Page tree
Skip to end of metadata
Go to start of metadata

Für fortgeschrittene Anwender - Detailinformationen

Specs

Passwort

eduroam nutzt NICHT das normale KantiNetz-Passwort!

Ihr findet euer Passwort auf dem Portal - https://portal.ksz.ch/

WPA2/EAP

Eduroam setzt auf WPA2 mit Anmeldung über EAP.

Wir empfehlen den Einsatz folgender Verfahren.

  1. EAP-PWD, spezifiziert in RFC5931 - https://tools.ietf.org/html/rfc5931, die beste und sicherste Lösung wenn verfügbar.
  2. EAP-TTLS/MD5, Zertifikat MUSS korrekt eingerichtet werden
  3. EAP-TTLS/MSCHAPv2, Zertifikat MUSS korrekt eingerichtet werden
  4. PEAP/MD5, Zertifikat MUSS korrekt eingerichtet werden
  5. PEAP/MSCHAPv2, Zertifikat MUSS korrekt eingerichtet werden

Zertifikat

Bei allen Methoden - ausser EAP-PWD - ist die korrekte Einrichtung des Zertifikats von grosser Wichtigkeit. Wird dieser Schritt vernachlässigt kann ein Angreifer eure Zugangsdaten klauen.

Subject

Es muss überprüft werden, ob folgender String im Subject des Zertifikates enthalten ist:

CN=ksz.eduroam.edu-zg.ch

Root CA

Das Zertifikat muss von folgender CA ausgestellt worden sein:

C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2

PEM

pki/quovadis-root-ca-2.cert.pem:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

 

wpa_supplicant.conf

EAP-PWD

network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=PWD
identity="kurzel@ksz.edu-zg.ch"
password="(geheim)"
}

EAP-TTLS/MD5

network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
identity="kurzel@ksz.edu-zg-ch"
anonymous_identity="eduroam@ksz.edu-zg.ch"
password="(geheim)"
phase2="autheap=MD5"
 subject_match="CN=ksz.eduroam.edu-zg.ch"
ca_cert="pki/quovadis-root-ca-2.cert.pem"
}

EAP-TTLS/MSCHAPv2

network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
identity="kurzel@ksz.edu-zg-ch"
anonymous_identity="eduroam@ksz.edu-zg.ch"
password="(geheim)"
phase2="autheap=MSCHAPV2"
 subject_match="CN=ksz.eduroam.edu-zg.ch"
ca_cert="pki/quovadis-root-ca-2.cert.pem"
}

PEAP/MD5

network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=PEAP
identity="kurzel@ksz.edu-zg-ch"
anonymous_identity="eduroam@ksz.edu-zg.ch"
password="(geheim)"
phase2="auth=MD5"
 subject_match="CN=ksz.eduroam.edu-zg.ch"
ca_cert="pki/quovadis-root-ca-2.cert.pem"
}

PEAP/MSCHAPv2

network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=PEAP
identity="kurzel@ksz.edu-zg-ch"
anonymous_identity="eduroam@ksz.edu-zg.ch"
password="(geheim)"
phase2="auth=MSCHAPV2"
 subject_match="CN=ksz.eduroam.edu-zg.ch"
ca_cert="pki/quovadis-root-ca-2.cert.pem"
}
  • No labels