Allgemeines zum Eduroaming

Mit eduroam haben Angehörige der Universität Ulm die Möglichkeit, sich weltweit an anderen Universitäten und wissenschaftlichen Einrichtungen mit ihrem kiz-Account in das dortige WLAN einzuloggen. Hierzu müssen Sie ihre WLAN-Konfiguration nach den unten angegebenen Vorgaben einstellen. Eine Übersicht über die an eduroam teilnehmenden Einrichtungen finden Sie unter http://www.eduroam.org.

Als Authentifikationsverfahren bieten wir im Rahmen von Eduroam WPA2-Enterprise mit EAP-TTLS an. Als sogenanntes inneres Authentifikationsverfahren kommt hier PAP zum Einsatz. Unser Authentifikations-Server liefert beim Aufbau des TTLS-Tunnels ein Zertifikat, welches voraussetzt, dass ihr Gerät das Root-Zertifikat der Deutschen Telekom (DTAG-Root-CA-2) kennt und diesem vertraut.

Die eduroam-Konfiguration sollten Sie unbedingt hier vor Ort an der Universität Ulm vornehmen und auf ihre Funktionstüchtigkeit testen.
Dies ist die Voraussetzung, dass Sie sich an anderen Orten - ohne die Konfiguration zu ändern - mit eduroam am Netzwerk anmelden können.

Generelle Einstellungen für Angehörige der Uni Ulm

Netzwerkname (SSID)eduroam
SicherheitWPA2 Enterprise
AuthentifizierungEAP-TTLS
VerschlüsselungAES
Root-CA-ZertifikatDTAG-Root-CA-2
innere AuthentifizierungPAP
äußere Identitätanonymous@uni-ulm.de
innere Identität (Uni Ulm E-Mail-Adresse)max.muster@uni-ulm.de
PasswortPasswort des kiz Basis-Accounts

Helpdesk

Kontaktzeiten Mo - Fr  8 - 18 Uhr
Telefon +49 (0)731/50-30000
Öffnet ein Fenster zum Versenden einer E-Mailhelpdesk(at)uni-ulm.de
Web-Formular für Anfragen
[mehr]

Service-Points des kiz

Eduroam Client Konfiguration

Windows

Windows 8

Windows 8

Windows 8 unterstützt EAP-TTLS nativ, hat aber Probleme eduroam über ein Zertifikat eindeutig zu identifizieren. Damit keine Sicherheitslücken entstehen, empfiehlt das kiz dringend eduroam auch bei Windows 8 richtig zu konfigurieren.

Hierfür gibt es zwei Möglichkeiten: Die erste richtet Ihnen eduroam mit einem Skript vollautomatisch ein. Falls Sie dies nicht wünschen oder Probleme entstehen, können Sie mit Möglichkeit 2 eduroam auch manuell einrichten.

Möglichkeit 1: Einrichtung von eduroam mit Skript

  1. Laden Sie diese Initiates file downloadzip-Datei herunter und entpacken Sie sie.
  2. In der zip-Datei ist ein Batchskript (bat-Datei) und eine xml-Datei enthalten. Diese sollten im selben Verzeichnis liegen.
  3. Klicken Sie doppelt auf das Batchskript mit dem Namen "eduroamConfigure".
  4. Warten Sie einen kurzen Augenblick. Klicken Sie nun auf das WLAN-Symbol und wählen Sie das eduroam WLAN aus. Geben Sie anschließend Ihre kiz-E-Mail-Adresse als Benutzername und das kiz-Passwort als Kennwort ein. Wichtig: Sie müssen die E-Mail-Adresse angeben, nicht Ihren Account-Namen, da Sie sonst nicht der Universität Ulm zugeordnet werden können.

Möglichkeit 2: Manuelle Einrichtung von eduroam

  1. Laden Sie zuerst das Opens external link in new windowZertifikat herunter und installieren Sie es.
  2. Wechseln Sie auf den Desktop. Klicken Sie mit Rechtsklick auf das WLAN-Symbol und öffnen Sie das "Netzwerk- und Freigabecenter".



  3. Klicken Sie im Netzwerk- und Freigabecenter auf "Neue Verbindung oder neues Netzwerk einrichten".









  4. Wählen Sie als Verbindungsoption "Manuell mit einem Funknetzwerk verbinden" und klicken Sie anschließend auf "Weiter". Geben Sie im folgenden Fenster Netzwerkname "eduroam" ein und wählen Sie als Sicherheitstyp "WPA2-Enterprise" (Wichtig: WPA2-Enterprise nicht WPA2-Personal!). Wählen Sie als Verschlüsselungstyp "AES" aus. Der Sicherheitschlüssel bleibt leer, das Häkchen bei "Diese Verbindung automatisch starten" ist optional. "Verbinden, selbst wenn das Netzwerk keine Kennung aussendet" sollte nicht ausgewählt werden. Klicken Sie anschließend auf "Weiter".





  5. Klicken Sie nun auf "Verbindungseinstellungen ändern". Wählen Sie im nun erscheinenden Fenster den Reiter "Sicherheit" und wählen Sie "Microsoft: EAP-TTLS" aus. Klicken Sie danach auf Einstellungen.


















  6. Setzen Sie im nun folgenden TTLS-Eigenschaftenfenster ein Häkchen bei "Identitätschutz aktivieren" und geben Sie "anonymous" ein. Geben Sie bei "Verbindung mit folgenden Servern herstellen" den Wert "radius.uni-ulm.de" ein und wählen Sie "Deutsche Telekom Root CA2" als "Vertrauenswürdige Stammzertifizierungsstelle" aus. Setzen Sie anschließend das Häkchen bei "Keine Benutzeraufforderung, wenn der Server nicht autorisiert werden kann". Danach als Client-Authentifizierung "EAP-fremde Authentifizierungsmethode auswählen" anklicken und "Unverschlüsseltes Kennwort (PAP)" auswählen. Schließen Sie nun alle Fenster, indem Sie auf "OK" klicken.
  7. Jetzt kann man mit einem Klick auf das WLAN-Symbol das eben angelegte Netzwerk "eduroam" auswählen. Man wird dann nach Benutzername und Passwort gefragt. Geben Sie hier Ihre kiz-E-Mail-Adresse und das kiz-Passwort ein. Wichtig: Sie müssen die E-Mail-Adresse angeben, nicht Ihren Account-Namen, da Sie sonst nicht der Universität Ulm zugeordnet werden können. Der Computer verbindet sich nun automatisch mit dem Internet.
Windows Vista / 7

Windows Vista / 7

Microsoft liefert mit Windows leider keine native Unterstützung für eduroam mit. Man muss entweder einen Treiber des WLAN-Kartenherstellers verwenden, der die von eduroam verwendete Authentifizierung unterstützt, oder einen sogenannten WPA-Supplikanten. Um bei Windows Vista oder Windows 7 eduroam verfügbar zu machen, empfiehlt es sich den SecureW2-Client zu verwenden. Dieser ist in der neusten Version kostenpflichtig, aber bis Version 4.1.0 wurde diese Software unter der GPLv2-Lizenz frei vertrieben. Laden Sie zuerst den Client herunter: Initiates file downloadOneClickInstaller Windows Vista/7

1. Wenn der Download fertig ist, entpackt der Installer einen Ordner "eduroam" auf den Desktop. In diesem sind die Installationsdateien und der eigentliche Installer. Wenn man diesen startet, installiert sich der SecureW2-Client und fragt nach kiz-E-Mail-Adresse und kiz-Passwort.

 

 

2. Wenn der Vorgang abgeschlossen ist, dann sollte der PC neustarten. Anschließend muss man das Netzwerk- und Freigabecenter öffnen.

 

 

 

 

3. Öffnen Sie im Netzwerk- und Freigabecenter "Drahtlosnetzwerk verwalten".

 

 

 

 

 

 

4. Hier sollte nun ein Netzwerk vorhanden sein, dass "eduroam" heißt. Falls nicht, muss man auf die Schaltfläche "Hinzufügen" klicken. Falls eduroam schon vorhanden ist, machen Sie bitte mit Schritt 6 weiter.

 

 

 

 

 

5. Nachdem man auf Hinzufügen geklickt hat, erscheint folgender Dialog: "Geben Sie Informationen für das Drahtlosnetzwerk ..." (siehe Bild rechts). Hier müssen die Einstellungen, wie auf dem Bild zu sehen, vorgenommen werden.

 

 

 

 

 

6. Anschließend das Netzwerk- und Freigabecenter wieder schließen, rechts auf eduroam klicken und "Eigenschaften" auswählen.

 

 

 

 

 

 

7. Es erscheint das Eigenschaftsfenster vom Netzwerk eduroam. Hier wählt man den Reiter "Sicherheit" aus und aus dem Dropdown-Menü SecureW2:SecureW2 EAP-TTLS als Netzwerkauthentifizierungs-Methode. Klicken Sie dann auf "Einstellungen".

 

 

 

 

 

 

 

 

8. Es erscheint ein Dialog von SecureW2 in dem man als Profil "eduroam" auswählen muss. Anschließend bestätigt man alles mit OK und verbindet mit eduroam. Fertig!

Nach oben

Windows 7 Intel

Windows 7 Intel

Intel liefert mit seinen WLAN-Treibern Unterstützung für EAP-TTLS/PAP mit.

Nach oben

Windows 7 Dell/Broadcom

Windows 7 Dell/Broadcom

  1. Wählen Sie PAP als "Interne EAP-Methode"
  2. Wählen Sie den Karteireiter "Client-Identität" und setzten Sie das Feld "Anmelde- oder  Identitätsdaten" auf anonymous@uni-ulm.de

Nun können Sie sich über das WLAN-Taskleistensymbol verbinden.

Nach oben

Windows XP

Windows XP

Microsoft liefert mit Windows leider keine native Unterstützung für eduroam mit. Man muss entweder einen Treiber des WLAN-Kartenherstellers verwenden, der die von eduroam verwendete Authentifizierung unterstützt, oder einen sogenannten WPA-Supplikanten. Um bei Windows Vista oder Windows 7 eduroam verfügbar zu machen, empfiehlt es sich den SecureW2-Client zu verwenden. Dieser ist in der neusten Version kostenpflichtig, aber bis Version 4.1.0 wurde diese Software unter der GPLv2-Lizenz frei vertrieben.
Laden Sie zuerst den Client herunter: Initiates file downloadOneClickInstaller Windows XP

1. Nachdem der Download fertig ist, entpackt der Installer einen Ordner "eduroam" auf den Desktop. In diesem sind die eigentlichen Installationsdateien enthalten. Während der Installation fragt der SecureW2-Client nach kiz-E-Mail-Adresse und kiz-Passwort.

 

 

2. Öffnen Sie anschließend das Startmenü, klicken Sie rechts auf "Netzwerkumgebung" und wählen Sie "Eigenschaften" aus.

 

 

 

 

 

 

 

 

3. Anschließend auf "Drahtlose Netzwerkverbindung" rechtsklicken und auch hier wieder "Eigenschaften" auswählen.

 

 

 

 

 

 

4. In folgenden Dialog wählt man den Reiter "Drahtlosnetzwerke" aus und klickt bei "Bevorzugte Netzwerke" auf eduroam und dann auf Eigenschaften.

 

 

 

 

 

 

 

 

 

 

5. Hier müssen Sie die auf dem Bild zu erkennenden Einstellungen vornehmen.

 

 

 

 

 

 

 

 

 

 

 

 

6. Klicken Sie anschließend unter dem Reiter "Authentifizierung" auf "Eigenschaften".

 

 

 

 

 

 

 

 

 

7. Im Dropdown-Menü muss man eduroam als Profil auswählen. Bestätigen Sie alles mit OK und verbinden Sie mit eduroam. Fertig!

Nach oben

Linux

Linux Networkmanager

Linux Networkmanager

 Die Konfiguration des Network Managers gestaltet sich sehr einfach:

  1. Klicken Sie auf das Menu-Leisten-Icon und wählen sie eduroam
  2. Wählen Sie im Authentifikationsdialog unter Wireless security WPA & WPA2 Enterprise
  3. Setzen Sie Authentication auf Tunneled TLS
  4. Setzen Sie Ihre Anonymous Identity (gemeint ist die Outer Identity) auf anonymous@uni-ulm.de
  5. Wählen Sie als CA certificate das Zertifikat deutsche-telekom-root-ca-2.pem (ein Link darauf sollte sich bei den meisten Distributionen unter /etc/ssl/certs befinden)
  6. Wählen Sie PAP als inner authentication
  7. Geben Sie Ihre kiz-Zugangsdaten bei Username (Uni Ulm E-Mail-Adresse) und Password ein
  8. Klicken Sie Connect, um eine Verbindung herzustellen

Nach oben

Linux wpa_supplicant

Linux wpa_supplicant

Wenn Sie die Authentifikation mit Hilfe des wpa_supplicants vornehmen möchten, können Sie die von uns zur Verfügung gestellt Vorlage verwenden und anpassen (siehe Registerkarte Konfigurationsdateien).

Nach oben

Mac OS

Mac OS X 10.6 - Snow Leopard

Mac OS X 10.6 - Snow Leopard

Es muss zunächst ein 802.1X User Profile für Eduroam angelegt werden. Gehen Sie dazu wie folgt vor:

  1. System Preferences -> Internet & Wireless -> Network -> Airport
  2. Stellen Sie sicher, dass Aiport aktiviert ist
  3. Klicken Sie auf Advanced und wählen Sie den 802.1x-Karteireiter
  4. Klicken Sie hier auf das Pluszeichen links unten, um ein neues User Profile hinzu zufügen
  5. Geben Sie Ihre kiz-Zugangsdaten bei Username (Uni Ulm E-Mail-Adresse) und Password ein
  6. Deaktivieren Sie unter Authentication PEAP, so dass nur noch TTLS aktiviert ist
  7. Selektieren Sie TTLS und klicken sie Configure...
  8. Wählen Sie als TTLS inner Authentication PAP
  9. Setzen Sie Ihre Outer Identity auf anonymous@uni-ulm.de
  10. Klicken Sie OK
  11. Setzen Sie (im selben Dialog) die Auswahlbox Wireless Network auf eduroam
  12. Klicken Sie OK
  13. Klicken Sie Apply
  14. Verbinden Sie sich nun zu eduroam mit Hilfe des AirPort-Icons in der Menu Bar.
  15. Wählen Sie im darauf erscheinenden Dialog unter 802.1X das soeben erstellte eduroam User Profile (Username und Passwort sollten dadurch automatisch ausgefüllt werden)
  16. Nach einem Klick auf OK sollte eine Verbindung hergestellt werden

Nach oben

Mac OS X 10.7 - Lion

Mac OS X 10.7 - Lion

Um sich mit Mac OS X 10.7 Lion mit eduroam verbinden zu können, muss das iOS-Konfigurationsprofil des kiz installiert werden. Gehen Sie wie folgt vor:

  1. Wählen Sie die Registerkarte Konfigurationsdateien (s.o.)
  2. Klicken Sie mit Rechtsklick (Option-Klick) auf den Link iOS-Eduroam.mobileconfig und wählen Sie "Save Linked File to Downloads"
  3. Machen Sie die heruntergeladene Datei im Finder ausfindig und klicken Sie doppelt darauf
  4. Es erscheint ein "System Preferences"-Dialog mit dem Titel "Profiles"; klicken Sie hier "Continue"
  5. Geben Sie nun die Daten Ihres kiz-Basis-Accounts ein
  6. Wählen Sie anschließend "eduroam" im Wifi-Status Ihrer Menu Bar; eine Verbindung wird nun hergestellt
  7. Die heruntergeladene Konfigurationsdatei können Sie zum Schluss wieder löschen

Nach oben

iOS-Geräte

iOS - Geräte

iOS-Geräte wie z. B. das iPhone und das iPad versuchen standardmäßig EAP-TTLS/MS-CHAPv2 und bieten keine Möglichkeit PAP auf dem Gerät selbst einzustellen. Deshalb bieten wir für diese Geräte ein Konfigurationsprofil an. Zur Installation navigieren Sie im Mobile Safari diese Seite an, wählen die Registerkarte Konfigurationsdateien (s. o.) und klicken auf den iOS-Download-Link. Safari fragt Sie dann, ob Sie das Profil installieren möchten. Beantworten Sie dies mit ja. Beantworten Sie die folgende Frage nach Username und Passwort mit Ihren kiz-Zugangsdaten. Hierbei muss als Username die vollständige E-Mail-Adresse angegeben werden.

Weitere iPhone-Konfigurationsprofile (z.B. Uni-Adressbuch/LDAP, Webmail/SMTP) finden Sie hier.

Nach oben

Android

Android

Die Android-Plattform existiert in mehreren Ausprägungen: Eine von Google ausgelieferte Version, im Folgenden Vanilla genannt, sowie herstellerspezifische Versionen, sog. Brandings, wie z.B. HTC Sense.

Vanilla

Die von Google ausgelieferte Android-Variante, aktuell in Version 2.3.4 (Codename: Gingerbread), kann wie im nebenstehenden Bild für eduroam konfiguriert werden. Gehen Sie dazu wie folgt vor:

Root-Zertifikat der Deutschen Telekom installieren

Sie müssen zunächst das Root-Zertifikat der Deutschen Telekom in ihren persönlichen Zertifikatspeicher installieren.

  1. Öffnen Sie den Webbrowser und laden Sie das Zertifikat von folgender URL herunter:
    https://www.pki.dfn.de/fileadmin/PKI/zertifikate/deutsche-telekom-root-ca-2.crt
  2. Optional: Falls Sie noch keinen persönlichen Zertifikatspeicher haben, wird ein solcher angelegt und Sie werden nach einem Passwort gefragt. Beachten Sie, dass dieses mindestens acht Zeichen lang sein muss.
  3. Geben Sie dem Zertifikat einen Namen, z.B.: "Telekom Root CA 2".
Anlegen der Eduroam-Verbindung
  1. Navigieren Sie auf ihrem Telefon zu den WLAN-Einstellungen (Menü -> Einstellungen -> Drahtlose Netzwerke -> WLAN-Einstellungen).
  2. Falls eduroam an ihrem Aufenthaltsort verfügbar ist, wird es unter WLAN-Netze aufgelistet. Klicken Sie darauf.
  3. Setzen Sie die Einstellungen wie im Bild rechts dargestellt. Falls Sie nach dem Wählen der EAP-Methode TTLS keine Zertifikatseinstellmöglichkeiten mehr vorfinden, haben Sie wahrscheinlich eine herstellerspezifische Android-Variante (s.u.).
  4. Klicken Sie auf "Verbinden"

HTC Sense

HTC Sense kann wie die Google Vanilla Android-Variante konfiguriert werden. Es bietet (in der Version 2.1) aber keine Auswahlmöglichkeit für Zertifikate. Ihr Telefon überprüft bei der Authentisierung folglich die Identität des Servers nicht, was ein Sicherheitsrisiko darstellt, da ein Angreifer mit einem Laptop sich als Access-Point und Authentifikationsserver ausgeben und Ihren Benutzernamen und Ihr Passwort mitschneiden kann. Eine Lösung für dieses Problem ist uns derzeit nicht bekannt.

Konfigurationsdateien