Seiteninhalt

.kodezeile {font-size: medium; font-family: Fixedsys,Courier,monospace;}

Linux Installationsanleitung

Die Unix / Linux Unterstützung des Hochschulrechenzentrums erstreckt sich auf IBM-AIX Unix und Red Hat Linux. Diese Anleitung liegt Red Hat Enterprise Linux (RHEL) zu Grunde.

Es sollte für einen versierten Nutzer einer anderen Linux Distribution jedoch ein leichtes sein, die Konfigurationsparameter an die erforderlichen Bedürfnisse anzupassen.

Von Nutzern erstellte Anleitungen oder Hinweise für andere Linux Derivate finden sich im abschließenden Teil dieser Anleitung.

Um den Nutzer am Anfang ein wenig aufzumuntern und den technischen Stand der Wireless Implementation auf Linux Systemen aufzuzeigen ein Zitat von Jeff Garzik, dem Verwalter der Netzwerktreiber im Linux Kernel, aus seinem "State of the Union - Wireless" von Januar 2006:

"Another banner year has passed, with Linux once again proving its superiority in the area of crappy wireless (WiFi) support. Linux oldsters love the current state of wireless, because it hearkens back to the heady days of Yuri Gagarin, Sputnik and Linux kernel 0.99, when getting hardware to work under Linux required either engineering knowledge or luck (or both). Linux has made remarkable progress in the area of hardware support, in the past five years, reaching a state where it is unusual for mainstream hardware to -not- be supported by Linux as soon as it is released. Unfortunately, this does not extend to wireless."

Doch lassen wir uns von dem "crappy wireless support" nicht einschüchtern und machen unerschrocken weiter:

Um eine Netzwerkverkverbindung mit dem WLAN FLUGHAFEN herzustellen werden, zusätzlich zu dem HRZ Account, drei Dinge benötigt:

Einen Linux Treiber für den WLAN Adapter.
Ein Root Zertifikat um die Authentisierungsserver zu verifizieren.
Eine Software die die Verschlüsselung der Funkschnittstelle (WPA) übernimmt und den Netzwerkzugang gewährt (Supplikant der die für FLUGHAFEN benötigte Methode EAP-TTLS unterstützt).

Und das sind die drei Dinge die es passend machen:

Den Supplikanten und die Verschlüsselung der Wireless Verbindung liefert das Programm wpa_supplicant. wpa_supplicant ist ein Supplikant für Linux, BSD und Windows mit Unterstützung für WPA und WPA2. Der Supplikant beherrscht alle verbreiteten EAP Methoden, darunter auch EAP-TTLS.
Der Wireless Treiber sollte nicht nur für den eingesetzten Wireless Chipsatz passend sein, sondern auch mit wpa_supplicant kompatibel sein. Auf den Seiten des WPA Supplikanten Projektes findet sich eine Auflistung mit den unterstützten Treibern. Zur Zeit existieren unter anderem Treiber für zwei gut genutzte Wireless Chipsätze. Dem etwas älteren Intel Pro Wireless Chipsatz 2100 und 2200 (aka Centrino) und den Atheros Chipsätzen AR5212, AR5213 und AR5214. Diese Anleitung stützt sich auf eine Atheros Chipsatz basierende Karte. Der Treiber für die Atheros Karte wird von dem MADWIFI (Multiband Atheros Driver for Wifi) Open-Source Project entwickelt und bereitgestellt.
Das Root-Zertifikat ist die einfachste Übung und gibt es hier.

Installationsumgebung

Betriebssytem
Distribution:	Red Hat Enterprise Linux 4
Prozessor Typ:	i686/i386
Kernel Version:	2.6.9-34.ELsmp
WLAN Hardware
WLAN Adapter:	PCI Karte im Desktop System
Netzwerkkarte:	Atheros Communications, Inc. AR5006X 802.11abg NIC
Chipsatz:	AR5414, kompatibel zu AR5212
Treiber
Treiber:	madwifi-ng
Treiberversion:	madwifi-ng-0.9.4.5-21
802.1X / WPA Software
WPA Software:	wpa_supplicant
Version:	wpa_supplicant-0.4.8

Voraussetzungen:

Es wird davon ausgegangen, das der madiwifi-ng Treiber, oder ein anderer mit wpa_supplicant kompatibler Treiber, korrekt im System installiert ist.

Bereitstellung des Root-Zertifikates

Das Verzeichnis /etc/cert/ erstellen und das Deutsche Telekom Root CA 2 Root Zertifikat im PEM Format herunterladen oder mit wget in das erstellte Verzeichnis übertragen.

wpa_supplicant Installation

Die gepackte wpa_supplicant Datei wird heruntergeladen und in ein Verzeichnis der Wahl entpackt.
Die Datei defconfig ist in die Konfigurationsdatei .config zu kopieren und den eigenen Wünschen anzupassen. In der Regel ist der verwendete WLAN-Treiber auszukommentieren und der Pfad zu den Source Dateien des WLAN-Treibers anzupassen.
Danach ist mit make der wpa_supplicant zu kompilieren und mit make install zu installieren.

wpa_supplicant Konfiguration

Im Source Verzeichnis befindet sich die Datei /usr/src/wpa_supplicant-0.4.8/wpa_supplicant.conf die alle Konfigurationsmöglichkeiten für den WPA Supplikanten erklärt.
Für die generellen, unispezifischen und persönlichen Einstellungen muss die Konfigurationsdatei wpa_supplicant.conf erstellt, und in das Verzeichnis /etc/ kopiert werden.
Hier die speziell für das WLAN FLUGHAFEN erstellte Konfigurationsdatei (Im Download Bereich (rechte Spalte) kann die Datei heruntergeladen werden):

# /etc/wpa_supplicant.conf
# Konfigurationsdatei fuer das Programm wpa_supplicant
# Version 1.1 - 11-06-2006
#
# Im Source Verzeichnis befindet sich die Datei
# wpa_supplicant.conf die alle Einstellungen
# ausfuehrlich beschreibt.
#
# HINWEIS! Diese Datei wird bei Gebrauch mit dem WLAN
# FLUGHAFEN ihr unverschluesseltes persoenliches HRZ
# Passwort enthalten. Diese Datei sollte bei einem
# Multiusersystem nur fuer den Nutzer "root" lesbar
# sein.
# Allgemeiner Konfigurationsblock
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=1
fast_reauth=1
# Netzwerkspezifischer Block
network={
        ssid="FLUGHAFEN"
        # WPA oder WPA2 (RSN)
        # Die meisten Linux Wireless Treiber funktionieren
        # mit WPA.
        # WPA2 (RSN) sollte bei neuen Wireless Karten und
        # aktuellen Treibern ausprobiert werden.
        # proto=WPA2
        proto=WPA
        key_mgmt=WPA-EAP
        eap=TTLS
        anonymous_identity="anonymous"
        # In die folgenden zwei Felder kommt der Username
        # und das Passwort. Beide mit doppeltem
        # Anfuehrungszeichen.
        identity="Username"
        password="passwort"
        # Hier muss das Root CA Zertifikat der Deutschen Telekom
        # im PEM Format stehen. Diese Einstellung ist
        # gegebenfalls anzupassen.
        ca_cert="/etc/cert/deutsche-telekom-root-ca-2.pem"
        phase2="auth=PAP"
}

Den Chiffre für Unicast (pairwise: CCMP oder TKIP), beziehungsweise für Broadcast und Multicast (group: CCMP oder TKIP) wählt der Client selber aus und muß nicht explizit angegeben werden.

wpa_supplicant starten

Ein Hinweis für Nicht-Atheros Nutzer. Atheros benennt sein Wireless Interface an dem die Wireless-Extensions gebunden sind mit ath0. Bei Herstellern von anderen Chipsätzen heisst die Wirelesschnittstelle meist wifi0. Genaue Informationen hält die Dokumentation des WLAN Treibers bereit.
Zu Testzwecken ist der Supplikant im Debug Modus zu starten (-i Name des Wireless Interface; -D Name des Treibers; -c Pfad zur Konfigurationsdatei; -d Debug Mode):

[bash]# wpa_supplicant -iath0 -Dmadwifi -c/etc/wpa_supplicant.conf -d

In einem zweiten Terminalfenster ist der Befehl iwconfig einzutippen, um zu überprüfen, ob die Verbindung anstandslos geklappt hat (Schnittstellen ohne Wireless Extensions wurden ausgeblendet. Wegen des Webseiten-Layouts sind in der unteren Darstellung Zeilenumbrüche eingearbeitet, diese sind mit einem Unterstrich _ gekennzeichnet):

[bash]# iwconfig
ath0  IEEE 802.11g  ESSID:"FLUGHAFEN"
      Mode:Managed  Frequency:2.462GHz _
      ..Access Point: 00:0F:A3:0C:69:C9
      Bit Rate:36Mb/s   Tx-Power:16 dBm   Sensitivity=0/3
      Retry:off   RTS thr:off   Fragment thr:off
      Encryption key:9B24-0DCA-CF13-7FD6-A000-BD4B-61CC-7002 _
      ..Security mode:restricted
      Power Management:off
      Link Quality=71/94  Signal level=-24 dBm _
      ..Noise level=-95 dBm
      Rx invalid nwid:1790610  Rx invalid crypt:0 _
      ..Rx invalid frag:0
      Tx excessive retries:0  Invalid misc:0   Missed beacon:0

Die Verbindung war erfolgreich wenn:

Im Feld "Access Point:" ein Hex-Wert ungleich 00:00:00:00:00:00:00:00 steht
Im Feld "Encryption key:" ein Wert ungleich off steht.
Im Feld "Security mode:" der Wert restricted steht. Dies zeigt an das die Funkstrecke verschlüsselt ist.

Die Debuginformationen sollten ausreichende Informationen liefern, warum die Verbindung nicht zustande kommt.
Mit dem Schalter -dd kann die Geschwätzigkeit des Debug Modus noch erhöht werden.
Ein Anhaltspunkt: Bei erfolgreicher Authentifizierung sieht die Ausgabe der Debug-Informationen des WPA-Supplikanten in etwa folgendermassen aus:

CTRL-EVENT-CONNECTED - Connection to 00:0f:a3:0c:69:c9 completed (auth)

War die Authentifizierung erfolgreich, muss der WPA-Supplikant im Daemon Modus gestartet werden (-B Daemon (Background) Modus):

[bash]# wpa_supplicant -iath0 -Dmadwifi -c/etc/wpa_supplicant.conf -B

Als letztes ist noch der DHCP Client für das Wireless Interface zu starten:

[bash]# dhclient ath0

Der DHCP Client sollte eine IP-Adresse liefern und die Verbindung ist somit hergestellt.

wpa_supplicant bedienen

Mit dem Kommando wpa_cli kann der WPA-Supplikant gesteuert werden.
Mit wpa_cli disconnect kann die Verbindung unterbrochen werden.
Mit wpa_cli reassociate kann die Verbindung wieder aufgebaut werden.
Mit wpa_cli status können Informationen abgefragt werden, ob eine Verbindung besteht oder mit welchen Schlüsselalgorithmen die Verbindung gesichert ist:

[bash]# wpa_cli status
Selected interface 'ath0'
bssid=00:0f:a3:0c:69:c9
ssid=FLUGHAFEN
pairwise_cipher=CCMP
group_cipher=TKIP
key_mgmt=WPA2/IEEE 802.1X/EAP
wpa_state=COMPLETED
ip_address=141.2.27.207
Supplicant PAE state=AUTHENTICATED
suppPortStatus=Authorized
EAP state=SUCCESS
selectedMethod=21 (EAP-TTLS)
EAP TLS cipher=AES256-SHA
EAP-TTLS Phase2 method=PAP

Die Dokumentation zum WPA-Supplikanten gibt weiterführende Auskunft zu wpa_cli und den Konfigurationseinstellungen zu wpa_supplicant.
In den Source Files versteckt sich eine GUI für den WPA-Supplikanten der auf wpa_cli aufsetzt. Einfach mit qmake eine Makefile erstellen und mit make erstellen und schwupps ist ein grafisches Tool zur Bedienung des WPA-Supplikanten auf dem Rechner. Siehe unten stehendes Bild:

Mit dem WLAN FLUGHAFEN verbundene GUI des WPA-Supplikanten

Anleitungen und Hinweise von Nutzern

Anleitungen und Hinweis zu erfolgreichen Authentifizierungen mit unterschiedlichen Linux Distributionen können an wlan-fragen@rz.uni-frankfurt.de geschickt werden. Auf Wunsch können die Hinweise hier veröffentlicht werden, um sie anderen Nutzern zur Verfügung zu stellen.

Debian

Ein recht herzliches Dankeschön geht an User Spirit für die Anleitung mit einem Debian GNU/Linux (Sarge 3.1, Stable) und einer Intel Pro 2100 Wireless Karte: