Im Rahmen der Migrationslösung existieren in der Regel zwei Möglichkeiten (webbasierte Authentifizierung, 802.1X basierte Authentifizierung), um sich als DFNRoaming Nutzer zu legitimieren. In beiden Fällen ist der Aufbau von nur einer Authentifizierung-Infrastruktur erforderlich. Im Folgenden werden Stationen genannt, die für die Installation eines dienstkonformen DFNRoaming WLAN's wichtig sind:
- Damit Nutzer im Rahmen des DFNRoaming über eine Verzeichnisstruktur (Radius-Hierarchy) authentifiziert werden können, ist der Aufbau eines Radius-Server, z.B. freeradius-1.0.1 (www.freeradius.org) erforderlich.
- Dieser Radius-Server ist in die TOP-Level Hierarchie einzubetten. Dazu wird eine "Secret Phrase" und ein sogenannter Realm (@einrichtung.de) in Absprache mit der DFN-Geschäftsstelle vereinbart. Für die Kommunikation des Radius-Servers mit den Top-Level Radius-Servern sind folgende UDP-Ports zu konfigurieren und auf den jeweiligen Firewalls zu berücksichtigen: AuthPort:1812, AcctPort:1813, ProxyPort: 1814. Die Eintragung der jeweiligen Radius-Server in die Konfigurations-Scripte der TOP-Level Radius-Server wird auf Anfrage von der DFN-Geschäftstelle durchgeführt.
- Die Migrationslösung startet mit einer simplen webbasierten Authentifizierung und mündet unter gegebenen Voraussetzungen in die 802.1X bzw. 802.11i basierte Authentifizierung. Bei der webbasierten Zugangsmethode ist die SSID auf den Access Points auf VPN/WEB zu setzen und ggf. zu "broadcasten". Es darf hierbei keine Verschlüsselung aktiviert sein. Bei der 802.1X basierten Lösung ist die SSID auf den Acces Points auf eduroam zu setzen und die Verschlüsselung WPA/WPA2 zu verwenden.
Eine Beispielkonfiguration für den FREERADIUS-2.x und für den radsecproxy erhalten Sie von uns auf Anfrage.
Wie der SecureW2 (802.1X Supplikant für Windows2000/XP/PocketPC) konfiguriert wird, finden Sie hier (Frage Nr. 21).
