-Logindaten an.
Fur Freigaben in der RZ1-Domane in der Form: RZ1\Loginname
Resource Typ NetzwerkpfadSemesterarbeiten SMB \\ntserv04\Semsesterarbeitentemp-daten (K-Server) SMB \\ntserv05\temp-datenILIAS-eLearning-Server HTTPS https://elearns02.fh-biberach.de
Terminalserver
Mit Hilfe des Remote Desktops haben Sie die Moglichkeit auf den Terminalserver zuverbinden und uber diesen Druckauftrage im RZ abzuschicken. Sie finden den RemoteDesktop unter: Start > Programme > Zubehor > Remotedesktopverbindung.
Als Server tragen Sie ein: rz-ts01.fh-biberach.de
ILIAS-Terminalserver
Ebenfalls uber Remote-Desktop konnen Sie zum ILIAS-Terminalserver verbinden undSkripte bestimmter Professoren drucken oder online betrachten. Ein Download/Speicherndieser Skripte ist jedoch nicht moglich.
Als Server tragen Sie ein: ilias-ts.fh-biberach.de
ILIAS-eLearning-Server
Eine Anleitung zur Einbindung von ILIAS als WebDAV-Ordner findet sich unter https://elearns02.fh-biberach.de/ilias3/webdav.php/HSBC/ILIAS?mount-instructions
Microsoft Exchange (eMail)
Neben dem direkten Zugriff uber Outlook Webaccess 8 (https://mserv01-cas.fh-biberach.de), konnen Sie auch uber beliebige eMail-Clients (Outlook, Thunderbird, etc.) Ihre eMailsabfragen9.
8Um die volle Funktionalitat zu erlangen, verwenden Sie bitte den Internet Explorer9Mehr Informationen zum Thema eMail finden sich unter http://www.hochschule-bc.de/web/
rechenzentrum/mail
9
WLANAnleitungen
Rechenzentrum
Einrichtung unter Android - Schritt fur Schritt
Schritt 1:Aktivieren von WLAN und wahlen der Hochschul-SSID
Aktivieren Sie bei Ihrem Android-Smartphone das WLAN. Dies konnen Sie uber zweiArten realisieren 10:
Entweder Sie ziehen die Schnellstart/Statusleiste vom oberen Rand mit dem Finger nachunten und selektieren dort das Symbol fur WLAN oder sie setzen einen Haken unterEinstellungen > Drahtlos und Netzwerke > WLAN-Einstellungen (Abb. 8).
Anschließend wahlen Sie das Netz der Hochschule Biberach mit der SSID HBC-802.1Xfur die weitere Konfiguration (Abb. 9).
Abbildung 8: WLANanktivieren
Abbildung 9: Hochschul-WLANwahlen
10Bitte beachten Sie, daß aufgrund unterschiedlicher Android-Versionen, Hersteller und Themes, dieDarstellung der einzelnen Abbildungen sich geringfugig unterscheiden konnen!
10
WLANAnleitungen
Rechenzentrum
Schritt 2: Einstellen der Verschlusselungs-Parameter und Zugangskennung
Wahlen Sie fur die Sicherheit 802.1x-EAP mit PEAP und MSCHAPv2 als Authentifizie-rungsmethode.
Als Identitat geben Sie Ihren RZ1-Benutzernamen an zusammen mit dem Paßwort, daßSie auch fur ILIAS oder die RZ-Rechnerpools verwenden.
Abbildung 10: Verschlusselungkonfigurieren
Abbildung 11: Zugangsdateneingeben
11
WLANAnleitungen
Rechenzentrum
Einrichtung unter Windows Mobile - Schritt fur Schritt
An dieser Stellen bedanken wir uns bei Matthias Bockh, der uns den Tipp mit demRegistry-Hack geliefert hat und uns ebenfalls die Screenshots und die CAB-Datei zurRegistry-Modifikation zur Verfugung gestellt hat.
Schritt 1: Anlegen des Netzes mit HBC-SSID
Ein neues WLAN mit der SSID HBC-802.1X anlegen und darauf achten, das es ein großesX ist (Abb. 12).
Abbildung 12: WLANangelegen
Abbildung 13: Verschlusselungkonfigurieren
Schritt 2: Einstellen der Verschlusselungs-Parameter
Fur die Authentifizierung WPA2 verwenden bzw. WPA falls ersteres nicht verfugbar istund bei der Verschlusselung AES auswahlen bzw. TKIP. Den Haken bei key automaticallyprovided setzen (Abb. 13).
12
WLANAnleitungen
Rechenzentrum
Schritt 3: Einstellen der 802.1x-Einstellungen
Den Haken bei IEEE 802.1x-Authentifizierung fur das Netzwerk setzen und den EAP-TypPEAP auswahlen (Abb. 14).
Abbildung 14: 802.1xkonfigurieren
Abbildung 15: Netzwerkverbinden
Schritt 4: Netzwerk auswahlen und verbinden
Naturlich laßt sich eine Verbindung zum Hochschul-WLAN nur aufbauen, wenn das Netz-werk auch verfugbar ist. Zum Zeitpunkt des Screenshots war dies leider nicht der Fall(Abb. 15).
Schritt 5: Registry patchen
Nun folgt der kniffligste Schritt beim Einrichten von WLAN unter einem Windows-PDA- das Patchen der Registry. Anders als unter Windows XP oder Vista, wo sich in einemKonfigurationsdialog das Prufen des Serverzertifikats abschalten laßt, bietet die abge-speckte Windowsversion diese Moglichkeit leider nicht an. Daher muß hier eine Ena-
ble_WLAN.cab auf den PDA transferiert werden (MemoryCard, ActivSync o.a.) und aufdem PDA dann ausgefuhrt werden. Die Enable_WLAN.cab findet man in der WLAN-Eckeauf dem Virenschleuse-Rechner (gegenuber RZ-Serviceraum).
13
WLANAnleitungen
Rechenzentrum
Allgemeine Hinweise fur Wireless-Tools von Drittanbietern bzw.andere Computerplattformen
Wichtig!
Viele interne Wireless-Karten lassen Sich uber einen Schalter oder eine Tastenkombinationaktivieren bzw. deaktivieren. Solange die Wirelesskarte nicht hardwaremaßig auf dieseWeise aktiviert wurde, wird kein Wirelessnetz gefunden!
Die Funktionstaste zum Aktivieren-/Deaktivieren ist oft eine Kombination aus Taste Fn
und einer F-Taste.
Folgende Einstellungen sind bei der Wirelesskonfiguration vorzunehmen:
SSID HBC-802.1X (Das ”X” muß groß sein!)Authentifizierung WPA2-Enterprise bzw. WPA-Enterprise (kein WPA-PSK!)Verschlusselung AES bzw. TKIP802.1X aktivierenEAP-Typ PEAPAuthentifizierungsmethode MS-CHAP v2Serverzertifikatuberprufen neinVerbinden wenn Netzkein Broadcast sendet ja
Folgendes betrifft nur Intel Wireless Tool:Roamingidentitat BenutzernameCisco-Extensions deaktivieren
WLAN-Sicherheit
Mit 802.1x wird kein PPTP-Tunnel mehr uber die WLAN-Strecke benotigt, da die Kom-munikation von vorne herein verschlusselt stattfindet und der Benutzer gegenuber derRZ1-Domane authentifiziert wird. Auch wenn WPA bzw. WPA2 noch als sicher gelten,findet in kurzen zyklischen Intervallen automatisch ein dynamischer Wechsel des verwen-deten WPA-Schlussels statt. Da der Zeitaufwand zum Knacken des WPA-Schlussels mitder heutigen Rechnerleistung großer als das Wechselintervall ist, ist ein Abhoren der ver-schlusselten WLAN-Verbindung nicht moglich.
14
WLANAnleitungen
Rechenzentrum
FAQ - Haufig gestellte Fragen
Neue Anmeldedaten (Benutzername oder Paßwort) lassen sich nichteingeben
Das Anmelde-Paßwort mußte geandert werden oder der Benutzername hat sich geandertund nun bietet Windows keine Moglichkeit diese Informationen zu aktualisieren. Die gelbeHinweisblase, deren Aktivierung den Anmeldedialog bringt, erscheint nicht.
Durch Loschen eines Zweiges in der Registry lassen sich alle 802.1x-Anmeldedaten lo-schen. Es sind dann jedoch alle Anmeldedaten fur 802.1x gesicherte Netzwerke geloschtund mussen neu eingegeben werden. WLAN, Wohnheim und ggf. anderweit eingerichtete802.1x gesicherte Netzwerke.
• Offnen der Registry: Start | Ausfuhren → regedit
• Loschen aller Unterzweige von:HKEY_CURRENT_USER\Software\Microsoft\EAPOL\UserEAPinfo
Trotz erfolgreicher Assoziierung und Authentifizierung am WLAN istkein Zugriff auf das Internet oder freigegebene Netzressourcenmoglich
Die IP-Adresse des WLAN-Adapters wurde manuell konfiguriert.
Die IP-Einstellungen lassen Sich uber die Konsole prufen:
• Start | Ausfuhren → cmd → ipconfig /all
• Einstellungen prufen: DHCP aktiviert muß auf ja stehen
Die IP-Adresse muß lauten: 10.5.x.xDas Gateway muß lauten: 10.5.0.1Der DNS-Server muß lauten: 10.5.0.1
Vergeben Sie nicht manuell eine statische IP-Adresse aus dem WLAN-IP-Pool der Hoch-schule! Sie schaffen sich so mehr Probleme, als Sie momentan vielleicht losen und riskierengeblockt zu werden.
15
WLANAnleitungen
Rechenzentrum
Trotz korrekter 802.1x-Parameter und EAP-PEAP klappt beiWindows Mobile die Authentifizierung am Campus-WLAN nicht
Windows Mobile / PocketPC versuchen auch beim EAP-Typ PEAP ein Zertifikatvom Au-thentifizierungsserver zu validieren. Eine Option zum Deaktivierender Serververifizierunggibt es nicht.
Uber eine kleine Anderung in der Registry von Windows Mobile / PocketPC ist es moglichdie Verifizierung des Serverzertifikats zu deaktivieren.
Hierzu muß folgender Registry-Schlussel geandert werden:
\HKLM\Comm\EAP\Extension\25\ValidateServerCert=dword:00000000
Anschließend sollte eine Anmeldung im WLAN mit den RZ-Accountdaten moglich sein.
Da spezielle Tools zur Registry-Anderung notig sind, gibt es einen fertigen Installer denman in der WLAN-Ecker der Virenschleuse (gegenuber RZ-Serviceraum) finden kann.
Welche Wirelesskarte fur das Hochschulnetz
Interne Intel-WLAN-Karten, wie die Intel 2100 oder 2200BG, funktionieren mit den ak-tuellen Treibern problemlos. Ansonsten findet man auf der WLAN-Seite der FH Ful-da (http://www.fh-fulda.de/index.php?id=4016) eine kleine Kompatibilitatsliste vonWireless-Karten.
16