eduroam unter Linux (wpa_supplicant)

Alternativ zum Network Manager kann man die eduroam-Verbindung auch von Hand konfigurieren. Der Vorteil ist hier, dass die Fehlersuche und -diagnose einfacher ist. Falls der NetworkManager nicht verfügbar ist, legt auch das Linux-Skript unter https://www.lrz.de/services/netz/wlan/eduroam/ eine wpa_supplicant-Konfiguration an. Der wpa_supplicant läuft auf aktuellen Distributionen oft im Hintergrund und belegt das WLAN-Interface, damit man den wpa_supplicant von Hand starten kann, muss ggf. der NetworkManager gestoppt werden und laufende wpa_supplicant-Prozesse beendet werden (je nach Distribution etwa: "/etc/init.d/network-manager stop" und "killall wpa_supplicant"). Die Konfigurationsdatei für den wpa_supplicant kann z.B. unter /etc/wpa_supplicant.conf oder ~/.eduroam/eduroam.conf gespeichert werden.

Verbinden über PEAP/MSCHAPV2

Die Konfiguration funktioniert mit einer LRZ-Kennung, die es zu jeder Campus-LMU- und TUM-Kennung gibt. Sie ist von der Form (KVZZKVK, K=Konsonant, V=Vokal, Z=Ziffer, z.B. ba12ced). Die Kennung erfahren Sie über das Campus-LMU- oder TUM-Portal. Für andere Kennungen muss die Konfiguration an den kommentierten Stellen entsprechend angepasst werden.

# Zum Starten:
# z.B. wpa_supplicant -i wlan0 -c /etc/wpa_supplicant.conf
# Danach dhcp-Client (neu) starten
# dhcpcd -n wlan0 oder dhclient wlan0
network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=PEAP
ca_cert="/etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem" # muss zum Radius-Real bzw. Radius-Server passen
phase2="auth=MSCHAPV2"
identity="kennung@eduroam.mwn.de" # eduroam.mwn.de ggf. durch das passende Radius-Realm ersetzen
domain_suffix_match="radius.lrz.de" # die Option ist nur bei neueren wpa_supplicant-Versionen verfügbar, muss zum Radius-Realm bzw. Radius-Server passen
subject_match="radius.lrz.de" # für ältere Versionen, ist schwächer als domain_suffix_match, muss zum Radius-Realm bzw. Radius-Server passen
anonymous_identity="anonymous@mwn.de" # bzw. anonymous@heimat-uni-realm
password="XXXX"
# alternativ einen Passwort-Hash erstellen: https://wlan.lrz.de/cgi-bin/nt-password-hash.py
#password=hash:XXXX
}

Verbinden über TTLS+PAP

Die Konfiguration funktioniert mit einer LRZ-Kennung, die es zu jeder Campus-LMU- und TUM-Kennung gibt. Sie ist von der Form (KVZZKVK, K=Konsonant, V=Vokal, Z=Ziffer, z.B. ba12ced). Die Kennung erfahren Sie über das Campus-LMU- oder TUM-Portal. Für andere Kennungen muss die Konfiguration an den kommentierten Stellen entsprechend angepasst werden.

# Zum Starten:
# z.B. wpa_supplicant -i wlan0 -c /etc/wpa_supplicant.conf
# Danach dhcp-Client (neu) starten
# dhcpcd -n wlan0 oder dhclient wlan0
network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
identity="kennung@eduroam.mwn.de" # eduroam.mwn.de ggf. durch das passende Radius-Realm ersetzen
domain_suffix_match="radius.lrz.de" # die Option ist nur bei neueren wpa_supplicant-Versionen verfügbar, muss zum Radius-Realm bzw. Radius-Server passen
subject_match="radius.lrz.de" # für ältere Versionen, ist schwächer als domain_suffix_match, muss zum Radius-Realm bzw. Radius-Server passen
anonymous_identity="anonymous@mwn.de"
# bzw. anonymous@heimat-uni-realm
password="XXXX" #(wird für PAP im Klartext benötigt)
ca_cert="/etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem" # muss zum Radius-Real bzw. Radius-Server passen
phase2="auth=PAP"
}

Das passende Zertifikat ist auf den meisten Distributionen schon vorhanden (/etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem), es kann auch hier heruntergeladen werden: https://www.lrz.de/services/netz/mobil/eduroam/rootcert.crt). Weitere Informationen über die Nutzung von Zertifikaten finden Sie auf der Seite http://www.lrz.de/services/pki/.