Rechenzentrum


Navigation und Suche der Universität Osnabrück


Hauptinhalt

Topinformationen

Einrichten/Anmelden am eduroam-WLAN unter Windows 10 mit einer gesicherten Verbindung

Das Rechenzentrum empfiehlt die Nutzung des eduroam-WLANs über eine gesicherte Verbindung, da die beteiligten Zertifikate auf ihre Vertrauenswürdigkeit geprüft werden können. Ohne diesen Test auf Vertrauenswürdigkeit, das heißt, ohne die Verwendung des Root-Zertifikates (T-TeleSec GlobalRoot Class 2) sind Missbrauchsszenarien denkbar, die potentielle Angreifer nutzen könnten, um Nutzerdaten auszuspionieren.

Automatische Konfiguration

Der leichteste und bequemste Weg, eine gesicherte, vertrauenswürdige Verbindung mittels des "T-TeleSec GlobalRoot Class 2" Zertifikates zum eduroam herzustellen, ist die Nutzung des zum Betriebssystem passenden CAT-Installers. Die Installer-Datei muss zunächst gepeichert werden. Über einen Doppelklick auf die Datei startet eine Installationsroutine, die alle benötigten Konfigurationsschritte automatisch ausführt. Während der Installation werden die persönlichen Zugangsdaten für das eduroam-WLAN verlangt.

Diese lauten:
Kennung: Benutzerkennung@uni-osnabrueck.de bzw. für Angehörige der Hochschule Benutzerkennung@hs-osnabrueck.de.
Passwort: Das zur Benutzerkennung gehörende Passwort.

Die angegebenen Authentifizierungsdaten werden zum Profil gespeichert und das Endgerät verbindet sich ab jetzt immer automatisch mit dem WLAN, sobald ein eduroam-Access Point in der Nähe ist. Das heißt, der Benutzer wird nicht mehr nach seinen Authentifizierungsdaten gefragt.

Alternativ kann der Zugang zum eduroam mittels des "T-TeleSec GlobalRoot Class 2" Zertifikates auch manuell eingerichtet werden. Das manuelle Einrichten einer vertrauenswürdigen, gesicherten Verbindung unter Windows 10 wird im Folgenden beschrieben.

Manuelle Konfiguration

WLAN-Profil anlegen und konfigurieren

Um das eduroam-WLAN unter Windows 10 manuell einzurichten, wird zuerst aus der Taskleiste das WLAN-Symbol selektiert. Dort sind die "Netzwerk- und Interneteinstellungen" auszuwählen.

Win10

Anschließend wird aus dem Menü WLAN der Punkt "Netzwerk- und Freigabecenter" ausgewählt.

Win10

Hier wird der Menüpunkt "Neue Verbindung oder neues Netzwerk einrichten" gewählt.

Win10

Als Verbindungsoption wird "Manuell mit einem Drahtlosnetzwerk verbinden" bestimmt und mit Weiter bestätigt.

Win10

Das nächste Dialogfenster erwartet die folgenden Einstellungen:

  • Netzwerkname: eduroam
  • Sicherheitstyp: WPA2-Enterprise

Mit Weiter startet das nächste Dialogfenster.

Win10

Das WLAN-Profil mit dem Namen eduroam wurde erfolgreich hinzugefügt. Aus dem Bestätigungshinweis ist der Punkt "Verbindungseinstellungen ändern" auszuwählen.

Win10

Auf der Karteikarte Sicherheit wird als Methode für die Netzwerkauthentifizierung "Microsoft: Geschütztes EAP (PEAP)" angegeben.
Das Optionsfeld "Für diese Verbindung eigene Anmeldeinformationen für jede Anmeldung speichern" wird ausgewählt. Damit wird bestimmt, dass die Anmeldedaten (Benutzerkennung@uni-osnabrueck und das Kennwort) nur bei der Erstanmeldung an das eduroam-WLAN (siehe: Verbindung zum eduroam-WLAN herstellen) angefordert werden. Alle weiteren Verbindungen zum eduroam-WLAN erfolgen dann automatisch ohne Eingabe der Benutzerdaten.
Anschließend wird die Schaltfläche "Erweiterte Einstellungen" ausgewählt.

Win10

Hier ist auf der Karteikarte 802.1X-Einstellungen das Optionsfeld "Authentifizierungsmodus angeben:" auszuwählen. Als Authentifizierungsmodus wird die Benutzerauthentifizierung erwartet. Das Dialogfeld wird mit OK geschlossen.

Win10

Im nächsten Schritt werden über die Schaltfläche Einstellungen die Konfigurationsparameter für die gewählte Netzwerkauthentifizierung [hier: Microsoft: Geschütztes EAP (PEAP) ] angepasst.

Win10

Hier wird das Optionsfeld "Verbindung mit folgenden Servern herstellen ..." selektiert. Das angezeigte Eingabefeld erwartet den Servereintrag radius.uni-osnabrueck.de. Als "Vertrauenswürdige Stammzertifizierungsstelle" ist das Stammzertifikat T-TeleSec GlobalRoot Class 2 auszuwählen.
Hinweis: Dem Stammzertifikat fehlen unter Windows 10 standardmäßig die benötigten Zugriffsrechte. Diese müssen nachträglich zugewiesen werden (siehe: Verwendungszweck des T-TeleSecGlobalRoot Class 2-Zertifikates festlegen). Zusätzlich wird die Option Identitätsschutz aktiviert. Das Eingabefeld erwartet die Bezeichnung eduroam. Die Sicherung der getroffenen Parameter erfolgt über OK.

Win10

Es folgen zwei weitere Dialogfenster, die ebenfalls über die Schaltflächen OK oder Schließen beendet werden.

Verbindung zum eduroam-WLAN herstellen

Um die Verbindung zum eduroam-WLAN herzustellen, muss eine "Drahtlose Netzwerkverbindung" (wie unter Konfiguration des eduroam-WLAN beschrieben) konfiguriert und ein eduroam-Accesspoint verfügbar sein.
In der Taskleiste wird auf das Netzwerksymbol geklickt. Aus der Liste der verfügbaren WLAN-Netzwerke wird das eduroam-WLAN ausgewählt. Hier wird ein Häkchen in das Optionsfeld "Automatisch verbinden" gesetzt. Über Verbinden startet der Anmelden-Dialog.

Win10

Der Anmeldedialog erwartet die folgenden Eingaben:

  • Benutzername: Benutzerkennung gefolgt vom Suffix "@uni-osnabrueck.de" (hier: xmuster@uni-osnabrueck.de)
    beziehungsweise für Angehörige der Hochschule "@hs-osnabrueck.de".
  • Kennwort: das zur Benutzerkennung gehörende Kennwort.

Über die Schaltfläche OK wird die Verbindung zum eduroam-WLAN aufgebaut.

Hinweis: Der Anmeldedialog erscheint unter Umständen zweimal. Die Anmeldedaten müssen also wiederholt eingegeben werden. Anschließend werden sie gespeichert und müssen bei zukünftiger Nutzung des eduroam-WLANs nicht mehr angegeben werden.

Win10

Verwendungszweck des T-TeleSecGlobalRoot Class 2-Zertifikates festlegen

Das T-TeleSecGlobalRoot Class 2-Zertifikat wird unter Windows 10 standardmäßig mit ausgeliefert. Sein Verwendungszweck (es für eine gesicherte Verbindung mit dem eduroam-WLAN zu nutzen) leider nicht. Damit es für eine vertrauenswürdige Verbindung akzeptiert wird, müssen die Eigenschaften des Zertifikates erweitert werden. Die benötigten Arbeitsschritte werden im Folgenden beschrieben.

Das T-TeleSecGlobalRoot Class 2-Zertifikat liegt unter Windows im Zertifikatsspeicher des lokalen Benutzers. Der Zugriff auf den Zertifikatsspeicher kann über das Tool mmc (Microsoft Management Console) erfolgen.

Hinweis: Die im Folgenden beschriebenen Aktionen können nur mit einer Windows-Benutzerkennung durchgeführt werden, die über ausreichend administrative Rechte verfügt.

1) Die Windows Taste drücken.
2) Die Buchstaben mmc eintippen.
3) Aus der Trefferliste, den im Bild dargestellten Treffer "mmc Befehl ausführen" mit der rechten Maustaste ansteuern.
4) Aus dem Kontextmenü den Punkt "Als Administrator ausführen" selektieren.

Win10

Es öffnet sich die Microsoft Management Konsole, aus der im Menüpunkt Datei der Untermenüpunkt "Snap-In hinzufügen/entfernen..." auszuwählen ist.

Win10

Aus der Liste der "Verfügbaren Snap-Ins" wird das Snap-In Zertifikate mittels der Schaltfläche Hinzufügen ausgewählt. Über OK wird das Snap-In geöffnet.

Win10

Jetzt wird der verwaltete Zertifikatsspeicher ausgewählt (hier: Eigenes Benutzerkonto) und über "Fertig stellen" angezeigt.

Win10

Das "T-TeleSecGlobalRoot Class 2"-Zertifikat liegt im Konsolenstamm unterhalb des Verzeichnispfades "Zertifikate - Aktueller Benutzer --> Vertrauenswürdige Stammzertifikate --> Zertifikate". Es muss markiert werden. Anschließend steht im rechten Fensterbereich unter dem Menüpunkt "Weitere Aktionen" der Top Eigenschaften zur Verfügung. Dieser muss geöffnet werden.

Win10

Aus dem Eigenschaften-Dialog des "T-TeleSecGlobalRoot Class 2"-Zertifikates wird auf der Karteikarte Allgemein in der Kategorie Zertifikatzwecke das Optionsfeld "Alle Zwecke für dieses Zertifikat aktivieren" selektiert. Über OK werden die getroffenen Änderungen gesichert. Das Zertifikat wird jetzt für den Aufbau einer vertrauenswürdigen Verbindung ins eduroam-WLAN akzeptiert.

Win10

Die Management Konsole wird über die Menüpunkte Datei --> Beenden verlassen.

Hinweis: Damit die geänderten Zertifikatseinstellungen von der eduroam-Verbindung als vertrauenswürdig erkannt werden, empfiehlt sich ein Neustart des Windows 10 Endgerätes.

Win10

Bekannte Probleme und Tipps

Nach Passwort-Änderung keine eduroam Verbindung mehr (Ändern des WLAN-Profiles)

Unter bestimmten Umständen, wenn beispielsweise das Benutzerpasswort geändert wurde, schlägt die Verbindung zum eduroam-WLAN fehl. Damit der Anmelde-Dialog erneut am Bildschirm erscheint, muss im eduroam-Profil die Option "Für diese Verbindung eigene Anmeldinformationen für jede Anmeldung speichern" abgewählt werden. (Alternativ dazu kann das eduroam-Profil gelöscht und anschließend neu angelegt werden). Der folgende Abschnitt beschreibt, die dafür benötigten Arbeitsschritte:

Zuerst wird aus der Taskleiste das WLAN-Symbol selektiert. Anschließend werden die "Netzwerk- und Interneteinstellungen" ausgewählt.

Win10

Im Dialogfenster Einstellungen wird die Kategorie Status ausgewählt. Anschließend wird auf der rechten Fensterseite unterhalb der Kategorie "Netzwerkeinstellungen ändern" der Top "Adapteroptionen ändern" selektiert.

Win10

Im Dialogfenster Netzwerkverbindungen werden alle verfügbaren Verbindungen angezeigt. Im Beispiel wird das Verbindungsprofil "WLAN eduroam" angezeigt. Dieses wird mit der rechten Maustaste angesteuert. Aus dem Kontextmenü wird der Punkt Status ausgewählt.

Win10

Nun wird die Schaltfläche Drahtloseigenschaften ausgewählt.

Win10

Auf der Registerkarte Sicherheit wird jetzt das Häkchen aus dem Optionsfeld "Für diese Verbindung eigene Anmeldinformationen für jede Anmeldung speichern" entfernt. Die getroffene Änderung wird über OK bestätigt.

Win10

Abschließend muss die Verbindung zum eduroam, wie unter Verbindung zum eduroam-WLAN herstellen beschrieben, neu hergestellt werden. Durch das Entfernen der Option "Für diese Verbindung eigene Anmeldinformationen für jede Anmeldung speichern" wird der Benutzer ab jetzt bei jedem Verbindungsaufbau zum eduroam nach seinen Authentifizierungsdaten gefragt. Wenn dies nicht gewünscht ist, dann sollte die Option im eduroam-Profil wieder aktiviert werden.

Das eduroam-Profil löschen

Unter bestimmten Umständen ist es erforderlich, ein bestehendes eduroam-Profil zu löschen. Dazu kann das Kommando netsh in einer Eingabeaufforderung, die mit Administratorrechten gestartet sein muss, verwendet werden.
Mit dem folgenden Kommandobeispiel wird das Profil eduroam mit sämtlichen Konfigurationseinstellungen gelöscht:

 
netsh wlan delete profile name="eduroam"