eduroam-Konfiguration mit dem wpa_supplicant

Der wpa_supplicant läuft auf einigen Betriebssystemen im Hintergrund und belegt das WLAN-Interface. Damit man den wpa_supplicant von Hand starten kann, muss ggf. der NetworkManager gestoppt werden und laufende wpa_supplicant-Prozesse beendet werden. Die Konfigurationsdatei für den wpa_supplicant kann z.B. unter /etc/wpa_supplicant.conf oder ~/.eduroam/eduroam.conf gespeichert werden.

Verbinden über PEAP/MSCHAPV2

Die Konfiguration funktioniert mit einer LRZ-Kennung, die es zu jeder Campus-LMU- und TUM-Kennung gibt. Sie ist von der Form (KVZZKVK, K=Konsonant, V=Vokal, Z=Ziffer, z.B. ba12ced). Die Kennung erfahren Sie über das Campus-LMU- oder TUM-Portal. Für andere Kennungen muss die Konfiguration an den kommentierten Stellen entsprechend angepasst werden.

# Zum Starten:
# z.B. wpa_supplicant -i wlan0 -c /etc/wpa_supplicant.conf
# Danach dhcp-Client (neu) starten
# dhcpcd -n wlan0 oder dhclient wlan0
network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=PEAP
ca_cert="/etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem" # muss zum Radius-Realm bzw. Radius-Server passen
phase2="auth=MSCHAPV2"
identity="kennung@eduroam.mwn.de" # eduroam.mwn.de ggf. durch das passende Radius-Realm ersetzen
domain_suffix_match="radius.lrz.de" # die Option ist nur bei neueren wpa_supplicant-Versionen verfügbar, muss zum Radius-Realm bzw. Radius-Server passen
subject_match="radius.lrz.de" # für ältere Versionen, ist schwächer als domain_suffix_match, muss zum Radius-Realm bzw. Radius-Server passen
anonymous_identity="anonymous@eduroam.mwn.de" # bzw. anonymous@heimat-uni-realm
password="XXXX"
# alternativ einen Passwort-Hash erstellen: https://wlan.lrz.de/cgi-bin/nt-password-hash.py
#password=hash:XXXX
}

Verbinden über TTLS+PAP

Die Konfiguration funktioniert mit einer LRZ-Kennung, die es zu jeder Campus-LMU- und TUM-Kennung gibt. Sie ist von der Form (KVZZKVK, K=Konsonant, V=Vokal, Z=Ziffer, z.B. ba12ced). Die Kennung erfahren Sie über das Campus-LMU- oder TUM-Portal. Für andere Kennungen muss die Konfiguration an den kommentierten Stellen entsprechend angepasst werden.

# Zum Starten:
# z.B. wpa_supplicant -i wlan0 -c /etc/wpa_supplicant.conf
# Danach dhcp-Client (neu) starten
# dhcpcd -n wlan0 oder dhclient wlan0
network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
identity="kennung@eduroam.mwn.de" # eduroam.mwn.de ggf. durch das passende Radius-Realm ersetzen
domain_suffix_match="radius.lrz.de" # die Option ist nur bei neueren wpa_supplicant-Versionen verfügbar, muss zum Radius-Realm bzw. Radius-Server passen
subject_match="radius.lrz.de" # für ältere Versionen, ist schwächer als domain_suffix_match, muss zum Radius-Realm bzw. Radius-Server passen
anonymous_identity="anonymous@eduroam.mwn.de" # bzw. anonymous@heimat-uni-realm
password="XXXX" #(wird für PAP im Klartext benötigt)
ca_cert="/etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem" # muss zum Radius-Realm bzw. Radius-Server passen
phase2="auth=PAP"
}

Das passende Zertifikat ist auf den meisten Distributionen schon vorhanden (/etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem), es kann auch hier heruntergeladen werden: https://www.pki.dfn.de/wurzelzertifikate/globalroot2/#c18447).