eduroam Raspberry Pi zeigt, wie Sie einen Raspi in ein Enterprise Netzwerk einbinden. Als Beispiel dient eduroam, das an vielen europäischen Universitäten verfügbar ist.
Übersicht des Vorgehens, um mit eduroam Raspberry Pi eine Netzverbindung herzustellen
Schritt 0: Voraussetzungen schaffen (und zuerst durchführen):
Raspilab Wetterstation Grundsystem aufsetzen
Schritt1: das Zertifikat herunterladen
Schritt 2: Netzwerkverbindung in wpa_supplicant.conf eintragen
Schritt 3: Passwort verschlüsseln
Schritt 1: das Zertifikat herunterladen
Sie benötigen im Gegensatz zum Home-Netzwerk für ein Enterprise-Netzwerk ein Zertifikat. Das Zertifikat ist eine Datei, die Sie bei Ihrer Hochschule herunterladen können. Bei der Hochschule Niederrhein suchen Sie z. B. unter KIS die Anleitung für Linux, dort finden Sie den Download Link http://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.crt .
Legen Sie im Home Verzeichnis ein Verzeichnis CERT an, wechseln Sie danach in das Verzeichnis und laden Sie mit wget die Zertifikatsdatei herunter.
mkdir CERT cd CERT wget http://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.crt
Schritt 2: Netzwerkverbindung in wpa_supplicant.conf eintragen
Es sollte eine schon funktionierende wpa_supplicant.conf vorhanden sein. Öffnen Sie wpa_supplicant.conf mit
sudo nano /etc/wpa_supplicant/wpa_supplicant.conf
Tragen Sie hinter den schon bestehenden (Heim-)Netzwerkverbindungen Ihr Enterprise-Netzwerk ein mit
network={ ssid="eduroam" proto=RSN key_mgmt=WPA-EAP eap=PEAP identity="ZentraleNutzerkennung@IhreDomäne" anonymous_identity="AnonymerAnmeldename@IhreDomäne" password="IhrZentralesPasswort" #password=hash:2c.........9d ca_cert="/home/pi/CERT/T-TeleSec_GlobalRoot_Class_2.crt" phase1="peaplabel=0" phase2="auth=MSCHAPV2" }
In der Hochschule Niederrhein entspricht die ZentraleNutzerkennung dem, was Sie auch für den Zugang zu HN1X verwenden. Die Verbindung zu der heruntergeladenen Zertifikatsdatei stellen Sie mit der Zeile
ca_cert=“/home/pi/CERT/TeleSec_GlobalRoot_Class_2.crt“
her.
Die Reihenfolge der Statements ist wichtig. Mit einer anderen Reihenfolge konnte keine WLAN Verbindung aufgebaut werden.
Diese Konfigurationen wurde getestet
- Raspberry 2 Raspbian lite Stretch Edimax WLAN-Stick >> ok
- Raspberry Zero W Raspbian lite Stretch >> ok
- Raspberry 2 Raspbian lite Buster Edimax WLAN-Stick >> ok
- Raspberry Zero W Raspbian lite Buster >> kein Erfolg
- Raspberry Zero W Raspbian lit Buster + OTG-Adapter mit Edimax WLAN-Stick >> ok
- Raspberry 3 Raspbian lite Buster >> kein Erfolg
Schritt 3: Passwort verschlüsseln
Wer Zugang zum Raspberry erlangt, kann nun Ihr persönliches Passwort ermitteln. Wenn der Raspberry im Dauerbetrieb läuft und mehrere Personen damit arbeiten, dann sollten Sie Ihr Passwort verschlüsseln. Das ist allerdings nur ein schwacher Schutz, da Sie weiterhin Ihren Nutzer im Klartext angeben. Um mit nano auf dem raspberry bequem arbeiten zu können, verwenden Sie als root eine Befehlskette, um aus Ihrem Passwort einen Hashcode zu erzeugen und hinten ihn der Datei wpa_supplicant.conf anzufügen. Geben Sie auf der Konsole ein:
sudo -i echo -n IhrZentralesPasswort | iconv -t UTF-16LE | openssl md4 >> /etc/wpa_supplicant/wpa_supplicant.conf nano /etc/wpa_supplicant/wpa_supplicant.conf
Nun ersetzen Sie in wpa_supplicant.conf noch password=“IhrZentralesPasswort“ durch password=hash:889c9… (ohne Gänsefüßchen, die lange Kette, die am Ende der wpa:supplicant.conf steht)
Warum ist ein Enterprise Netzwerk anders als ein Heimnetzwerk?
Technisch unterscheidet sich eduroam (oder das Netz HN1X an der Hochschule Niederrhein) von einem heimischen WLAN durch die Authentifizierung des Benutzers über den Standard IEEE 802.1x in Kombination mit Radius, bei der eine zentrale Benutzerverwaltung existiert. Die Benutzerverwaltung entscheidet darüber, ob der angemeldete Nutzer berechtigt ist, Zugang zum Netzwerk und damit zum Internet zu bekommen oder nicht. Das hat wiederum zwei Gründe: Erstens ermöglicht das Vorgehen ein „single-sign-on“,soll also für den Nutzer bequemer sein, zweitens sind die Sicherheitsanforderungen in einem Enterprise-Netzwerk meist höher als in einem Heim-Netzwerk.
Fehlersuche zu eduroam Raspberry Pi
Da mehrerer Komponenten an der Netzwerkverbindung beteiligt sind, gestaltet sich eine eventuelle Fehlersuche aufwändig. Zur Analyse seien hier ein paar Tipps gegeben.
Ob Sie eine IP-Adresse erhalten haben, stellen Sie fest mit
ifconfig
Zunächst können Sie schauen, welche Netzwerke überhaupt in Ihrer Nähe erreichbar sind mit
sudo iwlist wlan0 scan | egrep "(ESSID)"
Einige Informationen zum verbundenen WLAN erhalten Sie mit
cat /proc/net/wireless
Manchmal gibt es einfach Tippfehler in der wpa_supplicant.conf. Sie können die Syntax testen mit (alles in eine Zeile)
sudo /sbin/wpa_supplicant -P /var/run/wpa_supplicant.wlan0.pid -i wlan0 -D nl80211,wext -c /etc/wpa_supplicant/wpa_supplicant.conf
Quellen zu eduroam Raspberry Pi
Eine weitere Anleitung auf elektronik-kompendium https://www.elektronik-kompendium.de/sites/raspberry-pi/2205191.htm
Eine weitere Anleitung auf lrz https://www.lrz.de/services/netz/mobil/802_1x/802_1x-linux/
Anleitung zum Verschlüsseln http://www.linux-ratgeber.de/wlan-zugangspasswort-verschluesseln/
Grundsystem auf dem Raspberry aufsetzen: Raspilab Wetterstation Grundsystem aufsetzen
Anleitungen bei der Hochschule Niederrhein (KIS) erhalten nur Studierende und Hochschulangehörige im KIS-Moodle-Raum.