Tuesday, 29 July 2008

iPhone und 802.1X (eduroam) an der FU Berlin (Tutorial)

UPDATE 02.08.2008: VPN geht auch, einfach ne Mail an die ZEDAT und ihr bekommt das entsprechende Profil an eure FU-Mail-Adresse gesandt.

UPDATE 09.09.2008:
Eine Mail ist nicht mehr erforderlich. Die Profile für eduroam und VPN sind jetzt auf den entsprechenden Webseiten abrufbar: http://www.zedat.fu-berlin.de/Eduroam-iPhone und http://www.zedat.fu-berlin.de/VPNclient-iPhone


Zutaten:Hinweis: Diese Anleitung wurde mithilfe der von der FU ZEDAT bereitgestellten Parameter für 802.1X eduroam erstellt.

Für FUler auf dem ganzen FU-Campus und dank eduroam auch an der FHTW Berlin und an der TU sowie sämtlichen sonst teilnehmenden Universitäten (Liste scheint nicht besonders aktuell zu sein) gibts schnellen WLAN Zugang fürs iPhone und iPod Touch mit 2.0 Firmware.

Leider funktioniert die Einrichtung nicht direkt über das Gerät. Stattdessen ist der Umweg über das iPhone Configuration Utility (im folgenden ICU) zu nehmen (Download von Apple), welches eine Konfigurationsdatei erstellt, die man sich anschließend zumailen kann oder auf einen webserver stellen kann. Dann wird die Datei mit dem iPhone aufgerufen und der Rest erklärt sich von selbst.

Das iCU installiert auf Windows PCs einen lokalen Webserver, der unter http://localhost:3000 (oder eben http://127.0.0.1:3000) erreichbar ist.
Benutzername und Passwort lauten jeweils admin.

Ist man im iCU eingeloggt, ist das erforderliche Profil schnell erstellt. Wir beschränken uns zunächst auf 802.1X (eduroam).


1. General

Unter General füllt man zunächst die Felder aus, was man genau einträgt ist egal, wichtig ist jedoch, dass alle required-Felder ausgefüllt werden. Anschließend zwischenspeichern mit save.

2. Credentials
Unter credentials ladet ihr die Stammzertifikatsdatei der Deutschen Telekom hoch, die ihr bei der Zedat bekommt (Link auf Deutsche-Telekom.cer).
Ob es tatsächlich erforderlich ist, auch das FU-CA Zertifikat hochzuladen, weiß ich nicht, es schadet aber nicht. Dieses heißt FU-CA.cer und ist ebenfalls auf den Servern der ZEDAT erhältlich.

3. Wi-Fi

Anschließend wechselt Ihr zur Registerkarte "Wi-Fi".


Dort tragt ihr als SSID eduroam ein, stellt den Security Type auf WPA/WPA2 Enterprise

Bei Enterprise settings stellt ihr Protocols auf TTLS.

Dann wechselt ihr auf "Authentication".













Bei Authentication tragt Ihr bei Username euren Zedat-Namen gefolgt von @zedat.fu-berlin.de ein. Also zedatname@zedat.fu-berlin.de (siehe auch Bild). Inner Authentication sollte auf "PAP" eingestellt sein. Das war's schon für hier, als nächstes geht's zu Trust.

















Bei Trust setzt Ihr ein Häkchen vor das im Schritt 2 importierte Telekom Zertifikat:
"Deutsche Telekom Root CA 2".
Anschließend wird mit Save gespeichert.



4. Profil speichern

Zuletzt wechselt ihr wieder zurück zu "General" und speichert das ganze als Datei ab, indem ihr auf "Export Profile" klickt. Am einfachsten funktionierte bei mir der Profil-Import, indem ich es mir selbst als Anhang einer Mail zugeschickt und die Mail im iPhone abgerufen habe.

Das iPhone fragt dann noch euer Zedat Passwort ab. Ab sofort sollte es möglich sein, sich im WLAN "eduroam" einzuwählen.

Beachtet hierbei, dass ihr nicht zugleich mit dem VPN Client oder mit einem anderen PC per 802.1X eingewählt sein dürft. Zwar bucht sich das iPhone bei eduroam ein, ihr kommt aber nicht ins Netz.

Das wars!

2 comments:

Unknown said...

keine ahnung, aber mein iphone hat sich einfach so eingeloggt, ich musste das zertifikat bestätigen und gut wars. das problem mit der gleichzeitigkeit habe ich aber auch. Und das sogar bei mehreren zedat-accounts. ohne projekt-account kommt man hier nicht weiter.

Fritz said...

Ja, Projekt-Account ist unbedingt nötig für gleichzeitiges Verbinden.

Wo hat sich dein iPhone denn eingeloggt? Im 802.1X oder im VPN. Wohl ersteres, VPN dürfte ja nur funktionieren mit Kenntnis des Servers.

Kann sein, dass die ZEDAT die Authentifizierung angepasst hat. Jedenfalls steht das Profil nun auch auf den Servern der ZEDAT zum Download bereit (siehe weiter oben).