eduroam Raspberry Pi einrichten

Veröffentlicht am von
eduroam Raspberry Pi - raspberry goes eduroam

eduroam Raspberry Pi zeigt, wie Sie einen Raspi in ein Enterprise Netzwerk einbinden. Als Beispiel dient eduroam, das an vielen europäischen Universitäten verfügbar ist.

Übersicht des Vorgehens, um mit eduroam Raspberry Pi eine Netzverbindung herzustellen

Schritt 0: Voraussetzungen schaffen (und zuerst durchführen):

Raspilab Wetterstation Grundsystem aufsetzen

Schritt1: das Zertifikat herunterladen

Schritt 2: Netzwerkverbindung in wpa_supplicant.conf eintragen

Schritt 3: Passwort verschlüsseln

 

Schritt 1: das Zertifikat herunterladen

Sie benötigen im Gegensatz zum Home-Netzwerk für ein Enterprise-Netzwerk ein Zertifikat. Das Zertifikat ist eine Datei, die Sie bei Ihrer Hochschule herunterladen können. Bei der Hochschule Niederrhein suchen Sie z. B. unter KIS die Anleitung für Linux, dort finden Sie den Download Link http://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.crt .

Legen Sie im Home Verzeichnis ein Verzeichnis CERT an, wechseln Sie danach in das Verzeichnis und laden Sie mit wget die Zertifikatsdatei herunter.

mkdir CERT

cd CERT

wget http://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.crt

Schritt 2: Netzwerkverbindung in wpa_supplicant.conf eintragen

Es sollte eine schon funktionierende wpa_supplicant.conf vorhanden sein. Öffnen Sie wpa_supplicant.conf mit

sudo nano /etc/wpa_supplicant/wpa_supplicant.conf

Tragen Sie hinter den schon bestehenden (Heim-)Netzwerkverbindungen Ihr Enterprise-Netzwerk ein mit

network={
   ssid="eduroam"
   proto=RSN
   key_mgmt=WPA-EAP
   eap=PEAP
   identity="ZentraleNutzerkennung@IhreDomäne"
   anonymous_identity="AnonymerAnmeldename@IhreDomäne"
   password="IhrZentralesPasswort"
   #password=hash:2c.........9d
   ca_cert="/home/pi/CERT/T-TeleSec_GlobalRoot_Class_2.crt"
   phase1="peaplabel=0"
   phase2="auth=MSCHAPV2"
}

In der Hochschule Niederrhein entspricht die ZentraleNutzerkennung dem, was Sie auch für den Zugang zu HN1X verwenden. Die Verbindung zu der heruntergeladenen Zertifikatsdatei stellen Sie mit der Zeile
ca_cert=“/home/pi/CERT/TeleSec_GlobalRoot_Class_2.crt“
her.
Die Reihenfolge der Statements ist wichtig. Mit einer anderen Reihenfolge konnte keine WLAN Verbindung aufgebaut werden.

Diese Konfigurationen wurde getestet

  1. Raspberry 2 Raspbian lite Stretch Edimax WLAN-Stick >> ok
  2. Raspberry Zero W Raspbian lite Stretch >> ok
  3. Raspberry 2 Raspbian lite Buster Edimax WLAN-Stick >> ok
  4. Raspberry Zero W Raspbian lite Buster >> kein Erfolg
  5. Raspberry Zero W Raspbian lit Buster + OTG-Adapter mit Edimax WLAN-Stick >> ok
  6. Raspberry 3 Raspbian lite Buster >> kein Erfolg

Schritt 3: Passwort verschlüsseln

Wer Zugang zum Raspberry erlangt, kann nun Ihr persönliches Passwort ermitteln. Wenn der Raspberry im Dauerbetrieb läuft und mehrere Personen damit arbeiten, dann sollten Sie Ihr Passwort verschlüsseln. Das ist allerdings nur ein schwacher Schutz, da Sie weiterhin Ihren Nutzer im Klartext angeben. Um mit nano auf dem raspberry bequem arbeiten zu können, verwenden Sie als root eine Befehlskette, um aus Ihrem Passwort einen Hashcode zu erzeugen und hinten ihn der Datei wpa_supplicant.conf anzufügen. Geben Sie auf der Konsole ein:

sudo -i

echo -n IhrZentralesPasswort | iconv -t UTF-16LE | openssl md4 >> /etc/wpa_supplicant/wpa_supplicant.conf

nano /etc/wpa_supplicant/wpa_supplicant.conf

Nun ersetzen Sie in wpa_supplicant.conf noch password=“IhrZentralesPasswort“ durch password=hash:889c9… (ohne Gänsefüßchen, die lange Kette, die am Ende der wpa:supplicant.conf steht)

 

 

Warum ist ein Enterprise Netzwerk anders als ein Heimnetzwerk?

Technisch unterscheidet sich eduroam (oder das Netz HN1X an der Hochschule Niederrhein) von einem heimischen WLAN durch die Authentifizierung des Benutzers über den Standard IEEE 802.1x in Kombination mit Radius, bei der eine zentrale Benutzerverwaltung existiert. Die Benutzerverwaltung entscheidet darüber, ob der angemeldete Nutzer berechtigt ist, Zugang zum Netzwerk und damit zum Internet zu bekommen oder nicht. Das hat wiederum zwei Gründe: Erstens ermöglicht das Vorgehen ein „single-sign-on“,soll also für den Nutzer bequemer sein, zweitens sind die Sicherheitsanforderungen in einem Enterprise-Netzwerk meist höher als in einem Heim-Netzwerk.

Fehlersuche zu eduroam Raspberry Pi

Da mehrerer Komponenten an der Netzwerkverbindung beteiligt sind, gestaltet sich eine eventuelle Fehlersuche aufwändig. Zur Analyse seien hier ein paar Tipps gegeben.

Ob Sie eine IP-Adresse erhalten haben, stellen Sie fest mit

ifconfig

Zunächst können Sie schauen, welche Netzwerke überhaupt in Ihrer Nähe erreichbar sind mit

sudo iwlist wlan0 scan | egrep "(ESSID)"

Einige Informationen zum verbundenen WLAN erhalten Sie mit

cat /proc/net/wireless

Manchmal gibt es einfach Tippfehler in der wpa_supplicant.conf. Sie können die Syntax testen mit (alles in eine Zeile)

sudo /sbin/wpa_supplicant -P /var/run/wpa_supplicant.wlan0.pid -i wlan0 -D nl80211,wext -c /etc/wpa_supplicant/wpa_supplicant.conf

Quellen zu eduroam Raspberry Pi

Eine weitere Anleitung auf elektronik-kompendium https://www.elektronik-kompendium.de/sites/raspberry-pi/2205191.htm
Eine weitere Anleitung auf lrz https://www.lrz.de/services/netz/mobil/802_1x/802_1x-linux/

Anleitung zum Verschlüsseln http://www.linux-ratgeber.de/wlan-zugangspasswort-verschluesseln/

Grundsystem auf dem Raspberry aufsetzen: Raspilab Wetterstation Grundsystem aufsetzen

Anleitungen bei der Hochschule Niederrhein (KIS) erhalten nur Studierende und Hochschulangehörige im KIS-Moodle-Raum.

Teile diesen Beitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert