
eduroam
Allgemeines zu eduroam
Mit eduroam haben Angehörige der HCU die Möglichkeit, sich weltweit an anderen Hochschulen und wissenschaftlichen Einrichtungen mit ihrer HCU-Benutzerkennung in das dortige WLAN einzuloggen. Hierzu muss die WLAN-Konfiguration nach den unten angegebenen Vorgaben konfiguriert sein. Eine Übersicht über die an eduroam teilnehmenden Einrichtungen finden Sie unter http://www.eduroam.org.
Als Authentifikationsverfahren bieten wir im Rahmen von eduroam WPA2-Enterprise mit EAP-TTLS an. Als sogenanntes inneres Authentifikationsverfahren kommt hier PAP zum Einsatz. Unser Authentifikations-Server liefert beim Aufbau des TTLS-Tunnels ein Zertifikat, welches voraussetzt, dass ihr Gerät das Root-Zertifikat der Deutschen Telekom (T-Telesec_Global_Root_Class_2) kennt und diesem vertraut.
Die eduroam-Konfiguration sollten Sie unbedingt hier vor Ort an der HCU vornehmen und auf ihre Funktionstüchtigkeit testen. Dies ist die Voraussetzung, dass Sie sich an anderen Orten - ohne die Konfiguration zu ändern - mit eduroam am Netzwerk anmelden können.
Client Konfiguration für Win, Mac OSX, IOS, Android
Maßgeschneiderte Installationsprogramme für Rechner-Betriebssysteme und mobile Geräte sind unter folgendem Link zu erreichen:
eduroam-Konfiguration in aller Kürze
Netzwerkname (SSID): | eduroam |
Sicherheit: | WPA2 Enterprise |
Authentifizierung: | EAP-TTLS |
Verschlüsselung: | AES |
Stammzertifikat: | T-TeleSec GlobalRoot Class 2 |
Name (CN) des 1. Authentifizierungsservers: | ise01.ad.hcuhh.de |
Name (CN) des 2. Authentifizierungsservers: | ise02.ad.hcuhh.de |
innere Authentifizierung: | MSCHAPv2 |
äußere Identität: | anonymous@hcu-hamburg.de |
innere Identität: | <HCU-Benutzerkennung>@hcu-hamburg.de |
Passwort: | Passwort der HCU-Benutzerkennung |
Zusätzlich sind die folgenden Kombinationen zur Authentifizierung möglich:
Einsatzzweck Windows 7, Vista und Mobile
Authentifizierung: | PEAP |
Innere Authentifizierung: | MSCHAPv2 |
und | |
Authentifizierung: | EAP-TTLS |
Innere Authentifizierung: | PAP |
Sicherheitshinweis
Der Login mit IEEE 802.1X lässt sich soweit absichern, dass der Benutzer verifizieren kann, dass er tatsächlich mit der eigenen Heimatorganisation verbunden ist, bevor er persönliche Daten (Passwort) preisgibt. Diese Sicherheitsüberprüfung findet am Gerät des Benutzers selbst statt. Es liegt daher in seiner eigenen Verantwortung, seinen 802.1X-Supplikanten ordnungsgemäß zu konfigurieren. Bei einer nutzerseitigen Fehlkonfiguration (beispielsweise eine abgeschaltete Überprüfung des Serverzertifikats oder des Server-Namens) ist daher die Vertraulichkeit des Logins nicht gewährleistet.