Für die am weitesten verbreiteten Betriebssysteme/Mobilgeräte ist eine automatische Konfiguration mittels eduroam CAT (Configuration Assistant Tool) möglich. Das vom DFN (Deutsches Forschungsnetz) zur Verfügung gestellte Tool sorgt für die Konfiguration von eduroam mit den optimalen Sicherheitseinstellungen. Es werden hierfür, je nach Betriebssystem, Profildateien oder ausführbare Dateien zum Download angeboten.

Bitte achten Sie unbedingt darauf, dass Sie Profile und ausführbare Dateien zur Konfiguration von eduroam nur aus der vom kiz angegebenen Quelle installieren.

Stellen Sie hierfür sicher, dass Sie sich auf der Webseite des kiz befinden, bevor Sie den Link zu eduroam
CAT anklicken bzw. den QR-Code einscannen. Die eduroam-Webseite wird verschlüsselt ausgeliefert, der                  eduroam CAT
Browser sollte neben der URL (die mit www.uni-ulm.de beginnen muss) ein Schloss anzeigen.

eduroam CAT

Manuelle Einrichtung von eduroam

1. Öffnen Sie das Netzwerk- und Freigabecenter per Rechtsklick auf das WLAN-Symbol im Systray.

2. Klicken Sie im Netzwerk- und Freigabecenter auf "Neue Verbindung oder neues Netzwerk einrichten".

3. Wählen Sie als Verbindungsoption "Manuell mit einem Funknetzwerk verbinden" und klicken Sie anschließend auf "Weiter".

4. Geben Sie im folgenden Fenster bei Netzwerkname "eduroam" ein und wählen Sie als Sicherheitstyp "WPA2-Enterprise" (Wichtig: WPA2-Enterprise nicht WPA2-Personal!). Wählen Sie als Verschlüsselungstyp "AES" aus. Der Sicherheitschlüssel bleibt leer, das Häkchen bei "Diese Verbindung automatisch starten" ist optional. "Verbinden, selbst wenn das Netzwerk keine Kennung aussendet" sollte nicht ausgewählt werden. Klicken Sie anschließend auf "Weiter".

5. Klicken Sie auf "Verbindungseinstellungen ändern".

6. Wechseln Sie zum Reiter "Sicherheit" und wählen unter "Methode für die Netzwerkauthentifizierung" den Eintrag "Broadcom: EAP-TTLS" aus. Klicken Sie danach auf "erweiterte Einstellungen".

7. Wählen Sie bei "interne EAP-Methode" den Punkt "PAP" aus. Setzen Sie den Haken bei "Eingabeaufforderung für Benutzernamen und Kennwort".

8. Tragen Sie im Reiter Client-Identität bei "Anmelde- und Identitätsdaten" anonymous@uni-ulm.de ein.

9. Wechseln Sie zum Reiter "Serveridentität". Die Einstellungen auf diesem Reiter sind wichtig für den Schutz Ihrer Anmeldedaten und müssen unbedingt genau wie hier beschrieben konfiguriert werden.
Klicken Sie bei "Aussteller" auf "Auswählen...".

10. Wählen Sie bei "Zertifikattyp anzeigen:" "Stammzertifikate" aus. Wählen Sie in der Tabelle das Zertifikat "Deutsche Telekom Root CA 2" aus.

11. Tragen Sie bei "Servername" radius.uni-ulm.de ein und wählen Sie die Einstellung "Der Servername muss genau stimmen" aus. Bestätigen Sie mit "OK".

12. Bestätigen Sie den Dialog "Eigenschaften für Drahtlosnetzwerk eduroam" ebenfalls mit "OK".

13. Beim Verbinden mit eduroam werden die Logindaten abgefragt. Tragen Sie unter Benutzername Ihre kiz-E-Mail-Adresse ein, unter Kennwort das Passwort Ihres kiz-Basis-Accounts. Der Rechner sollte sich dann mit eduroam verbinden.

Manuelle Einrichtung von eduroam

1. Öffnen Sie das Netzwerk- und Freigabecenter per Rechtsklick auf das WLAN-Symbol im Systray.

2. Klicken Sie im Netzwerk- und Freigabecenter auf "Neue Verbindung oder neues Netzwerk einrichten".

3. Wählen Sie als Verbindungsoption "Manuell mit einem Funknetzwerk verbinden" und klicken Sie anschließend auf "Weiter".

4. Geben Sie im folgenden Fenster bei Netzwerkname "eduroam" ein und wählen Sie als Sicherheitstyp "WPA2-Enterprise" (Wichtig: WPA2-Enterprise nicht WPA2-Personal!). Wählen Sie als Verschlüsselungstyp "AES" aus. Der Sicherheitschlüssel bleibt leer, das Häkchen bei "Diese Verbindung automatisch starten" ist optional. "Verbinden, selbst wenn das Netzwerk keine Kennung aussendet" sollte nicht ausgewählt werden. Klicken Sie anschließend auf "Weiter".

5. Klicken Sie auf "Verbindungseinstellungen ändern".

 6. Wechseln Sie zum Reiter "Sicherheit" und wählen unter "Methode für die Netzwerkauthentifizierung" den Eintrag "Intel: EAP-TTLS" aus. Klicken Sie danach auf Einstellungen.

7. Wählen Sie bei "Authentifizierungsprotokoll" den Eintrag "PAP" aus. Unter "Benutzerberechtigungen" wählen Sie "Folgendes verwenden". In das Feld Benutzername tragen Sie Ihre kiz-E-Mal-Adresse ein, in die Felder "Kennwort" und "Kennwort bestätigen" das Passwort des kiz-Basis-Accounts. Im Feld "Roaming-Identität tragen Sie radius.uni-ulm.de ein.

Klicken Sie auf "Weiter".

8. Die Einstellungen in diesem Dialog sind wichtig für den Schutz Ihrer Anmeldedaten und müssen unbedingt genau wie hier beschrieben konfiguriert werden.

Setzen Sie den Haken bei "Serverzertifikat validieren". Wählen Sie unter "Zertifikataussteller" den Eintrag "Deutsche Telekom Root CA 2" aus.

Setzen Sie den Haken bei "Server- oder Zertifikatsnamen angeben" und tragen Sie radius.uni-ulm.de bei "Server- bzw. Zertifikatsname" ein. Wählen Sie nun noch "Servername muss genau mit dem angegebenen Eintrag übereinstimmen" aus.

Bestätigen Sie mit "OK".

9. Bestätigen Sie den Dialog "Eigenschaften für Drahtlosnetzwerk eduroam" ebenfalls mit "OK".

1. PROSet-Utility starten per Rechtsklick auf das PROSet-Symbol im Systray, WiFi konfigurieren.

2. Doppelklick auf eduroam.

3. Auf "Weiter" klicken.

4. Im nun folgenden Dialog ebenfalls auf "Weiter" klicken.

5. Die Sicherheitseinstellungen gemäß nebenstehendem Screenshot einstellen. Es müssen folgende Punkte ausgewählt werden:

• Unternehmenssicherheit
• WPA2-Unternehmen
• AES-CCMP
• TTLS
• PAP

Bei "Benutzername" ist die kiz-E-Mail-Adresse einzutragen, bei "Kennwort" und "Kennwort bestätigen" das kiz-Basis-Passwort.
In das Feld "Roaming-Identität" anonymous@uni-ulm.de eintragen.
Dann auf "Weiter" klicken.

6. Die Einstellungen in diesem Dialog sind wichtig für die Sicherheit Ihrer Anmeldedaten und müssen unbedingt genau wie hier beschrieben konfiguriert werden.

Setzen Sie den Haken bei "Serverzertifikat validieren". Wählen Sie unter "Zertifikataussteller" den Eintrag "Deutsche Telekom Root CA 2" aus.

Setzen Sie den Haken bei "Server- oder Zertifikatsnamen angeben" und tragen Sie radius.uni-ulm.de bei "Server- bzw. Zertifikatsname" ein. Wählen Sie nun noch "Servername muss genau mit dem angegebenen Eintrag übereinstimmen" aus.

Klicken Sie auf "Weiter".

7. Bestätigen Sie den nachfolgenden Dialog mit "OK".

Es empfiehlt sich, die Konfiguration per Tool aus der Registerkarte [Automat.Konfiguration] zu verwenden, da in der grafischen Benutzeroberfläche der Name des Authentifizierungsservers nicht konfiguriert werden kann.

Falls Sie sich trotzdem dazu entschließen, die manuelle Konfiguration zu verwenden, muss nach Abschluss der Konfiguration unbedingt die erzeugte Konfigurationsdatei (unter /etc/NetworkManager/system-connections) per Editor um einen Eintrag im Abschnitt [802-1x] ergänzt werden:

subject-match="radius.uni-ulm.de"


Manuelle Einrichtung:

1. Klicken Sie auf das Menu-Leisten-Icon und wählen sie eduroam
2. Wählen Sie im Authentifikationsdialog unter Wireless security WPA & WPA2 Enterprise
3. Setzen Sie Authentication auf Tunneled TLS
4. Setzen Sie Ihre Anonymous Identity (gemeint ist die Outer Identity) auf anonymous@uni-ulm.de
5. Wählen Sie als CA certificate das Zertifikat deutsche-telekom-root-ca-2.pem (ein Link darauf sollte sich bei den meisten Distributionen unter /etc/ssl/certs befinden)
6. Wählen Sie PAP als inner authentication
7. Geben Sie Ihre kiz-Zugangsdaten bei Username (Uni Ulm E-Mail-Adresse) und Password ein
8. Klicken Sie Connect, um eine Verbindung herzustellen

1. Laden Sie von der Registerkarte [Automat.Konfiguration] die Profildatei herunter. Die Installation des Profiles startet je nach Browser automatisch. Falls die Installation nicht automatisch startet, speichern Sie die Datei mit "Verknüpfte Datei laden" oder "Ziel speichern unter..." o. ä. (je nach verwendetem Browser) und klicken sie dann am Speicherort an.
   
   
   
2. Es erscheint ein "System Preferences"-Dialog mit dem Titel "Profiles"; klicken Sie hier "Continue"
   
   
   
   
   
   
   
   
   
3. Geben Sie Ihre kiz-Zugangsdaten (Uni Ulm E-Mail-Adresse und Passwort) ein
   
   
   
   
   
   
   
   
   
   
   
4. Wählen Sie anschließend "eduroam" im Wifi-Status Ihrer Menu Bar; eine Verbindung wird nun hergestellt
   
   
   
   
   
   
5. Die heruntergeladene Konfigurationsdatei können Sie zum Schluss wieder löschen

iOS-Geräte wie z. B. das iPhone und das iPad versuchen standardmäßig EAP-TTLS/MS-CHAPv2 und bieten keine Möglichkeit PAP auf dem Gerät selbst einzustellen.

Deshalb muss bei diesen Geräten ein Konfigurationsprofil verwendet werden. Zur Installation des Profils navigieren Sie im Mobile Safari diese Seite an, wählen die Registerkarte [Automat.Konfiguration] und folgen dem angegeben Link. Safari fragt Sie dann, ob Sie das Profil installieren möchten. Beantworten Sie dies mit ja. Beantworten Sie die folgende Frage nach Username und Passwort mit Ihren kiz-Zugangsdaten. Hierbei muss als Username die vollständige E-Mail-Adresse angegeben werden.

Vor Installation eines neuen Eduroam-Profils muss ein evtl. bereits bestehendes Profil gelöscht werden. 

Es empfiehlt sich, die Konfiguration per eduroam CAT App mit dem Profil aus der Registerkarte [Automat.Konfiguration] vorzunehmen, da in der Benutzeroberfläche von Android der Name des Authentifizierungsservers nicht konfiguriert werden kann.

Wenn Sie sich gegen die Konfiguration per App entscheiden, können Sie gemäß folgender Anleitung vorgehen, gehen aber dadurch das Risiko ein, dass Ihre Benutzerdaten abgegriffen werden können.
Falls nicht einmal die Überprüfung des Zertifikats konfiguriert werden kann, sollten Sie auf dem Gerät eduroam keinesfalls benutzen!

Die Android-Plattform existiert in mehreren Ausprägungen: Eine von Google ausgelieferte Version, im Folgenden Vanilla genannt, sowie herstellerspezifische Versionen, sog. Brandings.

Vanilla

Die von Google in der aktuellen Version ausgelieferte Android-Variante kann wie nachfolgende beschrieben für eduroam konfiguriert werden:

Root-Zertifikat der Deutschen Telekom installieren

Sie müssen zunächst das Root-Zertifikat der Deutschen Telekom in ihren persönlichen Zertifikatspeicher installieren.

1. Öffnen Sie den Webbrowser und laden Sie das Zertifikat von folgender URL herunter:
   https://www.pki.dfn.de/fileadmin/PKI/zertifikate/deutsche-telekom-root-ca-2.crt
2. Optional: Falls Sie noch keinen persönlichen Zertifikatspeicher haben, wird ein solcher angelegt und Sie werden nach einem Passwort für den Zertifikatspeicher gefragt. Beachten Sie, dass dieses mindestens acht Zeichen lang sein muss.
3. Geben Sie dem Zertifikat einen Namen, z.B.: "Telekom Root" (Bild 1).
   Beachten Sie, dass unter gewissen Android-Distributionen bereits ein Zertifikat mit dem Namen „Deutsche Telekom Root CA2“ existiert. Dies ist jedoch für VPN und Apps vorgesehen (Bild 2), nicht für WLAN. Geben Sie dem Zertifikat darum einen leicht abgeänderten Namen.
4. Je nach Version fragt Android nach einem Verwendungszweck für das Zertifikat. Hier ist unbedingt die Einstellung "WLAN" auszuwählen (Bild 3).
5. Anschließend werden Sie nach einem Passwort oder Muster gefragt, je nach Entsperreinstellung ihres Telefons. Geben Sie dieses ein. Falls Sie dieses noch nicht angelegt haben sollten Sie dies für die Installation und Nutzung von Eduroam erstellen und bestehen lassen. Ein solches ist für die Verwendung von Eduroam zwingend notwendig.

Anlegen der Eduroam-Verbindung

1. Navigieren Sie auf ihrem Telefon zu den WLAN-Einstellungen (Menü -> Einstellungen -> Drahtlose Netzwerke -> WLAN-Einstellungen).
2. Falls eduroam an ihrem Aufenthaltsort verfügbar ist, wird es unter WLAN-Netze aufgelistet. Klicken Sie darauf.
3. Setzen Sie die Einstellungen wie in Bild 4 dargestellt.
4. Klicken Sie auf "Verbinden"

Kein Zertifikat

Bei manchen Android-Geräten, vor allem älteren (z.B. HTC Sense), ist es nicht möglich ein Zertifikat an dieser Stelle einzubinden. Eine Verbindung mit dem Netzwerk Eduroam ist hier zwar möglich aber riskant.
Denn ohne das Zertifikat erfolgt keine Authentizitätsprüfung gegenüber des Servers, was ein Sicherheitsrisiko darstellt, da ein Angreifer mit einem Laptop sich selbst als Access-Point und Authentifikationsserver ausgeben kann und somit Ihren Benutzernamen und das Passwort mitschneiden kann.