WLAN in der SPK

Staatliche Museen zu Berlin (SMB)


Hinweise und Konfigurationsbeispiele für Linux ab Kernel 2.6 (OpenSUSE, Debian - WPA/TKIP)

Anleitung zur WLAN-Nutzung in den SMB

Die Staatlichen Museen zu Berlin bieten ihren Nutzerinnen und Nutzern Internet­zugang über eine gesicherte WLAN-Verbindung an. Die Namen (SSID) der Netze sind WLAN-SPK-Erstzugang und SMB.
  
Bitte beachten Sie: 
Als Passwort dient immer Ihr Geburtsdatum in der Form ttmmjj (nur Zahlen, keine Punkte). Das gilt selbst für den Fall, dass Sie Ihr Passwort im Ausleihsystem der Staatlichen Museen zu Berlin geändert haben.
 
Wenn Sie ein neuer Benutzer sind oder einen neuen Benutzerausweis erhalten haben, dauert es bis zu zwei Stunden, bis Ihr Benutzerkonto für den WLAN-Zugriff aktiviert wird.
 
Die SMB bieten keinerlei Support für den Betrieb unter LINUX.

Da viele LINUX-WLAN-Treiber zurzeit noch Probleme mit WPA2 haben, bezieht sich diese Zugangsanleitung auf WPA in Verbindung mit 802.1x (EAP-TTLS & PAP) und TKIP.


Die Anleitung setzt folgende Dinge voraus:
  • eine Linux-kompatible, bereits eingerichtete WLAN-Karte
  • das Paket wireless-tools
  • den WPA & 802.1x Supplikanten wpa_supplicant
Es wird davon ausgegangen, dass alle Pakete bereits installiert und auf aktuellem Stand sind.

Anleitung im PDF-Format

OpenSUSE Linux

Konfiguration und Start des WPA-Supplikanten

Verbinden Sie sich bitte mit folgenden Befehlen über die SSID „WLAN-SPK-Erstzugang“ zu unserem WLAN-Portal:
root@laptop:~# ifconfig wlan0 down
root@laptop:~# iwconfig wlan0 essid WLAN-SPK-Erstzugang
root@laptop:~# iwconfig wlan0 enc off
root@laptop:~# ifconfig wlan0 up
root@laptop:~# dhclient wlan0
Danach können Sie unser WLAN-Portal unter der URL http://wlan.spk-berlin.de in Ihrem Browser aufrufen.

Die Konfiguration des WPA-Supplikanten setzt Root-Rechte voraus und wird in einem X-Terminal ausgeführt. Zunächst muss das SSL-Zertifikat ca_smb.txt (5,004 kb) (Rechtsklick -> "Ziel speichern unter...") heruntergeladen werden. Als nächstes muss das Verzeichnis /etc/wpa_supplicant/certs/ angelegt werden:
root@laptop:~# mkdir -p /etc/wpa_supplicant/certs

Kopieren Sie jetzt das heruntergeladene Zertifikat in das angelegte Verzeichnis:
root@laptop:~# cp ca_smb.txt /etc/wpa_supplicant/certs/

Danach muss die Datei wlan_smb_wpa_supplicant.conf im Verzeichnis /etc angelegt werden:
root@laptop:~# vi /etc/wlan_smb_wpa_supplicant.conf

In diese Datei muss folgender Inhalt eingefügt werden:
ctrl_interface=/var/run/wpa_supplicant
#Bitte kommentieren Sie unter OpenSUSE die Direktive ap_scan=2 ein.
#ap_scan=2
eapol_version=1

# WLAN-SPK (TKIP/EAP-TTLS/PAP)
network={
 ssid="SMB"
 scan_ssid=1
 proto=WPA RSN
 key_mgmt=WPA-EAP
 pairwise=TKIP CCMP
 group=TKIP
 eap=TTLS
 anonymous_identity="anonymous@spk.de"
 identity="0000000@spk.de"
 password="xxxxxxxx"
 ca_cert="/etc/wpa_supplicant/certs/ca_smb.txt"
 phase2="auth=PAP"
}

Passen Sie bitte in dieser Konfiguration die Werte ssid, identity und password individuell an.

Laden Sie danach bitte dieses Script herunter:

SMB-WLAN-Start-Script

Dieses Script muss ausführbar gemacht werden:
root@laptop:~# mv wlan-smb-start.sh.txt wlan-smb-start.sh
root@laptop:~# chmod 755 wlan-smb-start.sh

Falls die Programme awk, ifconfig, iwconfig, dhclient und wpa_supplicant nicht im Pfad liegen sollten, tragen Sie bitte die vollständigen Programmpfade im wlan-smb-start.sh-Script bei den entsprechenen Variablen ein.
Das Script wird mit folgendem Befehl gestartet ("wlan0" muss ggf. durch den Namen des eigenen WLAN-Interfaces ersetzt werden):
root@laptop:~# ./wlan-smb-start.sh wlan0 SMB

Folgende Ausgabe sollte erscheinen:
WLAN-SPK Start-Skript
Führe Sanity-Checks durch:
Prüfe Vorhandensein von...
/sbin/ifconfig... OK.
/sbin/iwconfig... OK.
/sbin/wpa_supplicant... OK.
/sbin/dhclient... OK.
/etc/wlan_smb_wpa_supplicant.conf... OK.
Überprüfe, ob das Interface wlan0 existiert... OK.
Überprüfe, ob wlan0 ein WLAN-Interface ist... OK.
OK.
Initialisiere Netzwerkkarte wlan0....... OK.
Starte 802.1x-Supplicant.. OK.
Stelle DHCP-Anfrage... OK.
Die WLAN-SPK-Verbindung SMB wurde erfolgreich gestartet!

Ist dies der Fall, kann das Terminal geschlossen werden. Das WLAN ist konfiguriert. Der WPA-Supplikant läuft nun im Hintergrund. Der Rechner sollte eine IP-Adresse bekommen haben, mit der Sie nun online sind.
Wollen Sie sich erneut zum WLAN verbinden, starten Sie lediglich das Script smb-wlan-start.sh mit Root-Rechten.

Starten des WLAN ohne Start-Script

Sollte das Start-Script nicht funktionieren, gibt es die Möglichkeit, die Befehle einzeln auszuführen. Auch in diesem Fall werden Root-Rechte benötigt.

Folgende Befehle müssen - in dieser Reihenfolge - ausgeführt werden:
root@laptop:~# killall wpa_supplicant
root@laptop:~# ifconfig wlan0 down
root@laptop:~# iwconfig wlan0 essid SMB
root@laptop:~# iwconfig wlan0 mode Managed
root@laptop:~# iwconfig wlan0 enc off
root@laptop:~# ifconfig wlan0 up

Diese Befehle stoppen einen eventuell laufenden WPA-Supplikanten und konfigurieren das WLAN-Interface "wlan0" für den Betrieb an den SMB-Access-Points. Der Name des Interfaces muss ggf. angepasst werden.

Als nächstes muss der WPA-Supplikant gestartet werden (auch hier muss ggf. das Interface hinter der "-i"-Flag angepasst werden):
root@laptop:~# wpa_supplicant –iwlan0 -Dwext -c/etc/wlan_smb_wpa_supplicant.conf -B

Es sollte eigentlich keine Ausgabe erscheinen, da der Flag "-B" den Supplikanten in den Hintergrund schaltet. Wer jedoch eine Ausgabe wünscht, kann anstatt der "-B"-Flag ein "-d" anfügen. Dies schaltet den Debug-Modus ein. Die Angabe hinter der "-D"-Flag gibt den Namen des zu ladenden Treibers an. Weitere Informationen bekommt man über die Flag "--help". Ggf. müssen Sie dort den Treiber Ihrer Netzwerkkarte anpassen.
root@laptop:~# dhclient wlan0


Der letzte Befehl stellt eine DHCP-Anfrage für das WLAN-Interface (wlan0). Ist dieser Befehl fehlerfrei ausgeführt worden, sollte das WLAN funktionieren und Sie sollten online sein. Im Fehlerfall sollten Sie den Supplikanten im Debug-Modus (wie oben beschrieben) laufen lassen, um die Fehlerquelle zu identifizieren.

Debian Linux

Mit den folgenden Installations-Befehlen können Sie prüfen ob die Pakete wireless-tools und wpasupplicant installiert sind bzw. die Installation nachholen.
root@laptop:~# apt-get update
root@laptop:~# apt-get install wireless-tools
root@laptop:~# apt-get install wpasupplicant

Bitte aktualisieren Sie bei Ihrer Distribution ggf. auch die Treiber für Ihren WLAN-Chipsatz. Hier ist ein Beispiel für Intel Wireless 3945 und 4965 Cards:
root@laptop:~# apt-get install firmware-iwlwifi
root@laptop:~# modprobe –r iwl3945
root@laptop:~# modprobe iwl3945
Konfiguration und Start der WLAN-Verbindung

Verfahren Sie bitte an dieser Stelle wie bei der OpenSUSE-Konfiguration oben weiter. Die sonst übliche WPA-Konfiguration der Datei /etc/network/interfaces funktioniert bei unserer eingesetzten WLAN-Technologie EAP-TTLS/PAP nicht korrekt.

Enjoy!