• In diesem Bereich findet ihr Tutorials und Reviews. Die Forenrechte zur Erstellung neuer Themen sind hier eingeschränkt, da Problemdiskussionen bitte in den übrigen Forenbereichen auf Apfeltalk zu führen sind. Wer ein Tutorial oder Review einstellen möchte, kann im Unterforum "Einreichung neuer Tutorials" ein neues Thema erstellen. Die Moderatoren verschieben den Beitrag dann in den passenden Bereich.
  • Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Welches Bild soll mehr Schokolade bekommen? Hier geht es lang zur Abstimmung für den Monat März --> Klick

802.1X auf iPhone/iPod touch

Registriert
01.02.07
Beiträge
2.097
Wie viele von euch wissen, unterstützt die iPhone Software 2.0 nun endlich auch 802.1X. Viele haben dieses Feature vermisst, besonders wir Studenten, da viele Universitäten in ihren WLANs diesen Standard zur Authentifizierung nutzen. Nun habe ich in meinem Gerät nach einer Möglichkeit gesucht, die entsprechenden Einstellungen vorzunehmen - vergeblich. Nach einigem Googlen fand ich dann heraus, dass man das "iPhone Configuration Utility" verwenden muss, das Apple kostenlos zum Download anbietet (Links nach diesem Absatz). Es gibt sowohl eine Version für Mac OS X als auch für Windows. Nativ allerdings nur für den Mac, für beide Betriebssysteme liegt es als lokale Webanwendung vor. Im letzteren Fall ist es unter http://localhost:3000 erreichbar. Nutzername und Kennwort sind standardmäßig admin/admin.

iPhone Configuration Utility 1.0 for Mac OS X
iPhone Configuration Web Utility 1.0 for Mac
iPhone Configuration Web Utility 1.0 for Windows

Ich werde die nötigen Schritte kurz erläutern. Die Prozedur ist auch in einem Support-Dokument von Apple beschrieben.

Zunächst muss man im Konfigurationsprogramm ein Profil mit allen notwendigen Einstellungen erstellen. Dieses exportiert man dann als .mobileconfig-Datei. Diese Datei kann man nun entweder auf einen Webserver legen und den Link auf dem Gerät mit Safari öffnen oder per E-Mail an das Gerät schicken. Wenn man die Webserver-Methode nutzt, sollte man in den Webserver-Einstellungen den MIME-Typ application/x-apple-aspen-config mobileconfig anlegen, da die Profildatei sonst als gewöhnliches XML-Dokument angezeigt wird.

Die eigentlichen Einstellungen müsst ihr bei der Einrichtung, die das WLAN betreibt, erfragen. Bei Universitäten wird man meist auf der Seite des Rechenzentrums fündig. In meinem Fall war nur bei "Protokolle" TTLS auszuwählen und bei "Interne Identifizierung" PAP. Ein Zertifikat war nicht erforderlich, dieses wird beim Verbinden übermittelt und muss bestätigt werden.

Der Benutzername kann eingetragen werden. Falls nicht, wird er bei der ersten Verbindung abgefragt. Wählt man "Kennwort bei jedem Verbinden abfragen", so wird das Kennwort immer wieder neu abgefragt, andernfalls wird es nur einmalig abgefragt und gespeichert.

web.png


Wenn man die Datei geöffnet hat, erscheint dieser Dialog:

web.jpg


Nach dem Bestätigen der Installation erscheint das Profil in den Einstellungen. Es ist auch möglich mehrere Profile zu haben.

web.jpg



Eingabe des Benutzernamens im Gerät:
web.jpg
 
Zuletzt bearbeitet von einem Moderator:

chr4004

Erdapfel
Registriert
14.07.08
Beiträge
4
Danke für den Hinweis. Spiele gerade mit dem Programm rum, aber ich komme an einer Stelle nicht weiter. Woher hast du das Zertifikat? Muss ich dafür mit dem Rechner im entsprechenden Wlan sein?
 
Registriert
01.02.07
Beiträge
2.097
Ich hab noch gar keins hinzugefügt. Kann sein, dass man das von der jeweiligen Einrichtung bekommt.
 

pgnonick

James Grieve
Registriert
26.09.07
Beiträge
137
ich habe folgendes problem. Unsere fh köln nutzt den cisco client mit einer konfig datei zum importieren. Weiterhin wird nicht mit diesem zertifikat gearbeitet sondern mit gruppen. ich habe versucht aus dieser konfig datei alles herauszulesen, aber es geht nicht, was bedeutet denn shared secret?
ich dachte evtl kann man mit diesem tool, die konfig datei importieren, schade. aber das mit den profilen ist super! kann man denn bei wifi nicht den wlan schlüssel eingeben?
 
Registriert
01.02.07
Beiträge
2.097
ich habe folgendes problem. Unsere fh köln nutzt den cisco client mit einer konfig datei zum importieren. Weiterhin wird nicht mit diesem zertifikat gearbeitet sondern mit gruppen. ich habe versucht aus dieser konfig datei alles herauszulesen, aber es geht nicht, was bedeutet denn shared secret?

kenne mich leider nicht damit aus.

ich dachte evtl kann man mit diesem tool, die konfig datei importieren, schade. aber das mit den profilen ist super! kann man denn bei wifi nicht den wlan schlüssel eingeben?

nein, anscheinend nicht. find ich auch seltsam.
 

chr4004

Erdapfel
Registriert
14.07.08
Beiträge
4
Ich dachte (soweit ich auf dem Bild etwas sehen konnte), du hättest schon alles angelegt ;). Das PW an dieser Stelle schon einzugeben macht ja auch kein Sinn, wenn man sich überlegt, die IT Abteilung schickt diesen XML-File herum. Die Abteilung müsste ja alle PW kennen und verwalten. Am Computer im 802.1X-Netz muss ich ja auch immer wieder PW und Kennung eingeben, bzw. merkt sich das mein Laptop und tut das für mich als User.
Der XML-File wird nur alle nötigen, personenunabhängigen Einstellungen mitsichbringen. Die Frage bei mir bleibt aber, wie kann ich das Zertifikat bekommen. Oder eventuell kann ich als User gar nicht diese Profil-Datei anlegen, sondern nur die IT mit den entsprechenden Rechten und Zertifikaten, die bei denen ja wohl auf dem Rechner liegen. Die müssten die Datei dann allen iPhone/iPod Benutzern via Website zur Verfügung stellen. Da wird sich die IT bestimmt freuen, aber für den Enduser eigentlich ganz bequem.
 

pgnonick

James Grieve
Registriert
26.09.07
Beiträge
137
Noch ein frage. wenn ich zb in einem profil nichts bei email konfigurere. werden dann einfach die einstellungen übernommen, die man davor hatte, wenn ein profil ausgewählt hat?
 
Registriert
01.02.07
Beiträge
2.097
Also in der Konfigurationsanleitung unserer Uni taucht gar kein Zertifikat auf. Geht vielleicht auch ohne.

Noch ein frage. wenn ich zb in einem profil nichts bei email konfigurere. werden dann einfach die einstellungen übernommen, die man davor hatte, wenn ein profil ausgewählt hat?

ja. ich glaube auch, dass die generell hinzugefügt und nicht ersetzt werden.
 

chr4004

Erdapfel
Registriert
14.07.08
Beiträge
4
Ich denke, dass ist genau der Clou. Die IT Abteilung könnte alle Einstellungen aus der Ferne vornehmen (Mail-Einstellungen, Wlan, eigene Programme unter "Code") und dann die Datei zur Verfügung stellen. Einmal auf dem iPhone aufgerufen wird der XML-File ausgeführt und alles ist voreingestellt. Dann nur noch mit Kennung und PW anmelden und es läuft...

BTW, frage mich, ob das nicht ein Einfallstor für Hacker ist.
 

chr4004

Erdapfel
Registriert
14.07.08
Beiträge
4
Also in der Konfigurationsanleitung unserer Uni taucht gar kein Zertifikat auf. Geht vielleicht auch ohne.



ja. ich glaube auch, dass die generell hinzugefügt und nicht ersetzt werden.

Ist das schon eine Anleitung für die aktuelle 2.0 Software? Vielleicht wird das Zertifikat im entsprechenden Wlan direkt abgerufen. Ich hatte heute, bevor ich diesen Thread gefunden habe, schon einmal versucht, ins 802.1X Netz zu kommen und ich bin an der Stelle hängen geblieben, das in dem Bild mit dem "Installieren" Knopf zu sehen ist. Bei mir stand nur, Zertifikat annehmen, statt installieren (hatte ja auch noch keine Voreinstellungen extern vorgenommen).
 
Registriert
01.02.07
Beiträge
2.097
Das PW an dieser Stelle schon einzugeben macht ja auch kein Sinn, wenn man sich überlegt, die IT Abteilung schickt diesen XML-File herum. Die Abteilung müsste ja alle PW kennen und verwalten. Am Computer im 802.1X-Netz muss ich ja auch immer wieder PW und Kennung eingeben, bzw. merkt sich das mein Laptop und tut das für mich als User.
Der XML-File wird nur alle nötigen, personenunabhängigen Einstellungen mitsichbringen. Die Frage bei mir bleibt aber, wie kann ich das Zertifikat bekommen. Oder eventuell kann ich als User gar nicht diese Profil-Datei anlegen, sondern nur die IT mit den entsprechenden Rechten und Zertifikaten, die bei denen ja wohl auf dem Rechner liegen. Die müssten die Datei dann allen iPhone/iPod Benutzern via Website zur Verfügung stellen. Da wird sich die IT bestimmt freuen, aber für den Enduser eigentlich ganz bequem.

ok, wenn man das system ans reine businessanwendung versteht, macht es schon sinn, das pw nicht einzugeben. wahrscheinlich wird dann aber das gerät das pw speichern können, das kann es ja auch bei "nomalen" wlans.

Ist das schon eine Anleitung für die aktuelle 2.0 Software?

ja, ist sie. mit der alten geht es ja nicht.

ich frage mich gerade noch, was passiert, wenn man keinen benutzenamen eingibt. ob man den dann beim verbinden eingeben muss oder ob es dann gar nicht funktioniert...?
 

YanniH

Auralia
Registriert
20.04.08
Beiträge
202
Zum The shared secret:

Öffne die pcf-Datei mal im Texteditor, da steht shared secret drin mit nem verschlüsselten Passwort.

Das Passwort ist das Gruppen-Passwort, was man anstelle des Zertifikats verwenden kann (je nach Konfig).

Den shared secret gibst du hier ein: http://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode und schon hast du das Gruppen-Passwort ;)

Viel Spaß!
 

pgnonick

James Grieve
Registriert
26.09.07
Beiträge
137
Zum The shared secret:

Öffne die pcf-Datei mal im Texteditor, da steht shared secret drin mit nem verschlüsselten Passwort.

Das Passwort ist das Gruppen-Passwort, was man anstelle des Zertifikats verwenden kann (je nach Konfig).

Den shared secret gibst du hier ein: http://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode und schon hast du das Gruppen-Passwort ;)

Viel Spaß!

SUPER, du bist mein Held :D und ich habe mich gerade herzlich über das Passwort kaputt gelacht :D Funktioniert! das iphone baut die verbindung auf und begrüsst mich mit einer willkommens nachricht im vpn der fh köln, aber baut diese verbindung nach 2 sec wieder ab, weiß jemand warum?
 

YanniH

Auralia
Registriert
20.04.08
Beiträge
202
Wie lautet denn euer Shared Key? Unserer "everybodyknowsthiskey" :-D Ich hab gedacht ich fall vom Glauben ab...
 
Registriert
01.02.07
Beiträge
2.097
so, habs heute ausprobiert und hat geklappt. da man in diesem forum leider nach 24h keine änderungen mehr machen kann, habe ich das neue tut an die moderatoren weitergeleitet, die es sicher bald aktualisieren werden.

edit: update ist drin.
 
Zuletzt bearbeitet:

Rhinhold

Jerseymac
Registriert
01.03.05
Beiträge
452
installiers doch auf windows und greif per browser drauf zu... ;)

Ja, auf die Idee kam ich auch schon. Nur leider will das Tool unter meinem XP nicht funktionieren. Es installiert zwar, aber bietet mir danach nix an, um es zu starten (kein Desktop-Link, kein Eintrag ins Programme-Verzeichnis, kein funktionsfähige .exe-Datei).

Naja, bleibt immer noch der PC von meinem Vater... o_O