Page 1 of 25 Katholieke Hogeschool Limburg – Dienst ICT
Campus Diepenbeek, Agoralaan Gebouw B bus 1 3590 Diepenbeek
WiKHLim_secured
Versie: 1.6
Inhoud
1 Samenvatting ... 2
2 WiKHLim_secured ... 2
2.1 Intel PROSet ... 3
2.2 MS Windows XP ... 6
2.3 MS Windows 7 ...10
2.4 Mac OS X 10.6 en lager ...15
2.5 Mac OS X 10.7 en hoger ...18
2.6 Ubuntu ...21
2.7 Nokia Symbian ...22
2.8 Android ...23
2.9 Overzicht Van De Basisparameters ...25
Page 2 of 25
1 Samenvatting
In dit document wordt uitgelegd hoe je gebruik kan maken van het “WiKHLim_secured” netwerk. Elk hoofdstuk staat op zichzelf en vormt telkens een aparte handleiding voor een bepaald besturingssysteem of toestel. Je moet dus enkel de stappen uitvoeren die op jouw specifieke configuratie van toepassing zijn.
Wanneer je bv. MS Windows XP gebruikt (zonder Intel PROSet) moet je enkel de stappen onder het hoofdstuk “MS Windows XP” op pagina 6 uitvoeren.
Alle correcties en suggesties zijn welkom en mogen doorgestuurd worden naar helpdesk@khlim.be.
2 WiKHLim_secured
Het “WiKHLim_secured” netwerk kan gebruikt worden door studenten, docenten en personeelsleden om op een veilige manier (m.b.v. WPA2 - AES) draadloos te connecteren. Als authenticatiemethode wordt PEAP-MSCHAPv2 gebruikt aangezien dit, out-of-the-box, door een groot aantal besturingssystemen ondersteund wordt. Hierdoor is het gebruik van extra software (zoals bv. de Intel PROSet of de SecureW2 Client) geen vereiste meer. Een beknopt overzicht van de instellingen kan achteraan in het hoofdstuk
“Overzicht Van De Basisparameters” op pagina 25 gevonden worden voor diegenen die geen gebruik willen maken van de stap voor stap handleidingen.
Om zo veilig mogelijk te kunnen werken wordt er aangeraden om ook het servercertificaat van de achterliggende radiusserver te verifiëren. Hiervoor kan het nodig zijn om het “AddTrust External CA Root”
basiscertificaat bij te installeren als dit nog niet standaard aanwezig is. Dit basiscertificaat kan gedownload worden van de KHLim website in verschillende formaten en met verschillende extensies via de URL “http://www.khlim.be/pagina/draadloos-netwerk”.
In MS Windows kan je nagaan of dit basiscertificaat al geïnstalleerd is m.b.v. “certmgr”, deze management console kan je starten door bij uitvoeren “certmgr.msc” te typen. Onder “Vertrouwde basiscertificeringsinstanties” kan je nu zien welke basiscertificaten reeds geïnstalleerd zijn en verifiëren of het “AddTrust External CA Root” basiscertificaat er al tussen staat of niet:
Wanneer dit certificaat nog niet geïnstalleerd is kan je dit onder MS Windows als volgt importeren:
Download het certificaat van de website.
Dubbelklik op het certificaat en bevestig eventueel dat je dit wil openen.
Kies nu voor de optie “Certificaat installeren...” om naar de importwizard te gaan.
Kies voor Volgende om verder te gaan met de importwizard.
Selecteer de optie “Automatisch het certificaatarchief selecteren...” en kies opnieuw voor Volgende om verder te gaan.
Kies tenslotte voor Voltooien om het certificaat te importeren.
Page 3 of 25
2.1 Intel PROSet
De volgende stappen werden uitgewerkt op MS Windows XP SP3 met Intel PROSet 11.5.1.2.
In Windows XP is het mogelijk om additionele software, zoals de Intel PROSet, te gebruiken om de draadloze netwerken te beheren. Via Start Programma’s “Intel PROSet Wireless” kan je de Intel PROSet software openen als deze geïnstalleerd is. Wanneer je dan echter het onderstaande venster krijgt wordt de Intel PROSet software niet gebruikt om de draadloze netwerken te beheren en moet je de stappen onder het hoofdstuk “MS Windows XP” op pagina 6 volgen om de MS Windows WZC te configureren anders kan je verder gaan met de stappen in dit hoofdstuk.
Voeg in de Intel PROSet een nieuw profiel toe via “Profielen...” en kies daarna voor “Toevoegen...”:
Page 4 of 25 De “Algemene Instellingen”:
Profielnaam: WiKHLim_secured
SSID: WiKHLim_secured
De “PEAP-gebruiker” sectie onder “Beveiligingsinstellingen”:
Netwerkverificatie: WPA2 – Enterprise
Gegevensencodering: AES – CCMP
Verificatietype: PEAP
Verificatieprotocol: MS-CHAP-V2
Als gebruikersreferenties kan je nu kiezen om manueel de referenties in te geven of om gebruik te maken van de Windowsreferenties.
Manueel:
o Gebruikersreferenties: “Het volgende gebruiken”
o Gebruikersnaam: <KHLim-gebruikersnaam>
o Domein: <Leeg laten>
o Wachtwoord: <KHLim-paswoord>
Page 5 of 25 Of m.b.v. de Windowsreferenties:
o Gebruikersreferenties: "Aanmeldingsgegevens voor Windows gebruiken"
Dit zal enkel correct werken wanneer de lokale Windowsreferenties (gebruikersnaam en paswoord) hetzelfde zijn als in MS AD. Dit betekent concreet dat wanneer je KHLim-gebruikersnaam bv. “1234567” is, dat je dan lokaal op je laptop ook met de gebruiker “1234567” en hetzelfde paswoord als in MS AD moet werken om van deze optie gebruik te kunnen maken. Hou hier rekening mee en gebruik deze optie dus enkel wanneer je zeker bent dat deze overeenkomen!
Zwervende identiteit: <KHLim-gebruikersnaam>
De “PEAP-server” sectie onder “Beveiligingsinstellingen”:
De optie “Servercertificaat valideren” aanzetten.
Certificaatverlener: “AddTrust External CA Root”
Wanneer dit niet in de lijst voorkomt kan het zijn dat dit basiscertificaat nog niet geïnstalleerd is.
De optie “Server- of certificaatnaam opgeven” aanzetten.
Server- of certificaatnaam: radius.khlim.be
De optie “Servernaam moet identiek zijn aan de opgegeven naam” aanzetten.
Klik op “OK” om het profiel op te slaan en daarna op “Sluiten” om terug naar het overzicht van de draadloze netwerken te gaan.
Wanneer je nu het “WiKHLim_secured” netwerk selecteert en op “Verbinden” klikt zal er hiermee verbonden worden gebruikmakend van de configuratie in het nieuwe profiel.
Page 6 of 25
2.2 MS Windows XP
De volgende stappen werden uitgewerkt op MS Windows XP SP3.
Ga via Start Instellingen Netwerkverbindingen naar het overzicht van de netwerkverbindingen.
Rechtsklik hier op de draadloze netwerkverbinding en kies daarna in het menu voor de optie
“Beschikbare draadloze netwerken weergeven”. Selecteer nu in het overzicht van de draadloze netwerken de optie "Geavanceerde instellingen wijzigen".
Selecteer daarna in het “Eigenschappen voor...” venster het tabblad "Draadloze netwerken" en kies voor "Toevoegen" om een nieuw profiel te maken.
Page 7 of 25 Onder het tabblad “Koppeling”:
SSID: WiKHLim_secured
Netwerkverificatie: WPA2
Gegevensversleuteling: AES
Onder het tabblad “Verificatie”:
EAP-type: Beveiligde EAP (PEAP)
"Als computer verifiëren..." uitzetten.
"Als gast verifiëren..." uitzetten.
Selecteer "Eigenschappen":
o De optie "Servercertificaat verifiëren" aanzetten.
o De optie "Verbinding maken met deze servers" aanzetten en als server
"radius.khlim.be" invullen.
o Selecteer als vertrouwde certificeringsinstantie "AddTrust External CA Root".
Wanneer dit niet in de lijst voorkomt kan het zijn dat dit basiscertificaat nog niet geïnstalleerd is.
o De optie "Gebruiker niet vragen om nieuwe..." aanzetten.
o Selecteer als verificatiemethode “Beveiligd wachtwoord (EAP-MSCHAP v2)”.
Page 8 of 25
o Selecteer “Configureren”, als gebruikersreferenties kan je er nu voor kiezen om later manueel de referenties in te geven of om automatisch gebruik te maken van de Windowsreferenties.
Manueel:
De optie "Automatisch mijn windows..." uitzetten.
Of m.b.v. de Windowsreferenties:
De optie "Automatisch mijn windows..." aanzetten.
Dit zal enkel correct werken wanneer de lokale Windowsreferenties (gebruikersnaam en paswoord) hetzelfde zijn als in MS AD. Dit betekent concreet dat wanneer je KHLim-gebruikersnaam bv. “1234567”
is, dat je dan lokaal op je laptop ook met de gebruiker “1234567” en hetzelfde paswoord als in MS AD moet werken om van deze optie gebruik te kunnen maken. Hou hier rekening mee en gebruik deze optie dus enkel wanneer je zeker bent dat deze overeenkomen!
o De optie "Snel opnieuw verbinding..." mag je aan- of uitzetten.
o De optie "Quarantainecontroles..." uitzetten.
o De optie "Verbinding verbreken als..." uitzetten.
o Klik op “OK” om deze instellingen op te slaan.
Selecteer nogmaals “OK” om dit profiel op te slaan.
Page 9 of 25
Wanneer er nu voor de eerste maal verbinding gemaakt wordt met het “WiKHLim_secured” netwerk (en er wordt geen gebruik gemaakt van de automatische Windowsreferenties) zal er gevraagd worden naar de gebruikersreferenties m.b.v. een melding in de notificationtray: "Klik hier als u een certificaat of andere referenties...". Vul de “Gebruikersnaam” en “Wachtwoord” in en laat het
“Aanmeldingsdomein” leeg.
Wanneer de aanmelding succesvol was worden deze referenties opgeslagen in de registry zodat hier niet telkens opnieuw naar gevraagd wordt. Het nadeel hiervan is wel dat wanneer je later toch zou willen inloggen met andere referenties je de oude manueel moet verwijderen uit de registry.
Zie ook http://support.microsoft.com/kb/823731
Page 10 of 25
2.3 MS Windows 7
De volgende stappen werden uitgewerkt op MS Windows 7.
Ga via Start Configuratiescherm “Netwerk en internet” naar het “Netwerkcentrum" en selecteer de optie "Draadloze netwerken beheren".
Selecteer hier “Toevoegen” en kies voor "Handmatig een netwerkprofiel toevoegen":
Netwerknaam: WiKHLim_secured
Beveiligingstype: WPA2-Enterprise
Versleutelingstype: AES
Page 11 of 25
Kies nu voor “Volgende” en selecteer "Verbindingsinstellingen wijzigen" om de beveiligingsopties verder te configureren:
Onder het tabblad “Beveiliging”:
o Selecteer als netwerkverificatie methode: “Microsoft: Beveiligde EAP (PEAP)”
o Selecteer “Instellingen”:
De optie "Servercertificaat valideren" aanzetten.
De optie "Verbinding maken met deze servers" aanzetten en als server
"radius.khlim.be" invullen.
Selecteer als Trusted Root Certification Authorities "AddTrust External CA Root".
Wanneer dit niet in de lijst voorkomt kan het zijn dat dit basiscertificaat nog niet geïnstalleerd is.
De optie "Gebruiker niet vragen om nieuwe servers of…" aanzetten.
Selecteer als Verificatiemethode: “Beveiligd paswoord (EAP-MSCHAP v2)”
Page 12 of 25
Selecteer “Configureren”, als gebruikersreferenties kan je er nu voor kiezen om later manueel de referenties in te geven of om automatisch gebruik te maken van de Windowsreferenties.
Manueel:
De optie "Automatisch mijn Windows..." uitzetten.
Of m.b.v. de Windowsreferenties:
De optie "Automatisch mijn Windows..." aanzetten.
Dit zal enkel correct werken wanneer de lokale Windowsreferenties (gebruikersnaam en paswoord) hetzelfde zijn als in MS AD. Dit betekent concreet dat wanneer je KHLim- gebruikersnaam bv. “1234567” is, dat je dan lokaal op je laptop ook met de gebruiker “1234567”
en hetzelfde paswoord als in MS AD moet werken om van deze optie gebruik te kunnen maken.
Hou hier rekening mee en gebruik deze optie dus enkel wanneer je zeker bent dat deze overeenkomen!
De optie "Snel opnieuw verbinding maken inschakelen" mag je aan- of uitzetten.
De optie "NAP afdwingen" uitzetten.
De optie "Verbinding verbreken als de server geen…" uitzetten.
De optie "Identiteitsprivacy inschakelen" uitzetten.
Klik op “OK” om de instellingen op te slaan.
Page 13 of 25 o Selecteer "Geavanceerde instellingen":
De optie "Verificatiemodus opgeven" aanzetten.
Selecteer "Verificatie van de gebruiker".
M.b.v. "Referenties opslaan" kan je de referenties eventueel hier al ingeven, anders zal dit gevraagd worden wanneer er voor de eerste maal een verbinding gemaakt wordt met het “WiKHLim_secured” netwerk m.b.v. een melding in de notificationtray.
Page 14 of 25
Eventueel kan je ook de optie “Eenmalige aanmelding inschakelen...” aanzetten.
Deze optie zorgt ervoor dat er direct na het inloggen al geprobeerd wordt om een verbinding te maken met het draadloze netwerk. Op deze manier kunnen eventuele loginscripts, group policies, ... ook automatisch uitgevoerd worden wanneer er enkel verbonden wordt m.b.v. het draadloze netwerk:
Deze optie is eigenlijk alleen nodig als je laptop in het KHLim domain zit.
Klik op “OK” om de instellingen op te slaan.
o Klik nogmaals op “OK” om het profiel op te slaan.
Wanneer de eerste aanmelding succesvol was worden de referenties opgeslagen. Deze referenties kunnen verwijderd worden door bij de eigenschappen van het netwerkprofiel in het tabblad Beveiliging de optie "Mijn referenties voor deze verbinding onthouden nadat ik ben aangemeld." uit te zetten of bij het van tevoren invullen m.b.v. "Referenties opslaan" de optie "Referenties verwijderen voor alle gebruikers" aan te zetten.
Page 15 of 25
2.4 Mac OS X 10.6 en lager
De volgende stappen werden uitgewerkt op een Mac OS X 10.6.5 Snow Leopard.
Selecteer in het “Apple-menu” de optie “Systeemvoorkeuren” en daarna, in de sectie “Internet en draadloos”, het onderdeel “Netwerk”.
Zorg ervoor dat de “AirPort” adapter geselecteerd is.
Page 16 of 25
Kies voor “Geavanceerd...”.
Selecteer de “802.1X” tab
o Klik op “+” en selecteer “voeg gebruikersprofiel toe”, geef dit profiel een naam zoals
“WiKHLim_secured”.
o Gebruikersnaam: <KHLim-gebruikersnaam>
o Paswoord: <KHLim-paswoord>
o Selecteer bij “identiteitscontrole” enkel PEAP.
o Klik op “OK”.
Klik op “Pas toe”.
Klik daarna op het “Apple Airport signaalsterkte icoon” in de menubalk zodat je een lijst van de beschikbare netwerken te zien krijgt.
Selecteer het “WiKHLim_secured” netwerk en kies in het volgende venster bij “802.1X” het juist gemaakte profiel, hierdoor zullen automatisch de gebruikersnaam en paswoord velden ingevuld worden.
Page 17 of 25
De eerste keer dat je connecteert zal je een melding krijgen om het certificaat te controleren. Het wordt aangeraden om na te gaan of de certificaatgegevens kloppen om zeker te zijn van de identiteit van de radiusserver.
Selecteer nu “Toon certificaat” en verifieer of de gegevens van het certificaat overeenkomen met het onderstaande:
Selecteer nu “Ga door” als dit in orde is om dit certificaat permanent te aanvaarden en met het
“WiKHLim_secured” netwerk te verbinden.
Page 18 of 25
2.5 Mac OS X 10.7 en hoger
De volgende stappen werden uitgewerkt op een Mac OS X 10.8.3 Mountion Lion.
Selecteer in het “Apple-menu” de optie “Systeemvoorkeuren” en daarna, in de sectie “Internet en draadloos”, het onderdeel “Netwerk”.
Zorg ervoor dat de “Wi-Fi” adapter geselecteerd is.
Klik op “Geen Netwerk geselecteerd”. De beschikbare netwerken worden dan getoond.
Page 19 of 25 Klik op “WiKHLim_secured”.
Nu wordt er gevraagd naar je KHLim-gebruikersnaam en paswoord en klik vervolgens op “Verbind”.
De eerste keer dat je connecteert zal je een melding krijgen om het certificaat te controleren. Het wordt aangeraden om na te gaan of de certificaatgegevens kloppen om zeker te zijn van de identiteit van de radiusserver.
Page 20 of 25
Selecteer nu “Toon certificaat” en verifieer of de gegevens van het certificaat overeenkomen met het onderstaande:
Selecteer nu “Ga door” als dit in orde is om dit certificaat permanent te aanvaarden en met het
“WiKHLim_secured” netwerk te verbinden.
Page 21 of 25
2.6 Ubuntu
De volgende stappen werden uitgewerkt op Ubuntu Desktop 10.10.
Klik in de menubalk op het icoontje van de draadloze netwerken:
Selecteer daarna in het overzicht van de beschikbare netwerken het “WiKHLim_secured” netwerk:
Vul volgende gegevens in:
Wireless security: WPA & WPA2 Enterprise
Authentication: Protected EAP (PEAP)
Anonymous identity: <KHLim-gebruikersnaam>
CA certificate: “AddTrust External CA Root”
Het kan zijn dat je dit certificaat nog moet downloaden van de KHLim website.
PEAP version: Automatic
Inner authentication: MSCHAPv2
Username: <KHLim-gebruikersnaam>
Password: <KHLim-paswoord>
Klik op “Connect” om verbinding te maken
Page 22 of 25
2.7 Nokia Symbian
De volgende stappen werden uitgewerkt op een Nokia E71 met firmware 400.21.013.
Controleer eerst en vooral of het “AddTrust External CA Root” certificaat aanwezig is aangezien de verificatie van het servercertificaat niet uitgezet kan worden. Ga via menu Tools Settings General Security “Certificate management” naar “Authority certificates” om de geïnstalleerde basiscertificaten te bekijken. Als het certificaat nog niet geïnstalleerd is moet dit eerst toegevoegd worden door dit bv. te downloaden of m.b.v. een memorycard over te zetten.
Ga naar “menu”, “Connectivity” en vervolgens “WLAN wiz.”.
highlight het “WiKHLim_secured” netwerk en selecteer “Options” en dan “Define access point”.
Configureer de netwerksettings nu als volgt:
Connection name: <een duidelijke naam voor het netwerk of gewoon de SSID naam houden>
Data bearer: Wireless LAN
WLAN network name: WiKHLim_secured
Network status: Public
WLAN network mode: Infrastructure
WLAN security mode: 802.1x
Selecteer vervolgens de “WLAN security settings”:
WPA/WPA2: EAP
Selecteer “EAP plug-in settings”:
Enkel EAP-PEAP zou uiteindelijk mogen enabled zijn en deze kan best helemaal bovenaan gezet worden.
Selecteer “EAP-PEAP”:
Personal certificate: “Not defined”
Authority certificate: “AddTrust External CA Root”
User name in use: “User defined”
User name: <KHLim-gebruikersnaam>
Realm in use: “User defined”
Realm: leeg laten
Allow PEAPv0: Yes
Allow PEAPv1: No
Allow PEAPv2: No
Druk nu naar rechts om de inner EAP-methods te configureren en enable enkel EAP-MSCHAPv2 en zet deze ook best helemaal bovenaan.
Selecteer daarna EAP-MSCHAPv2:
User name: <KHLim-gebruikersnaam>
Prompt password: “No” om eenmalig het KHLim-paswoord in te voeren of “Yes” om bij elke nieuwe verbinding opnieuw het KHLim-paswoord in te voeren.
Password: Indien er bij “Prompt password” voor “No” gekozen werd moet je hier je KHLim- paswoord eenmalig invoeren.
Druk meerdere malen op “back” om de configuratie te beëindigen. Vanaf dan zou het mogelijk moeten zijn om te connecteren op het “WiKHLim_secured” netwerk.
Page 23 of 25
2.8 Android
De volgende stappen werden uitgewerkt op een Samsung Galaxy Apollo met Android 2.1.
Controleer of het “AddTrust External CA Root” basiscertificaat aanwezig is. Indien het certificaat nog niet aanwezig is moet dit eerst toegevoegd worden door dit bv. te downloaden of m.b.v. een memorycard over te zetten.
Ga via Applicaties Instellingen “Draadloos en netwerk” naar de “Wi-Fi-instellingen”.
Selecteer hier het “WiKHLim_secured” netwerk.
Er wordt mogelijk een paswoord gevraagd. Dit paswoord kan je vrij kiezen en wordt gebruikt voor het beveiligen van je credentials.
Wanneer je bv. je credentials wil verwijderen moet je dit paswoord opgeven.
Page 24 of 25 Configureer de netwerksettings nu als volgt:
EAP-methode: PEAP
Fase 2 verificatie: MSCHAPV2
CA-certificaat: “AddTrust External CA Root”
Clientcertificaat: N/A
Identificatie: <KHLim-gebruikersnaam>
Anonieme identificatie: <KHLim-gebruikersnaam>
Draadloos wachtwoord: <KHLim-paswoord>
Druk nu op verbinden om verbinding te maken met “WiKHLim_secured”.
Page 25 of 25
2.9 Overzicht Van De Basisparameters
Voor diegenen die geen gebruik willen maken van de voorgaande stap voor stap handleidingen kunnen de volgende basisparameters als richtlijn gebruikt worden voor de configuratie:
SSID: WiKHLim_secured
Beveiliging: WPA2 Enterprise
Encryptie: AES – CCMP
Authenticatiemethode: PEAP-EAP-MSCHAPv2
Inner identity: <KHLim-gebruikersnaam>
Paswoord: <KHLim-paswoord>
Outer identity: <KHLim-gebruikersnaam>
Root CA: “AddTrust External CA Root”
Servernaam: radius.khlim.be
