Linux Installationsanleitung

Die Unix / Linux Unterstützung des Hochschulrechenzentrums erstreckt sich auf IBM-AIX Unix und Red Hat Linux. Diese Anleitung liegt Red Hat Enterprise Linux (RHEL) zu Grunde.

Es sollte für einen versierten Nutzer einer anderen Linux Distribution jedoch ein leichtes sein, die Konfigurationsparameter an die erforderlichen Bedürfnisse anzupassen. Von Nutzern erstellte Anleitungen oder Hinweise für andere Linux Derivate finden sich im abschließenden Teil dieser Anleitung.

Um eine Netzwerkverkverbindung mit den öffentlichen Netzwerkdosen herzustellen werden, zusätzlich zu dem HRZ Account, drei Dinge benötigt:

• Einen Linux Treiber für den Netzwerk Adapter.
• Ein Root Zertifikat um die Authentisierungsserver zu verifizieren.
• Eine Software die die Verschlüsselung der Netzwerkschnittstelle (WPA) übernimmt und den Netzwerkzugang gewährt (Supplikant der die für die Einwahl benötigte Methode EAP-TTLS unterstützt).

Und das sind die drei Dinge die es passend machen:

• Den Supplikanten und die Verschlüsselung der Netzwerk Verbindung liefert das Programm wpa_supplicant. wpa_supplicant ist ein Supplikant für Linux, BSD und Windows mit Unterstützung für WPA und WPA2. Der Supplikant beherrscht alle verbreiteten EAP Methoden, darunter auch EAP-TTLS.
• Der Netzwerkkarten Treiber sollte nicht nur für den eingesetzten Chipsatz passend sein, sondern auch mit wpa_supplicant kompatibel sein. In der Regel sollte es hier keine Problem mehr geben. Auf den Seiten des WPA Supplikanten Projektes findet sich weitere Information zu Treibern und ähnlichem.
• Das Root-Zertifikat ist die einfachste Übung und gibt es hier.

Installationsumgebung

Voraussetzungen:

• Es wird davon ausgegangen, das ein mit dem wpa_supplicant kompatibler Treiber, korrekt im System installiert ist.

Bereitstellung des Root-Zertifikates

• Das Verzeichnis /etc/cert/ erstellen und das TC TrustCenter Class 2 CA Root Zertifikat im PEM Format herunterladen.

wpa_supplicant Installation

• Die gepackte wpa_supplicant Datei wird heruntergeladen und in ein Verzeichnis der Wahl entpackt.
• Die Datei defconfig ist in die Konfigurationsdatei .config zu kopieren und den eigenen Wünschen anzupassen.
• Danach ist mit make der wpa_supplicant zu kompilieren und mit make install zu installieren.

wpa_supplicant Konfiguration

• Im Source Verzeichnis befindet sich die Datei /usr/src/wpa_supplicant-0.5.9/wpa_supplicant.conf die alle Konfigurationsmöglichkeiten für den WPA Supplikanten erklärt.
• Für die generellen, unispezifischen und persönlichen Einstellungen muss die Konfigurationsdatei wpa_supplicant.conf erstellt, und in das Verzeichnis /etc/ kopiert werden.
• Hier die speziell für das öffentliche Netzwerk erstellte Konfigurationsdatei (Im Download Bereich (rechte Spalte) kann die Datei heruntergeladen werden):

# /etc/wpa_supplicant.conf
# Konfigurationsdatei fuer das Programm wpa_supplicant
# zur Nutzung des öffentlichen Netzwerkes der Uni Frankfurt
# Version 1.0 - 15-02-2008
#
# Im Source Verzeichnis befindet sich die Datei
# wpa_supplicant.conf die alle Einstellungen
# ausfuehrlich beschreibt.
#
# HINWEIS! Diese Datei wird bei Gebrauch mit dem öffentlichen
# Netzwerk ihr unverschluesseltes persoenliches HRZ
# Passwort enthalten. Diese Datei sollte bei einem
# Multiusersystem nur fuer den Nutzer "root" lesbar
# sein.
# Allgemeiner Konfigurationsblock
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=1
fast_reauth=1
# Netzwerkspezifischer Block
network={
        # WPA oder WPA2 (RSN)
        # Die meisten Linux Netzwerk Treiber funktionieren
        # mit WPA.
        # proto=WPA2
        proto=WPA
        key_mgmt=WPA-EAP
        eap=TTLS
        anonymous_identity="anonymous"
        # In die folgenden zwei Felder kommt der Username
        # und das Passwort. Beide mit doppeltem
        # Anfuehrungszeichen.
        identity="Username"
        password="passwort"
        # Hier muss das Root CA Zertifikat des TC Trustcenters
        # im PEM Format stehen. Diese Einstellung ist
        # gegebenfalls anzupassen.
        ca_cert="/etc/cert/tcclass2-2011.pem"
        phase2="auth=PAP"
}

• Den Chiffre für Unicast (pairwise: CCMP oder TKIP), beziehungsweise für Broadcast und Multicast (group: CCMP oder TKIP) wählt der Client selber aus und muß nicht explizit angegeben werden.

wpa_supplicant starten

[bash]# wpa_supplicant -ieth0 -Dwired -c/etc/wpa_supplicant.conf -B

• Als letztes ist noch der DHCP Client für das Netzwerk Interface zu starten:

[bash]# dhclient eth0

Der DHCP Client sollte eine IP-Adresse liefern und die Verbindung ist somit hergestellt.

wpa_supplicant bedienen

• Mit dem Kommando wpa_cli kann der WPA-Supplikant gesteuert werden.

• Mit wpa_cli disconnect kann die Verbindung unterbrochen werden.

• Mit wpa_cli reassociate kann die Verbindung wieder aufgebaut werden.

• Mit wpa_cli status können Informationen abgefragt werden, ob eine Verbindung besteht oder mit welchen Schlüsselalgorithmen die Verbindung gesichert ist:

[bash]# wpa_cli status Selected interface 'ath0' 
bssid=00:0f:a3:0c:69:c9 ssid=FLUGHAFEN pairwise_cipher=CCMP 
group_cipher=TKIP key_mgmt=WPA2/IEEE 802.1X/EAP wpa_state=COMPLETED 
ip_address=141.2.27.207 Supplicant PAE state=AUTHENTICATED 
suppPortStatus=Authorized EAP state=SUCCESS selectedMethod=21 
(EAP-TTLS) EAP TLS cipher=AES256-SHA EAP-TTLS Phase2 method=PAP 

• Die Dokumentation zum WPA-Supplikanten gibt weiterführende Auskunft zu wpa_cli und den Konfigurationseinstellungen zu wpa_supplicant.

geändert am 17. April 2008  E-Mail: netz-fragennetz-fragen@rz.uni-frankfurt.de