WLAN-Clients einrichten

Individuelle Authentifizierung mit Freeradius unter Linux

Praxis & Tipps | Praxis

Seite 6: WLAN-Clients einrichten

Die Anmeldung bei einem Radius-geschützten WLAN läuft etwas anders als gewohnt. Statt nur das gemeinsame WPA-Passwort brauchen Sie nun die beim Radius-Server hinterlegte Username/Passwort-Kombination.

Damit Windows 7 das selbsterzeugte Stammzertifikat korrekt im Speicher für "Vertrauenswürdige Stammzertifizierungsstellen" ablegt, muss man etwas nachhelfen.

Noch vorm ersten Anmelden importieren Sie das Stammzertifikat, etwa von einem USB-Speicherstick. Nach einem Doppelklick auf die Datei ca.der drücken Sie den Knopf "Zertifikat installieren". Dann klicken Sie sich bis zur Sicherheitswarnung "Sie sind im Begriff ..." durch und bestätigen die Installation. Windows XP nimmt dabei automatisch den korrekten Zertifikatsspeicher.

Anders bei Windows 7: Hier müssen Sie manuell "Vertrauenswürdige Stammzertifizierungsstellen" als gewünschten Zertifikatsspeicher wählen. Abgelaufene oder vorübergehend für Tests installierte Zertifikate können Sie mit dem Zertifikatsmanager aus dem Speicher entfernen. Das Tool erreichen Sie über das Startmenü, indem Sie certmgr.msc ins Suchfeld eingeben.

Anschließend richten Sie das WLAN im Netzwerkcenter von Hand ein (Hinzufügen/"Ein Netzwerkprofil manuell erstellen"): Wählen Sie dabei als Sicherheitstyp WPA2-Enterprise. Dann ändern Sie die Verbindungseinstellungen beim Reiter "Sicherheit": Die vorgegebene Methode "Microsoft: Geschütztes EAP (PEAP)" passt, muss aber durch Klick auf den Knopf "Einstellungen" angepasst werden. Hier aktivieren Sie mit einem Häkchen das eigene Zertifikat in der Liste der vertrauenswürdigen Stammzertifizierungsstellen und deaktivieren die Benutzeraufforderung zur Autorisierung neuer Server.

Ein individueller commonName bei der Zertifikatserzeugung hilft, das eigene Stammzertifikat im Verwaltungstool – bei Windows: certmgr.msc – leichter wiederzufinden.

Bei der Authentifizierungsmethode per gesichertem Kennwort (EAP-MSCHAPv2) schalten Sie per Klick auf "Konfigurieren" das automatische Übergeben der Windows-Anmeldedaten aus. Nach dem Druck auf OK wählen Sie unter "Erweiterte Einstellungen" als Authentifizierungsmodus "Benutzerauthentifizierung".

Unter Windows XP ist ebenso Handarbeit gefragt: Wählen Sie im Startmenü unter "Verbinden mit" Ihre WLAN-Verbindung aus, rufen die erweiterten Einstellungen auf und fügen beim Reiter "Drahtlosnetzwerke" ein neues hinzu. Tragen Sie beim Reiter "Zuordnung" den Funknetznamen ein und wählen Sie die passende Verschlüsselung, am besten WPA2/AES.

Unter "Authentifizierung" stellen Sie auf "Geschütztes EAP (PEAP)" um, wählen bei "Eigenschaften" das eigene Stammzertifikat und deaktivieren die Benutzeraufforderung zur Autorisierung neuer Server. Nun schalten Sie beim Konfigurieren der voreingestellten Authentifizierungsmethode (EAP-MSCHAPv2) noch das automatische Verwenden der Windows-Anmeldedaten ab.

Opensuse 11.2 (links, mit dem NetworkManager als Netzwerkverwalter) und Ubuntu 9.10 fassen die Einstellungen für Radius-geschützte WLANs in einem Formular zusammen. Auch hier muss das Stammzertifikat auf dem lokalen Massenspeicher bereitliegen.

Unter Ubuntu 9.10 fällt das Einrichten des Radius-WLANs sehr leicht: Kopieren Sie das Stammzertifikat ca.der vom USB-Stick ins Heimverzeichnis (Persönlicher Ordner) oder einen anderen zugänglichen Ort. Wählen Sie das Funknetz über das Netzwerk-Logo im Tray aus, setzen Sie das CA-Zertifikat auf die kopierte Datei, geben Sie noch Namen und Passwort ein, fertig.

Bei Opensuse 11.2 geht das Einrichten des Radius-Zugangs etwas umständlicher: Stellen Sie zunächst in den Netzwerkeinstellungen (Startmenü, "Netzwerk" ins Suchfeld eingeben) die Netzwerkverwaltung vom traditionellen ifup-Modell auf den wesentlich komfortableren NetworkManager um, falls noch nicht geschehen. Dann kopieren Sie ca.der auf den lokalen Massenspeicher. Anschließend rufen Sie per Klick auf das Tray-Icon des NetworkManagers "WLAN-Schnittstelle Netzwerkverbindung erstellen" auf, wählen aus der Liste Ihr Radius-WLAN aus und klicken auf "Verbinden". Stellen Sie die Authentifizierung auf "Tunneled TLS (TTLS)" um, setzen den Pfad auf das soeben kopierte Stammzertifikat, stellen die innere Authentifizierungsmethode auf "MSCHAPv2" und tragen die WLAN-Zugangsdaten ein.

Anzeige