Direkt zum Inhalt
 
 
Die Bannergrafik des HRZ
 
  Startseite  
 
Sie sind hier:» Universität » HRZ » Account & Internet » WLAN-Zugang » Anleitungen » WLAN unter Linux
  • Print this page
  • Sitemap
  • create PDF file

WLAN-Zugang unter Linux

Dieser Text beschreibt in Stichpunkten die Konfiguration des WLAN-Zugangs an der Universität Marburg unter der zurzeit (Anfang 2008) aktuellen (K)ubuntu Linux-Distribution 7.10 ("Gutsy Gibbon"). Die beschriebene Vorgehensweise sollte auch auf andere aktuelle Linux-Distributionen übertragbar sein. Die abgespeckte Bedienoberfläche des EeePC von Asus sieht keine WLAN-Authentifizierung via WPA Enterprise vor. Für den Zugang zum Uni-WLAN muss der kundige und mutige Benutzer daher zunächst "per Hand" die entsprechende Software nachinstallieren, vgl. z.B. http://wiki.eeeuser.com/wpa_default_xandros (ungetestet!).

Die grundlegende Funktionsfähigkeit des WLAN-Netzzugangs durch geeignet konfigurierte Hardware-Treiber wird hier vorausgesetzt. Das HRZ kann aus Zeitgründen hierfür keinen Support anbieten. Die Chancen stehen jedoch nicht schlecht, dass bei nicht allzu exotischer Hardware der WLAN-Zugang nach der Installation "out-of-the-box" funktioniert, so auch bei dem IBM ThinkPad T42, der hier zum Einsatz kam. In der Nähe eines WLAN-Hotspots der Universität sollten also die beiden Funknetze UMRnet_students und UMRnet_staff sichtbar sein (vgl. die entsprechenden Screenshots unter Gnome und KDE).

Im Vergleich zu der typischen WPA-Konfiguration eines WLAN-Heimnetzwerks (WPA Personal) ist die Authentifizierung beim WLAN-Zugangs der Universität Marburg (WPA Enterprise) deutlich komplexer. Beim Heimnetzwerk werden alle zugangsberechtigten WLAN-Geräte über ein gemeinsames Passwort authentifiziert; diese Methode lässt sich nicht sinnvoll auf größere Maßstäbe übertragen. Stattdessen muss sich beim WLAN-Zugang an der Universität jeder Beteiligte durch sein individuelles Username/Passwort-Paar ausweisen; der Authentifizierungs-Server (Radius-Server) seinerseits weist sich durch ein digitales Zertifikat aus. Man bewegt sich mit diesem Authentifizierungs-Schema damit abseits des Massenmarktes auf weniger ausgetretenen Pfaden: auch wenn der WLAN-Zugang unter WPA(2) zuhause funktioniert, kann es beim WLAN-Zugang an der Uni hakeln. In der Tat funktionierte die hier beschriebene Konfiguration mit dem Network Manager nicht unter der Vorgänger-Distribution Ubuntu 7.04 ("Feisty Fawn").

Konfiguration mit dem Network Manager

Damit der WLAN-Client das digitale Zertifikat des Authentifizierungs-Servers überprüfen kann, muss zunächst das entsprechende Wurzelzertifikat der Zertifizierungs-Hierarchie, deutsche-telekom-root-ca-2.pem installiert werden. Dies geschieht dadurch, dass man diese Datei nach dem Download an eine geeignete Stelle kopiert: entweder systemweit unter /etc/ssl/certs/ (root-Rechte erforderlich) oder irgendwo ins eigene Home-Directory. Die passenden Datei-Zugriffsrechte sind lesbar (aber nicht schreibbar) für alle.

Unter modernen Linux-Distributionen übernimmt üblicherweise der Network Manager die Konfiguration der WLAN Interfaces. Als grafische Benutzeroberfläche kommt unter Gnome (Ubuntu) das Programm network-manager-gnome, unter KDE (Kubuntu) der network-manager-kde zum Einsatz. Der network-manager-gnome Version 0.6.5 hat allerdings einen Bug: er schreibt bei der Authentifizierung über WPA Enterprise das Passwort und den Username im Klartext ins Konfigurationsfile unter ~/.gconf/system/networking/wireless/networks/UMRnet_(students|staff)/%gconf.xml . Dieser Bug ist unter den Nummern 41134 (Ubuntu) bzw. 359541 (Gnome) dokumentiert und ist vermutlich in network-manager-gnome Version 0.7.0. bereinigt. Der network-manager-kde ist von dem Bug nicht betroffen und schreibt diese Daten verschlüsselt ins KDE Wallet. Dementsprechend muss man beim WLAN-Verbindungsaufbau unter Kubuntu dann jeweils die Passphrase des KDE Wallet angeben.

Man kann unter Ubuntu die KDE-Oberfläche Kubuntu (Pakete: kubuntu-desktop und kde-i18n-de) parallel zu Gnome installieren und dann jeweils wahlweise eine Gnome- oder KDE-Sitzung starten.

Es folgen nun auf zwei separaten Seiten die Screenshots für die Einrichtung des WLAN-Zugangs unter den beiden verschiedenen grafischen Oberflächen.

Anm.: Bei mehreren Nutzern trat das Problem auf, dass die Konfiguration, also die Eingaben im Networkmanager-Fenster, mehrmals (3 - 7x) erfolgen mussten, bis die Eingaben gespeichert und die Verbindung hergestellt wurde.

(alternative) Konfiguration mit wpa_supplicant

Wenn die Konfiguration mit dem Network Manager fehlschlägt, dann können Sie auch versuchen, den Zugang über den textorientierten wpa_supplicant einzurichten. Dies ist allerdings nichts, woran sich ein Linux-Neuling versuchen sollte. Daher geben wir hier nur das Schema einer passenden wpa_supplicant.conf Konfigurationsdatei an (Anmerkung: Sie finden - uniintern - eine ausführliche Beschreibung der Installation auf einem IBM Thinkpad unter Fedora Core auf ftp://ftp.uni-marburg.de/pub/contrib/umrnetWlan/linux.html. Diese Dokumentation wurde von einem Benutzer freundlicherweise zur Verfügung gestellt, im HRZ jedoch nicht getestet). Auch dieser Weg hat offenkundig den Nachteil, dass Username und Passwort im Klartext abgespeichert werden; deshalb sollte zumindest auf geeignete Datei-Zugriffsberechtigungen geachtet werden. Bitte achten Sie außerdem darauf, dass nicht gleichzeitig der Network Manager und wpa_supplicant sich an der Konfiguration des WLAN-Interfaces versuchen: Dies kann recht überraschende Effekte hervorrufen.

wpa_supplicant.conf zum Zugang für UMRnet_students:
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=1
fast_reauth=0
network={
       ssid="UMRnet_students"
       identity="Username@students.uni-marburg.de"
       password="MeinPasswort"
       proto=WPA2
       group=TKIP
       pairwise=CCMP
       eap=TTLS
       key_mgmt=WPA-EAP
       ca_cert="/etc/ssl/certs/deutsche-telekom-root-ca-2.pem"
       anonymous_identity="anonymous"
       phase2="auth=PAP"
       priority=2
}
Das Root-Zertifikat (hier: deutsche-telekom-root-ca-2.pem) kann je nach genutzter Linux-Distribution ggf. auch einen anderen Dateinamen tragen (z.B. Deutsche_Telekom_Root_CA_2.pem). Eine eindeutige Identifikation ist über den Hash-Wert "4e18c148" möglich; das Kommando
openssl x509 -subject_hash -noout < deutsche-telekom-root-ca-2.pem
ergibt als Ausgabe den Hash-Wert "4e18c148".

Zuletzt aktualisiert: 09.12.2011 · Thomas Gebhardt

 
 
Hochschulrechenzentrum

Hochschulrechenzentrum, Hans-Meerwein-Straße, 35032 Marburg
Tel. +49 6421 28-28282, Fax +49 6421 28-26994, E-Mail: helpdesk@hrz.uni-marburg.de

Twitter-Logo

URL dieser Seite: https://www.uni-marburg.de/hrz/internet/wlan/anleitungen/linux-alt

Impressum | Datenschutz