Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/17 10:46
Von Version 9.1
bearbeitet von Jonas Mayer
am 2022/05/09 13:35
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 21.1
bearbeitet von Jonas Mayer
am 2022/05/17 10:46
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,7 +1,9 @@
1 1  Im Zuge der stärkeren Verbreitung von Android 11 (oder neuer) und des WPA3-Standards ist es nötig, bei RADIUS-gesicherten WLAN-Netzen sauber signierte SSL-Zertifikate am RADIUS-Server einzusetzen, damit die Clients eine Verbindung herstellen können.
2 2  Daher wurde ab Puppet-Version 1.5.0 die Möglichkeit implementiert, ein ausgewähltes Let's Encrypt Zertifikat zum FreeRADIUS-Dienst im logosrv zu übertragen. Folgende Anpassungen sind dazu nötig.
3 3  
4 +{{toc start="4" numbered="true"/}}
4 4  
6 +
5 5  ==== __Nötige Konfigurationsschritte__ ====
6 6  
7 7  
... ... @@ -39,6 +39,9 @@
39 39  ----
40 40  
41 41  
44 +==== __Kompatibilität mit Android-Geräten steigern__ ====
45 +
46 +
42 42  Zur Steigerung der Kompatibilität mit Android 11 / 12 Geräten kann man ein Let's Encrypt Zertifikat per acme.sh Tool beantragen, welches nicht durch zwei Zertifizierungsstellen "cross-signed" wurde.
43 43  
44 44  Dafür muss das Zertifikat mit besonderen Optionen beantragt werden. Hierfür zunächst wie üblich zum LXC-Container (% style="color:#3498db" %)**puppeteer**(%%) verbinden und über den Befehl {{box}}sle{{/box}}  zum Benutzer (% style="color:#27ae60" %)**le-acme**(%%) wechseln. Jetzt jedoch nicht auf das bekannte Kommando {{box}}issue [domain]{{/box}} für die Beantragung zurückgreifen, sondern stattdessen folgende beiden Kommandos verwenden (entscheidend sind die beiden Optionen in der letzten Zeile):
... ... @@ -80,13 +80,16 @@
80 80  {{/code}}
81 81  
82 82  
83 -Ab Version 3.0.1 des Tools **acme.sh** kann die bevorzugte Zertifizierungsstelle auch als feste Voreinstellung eingespeichert werden. Dazu im Kontext des Benutzers (% style="color:#27ae60" %)**le-acme**(%%) folgende Konfigurationsdatei anpassen:
88 +----
84 84  
85 -{{code language="bash"}}
86 -root@ldhost:~ $ ssh puppeteer
87 -root@puppeteer:~ $ sle
88 -le-acme@puppeteer:~ $ vim ~/config/ca/acme-v02.api.letsencrypt.org/directory/ca.conf
89 89  
90 -# Folgende Zeile in zur Konfigurationsdatei hinzufügen zur Verwendung der CA "ISRG Root X1" für alle künftigen Let's Encrypt Zertifikate
91 -DEFAULT_PREFERRED_CHAIN='ISRG Root X1'
92 -{{/code}}
91 +==== __WLAN-Profil am Endgerät einrichten (anhand des Beispiels Android)__ ====
92 +
93 +
94 +Am Endgerät muss gemäß WPA3-Spezifikation für die Einrichtung des WLAN-Netzwerks neben den RADIUS-Anmeldedaten (Benutzername + Kennwort) auch die passende Domain eingetragen werden. Der richtige Wert für das Feld **Domäne** ergibt sich also aus dem Let's Encrypt Zertifikat, welches in den vorherigen Schritten zu diesem Zweck beantragt und mit dem FreeRADIUS-Dienst am Server verknüpft wurde.
95 +
96 +[[image:android-wlan.jpg||class="img-thumbnail"]]
97 +
98 +Darüber hinaus ist es wie immer erforderlich, dass das entsprechende Benutzerkonto per LogoDIDACT Console im Benutzermanagement für den WLAN-Zugriff freigeschaltet wurde.
99 +
100 +[[image:grafik.png||class="img-thumbnail"]]
android-wlan.jpg
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.jonasmayer@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +58.5 KB
Inhalt
grafik.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.cge@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +97.6 KB
Inhalt