802.1X auf iPhone/iPod touch

[prolinesurfer]

Wie viele von euch wissen, unterstützt die iPhone Software 2.0 nun endlich auch 802.1X. Viele haben dieses Feature vermisst, besonders wir Studenten, da viele Universitäten in ihren WLANs diesen Standard zur Authentifizierung nutzen. Nun habe ich in meinem Gerät nach einer Möglichkeit gesucht, die entsprechenden Einstellungen vorzunehmen - vergeblich. Nach einigem Googlen fand ich dann heraus, dass man das "iPhone Configuration Utility" verwenden muss, das Apple kostenlos zum Download anbietet (Links nach diesem Absatz). Es gibt sowohl eine Version für Mac OS X als auch für Windows. Nativ allerdings nur für den Mac, für beide Betriebssysteme liegt es als lokale Webanwendung vor. Im letzteren Fall ist es unter [FONT="Courier New"]http://localhost:3000[/FONT] erreichbar. Nutzername und Kennwort sind standardmäßig [FONT="Courier New"]admin/admin[/FONT].

iPhone Configuration Utility 1.0 for Mac OS X
iPhone Configuration Web Utility 1.0 for Mac
iPhone Configuration Web Utility 1.0 for Windows

Ich werde die nötigen Schritte kurz erläutern. Die Prozedur ist auch in einem Support-Dokument von Apple beschrieben.

Zunächst muss man im Konfigurationsprogramm ein Profil mit allen notwendigen Einstellungen erstellen. Dieses exportiert man dann als [FONT="Courier New"].mobileconfig[/FONT]-Datei. Diese Datei kann man nun entweder auf einen Webserver legen und den Link auf dem Gerät mit Safari öffnen oder per E-Mail an das Gerät schicken. Wenn man die Webserver-Methode nutzt, sollte man in den Webserver-Einstellungen den MIME-Typ [FONT="Courier New"]application/x-apple-aspen-config mobileconfig[/FONT] anlegen, da die Profildatei sonst als gewöhnliches XML-Dokument angezeigt wird.

Die eigentlichen Einstellungen müsst ihr bei der Einrichtung, die das WLAN betreibt, erfragen. Bei Universitäten wird man meist auf der Seite des Rechenzentrums fündig. In meinem Fall war nur bei "Protokolle" TTLS auszuwählen und bei "Interne Identifizierung" PAP. Ein Zertifikat war nicht erforderlich, dieses wird beim Verbinden übermittelt und muss bestätigt werden.

Der Benutzername kann eingetragen werden. Falls nicht, wird er bei der ersten Verbindung abgefragt. Wählt man "Kennwort bei jedem Verbinden abfragen", so wird das Kennwort immer wieder neu abgefragt, andernfalls wird es nur einmalig abgefragt und gespeichert.



Wenn man die Datei geöffnet hat, erscheint dieser Dialog:



Nach dem Bestätigen der Installation erscheint das Profil in den Einstellungen. Es ist auch möglich mehrere Profile zu haben.




Eingabe des Benutzernamens im Gerät:

[alessi69]

xx

[chr4004]

Danke für den Hinweis. Spiele gerade mit dem Programm rum, aber ich komme an einer Stelle nicht weiter. Woher hast du das Zertifikat? Muss ich dafür mit dem Rechner im entsprechenden Wlan sein?

[prolinesurfer]

Ich hab noch gar keins hinzugefügt. Kann sein, dass man das von der jeweiligen Einrichtung bekommt.

[pgnonick]

ich habe folgendes problem. Unsere fh köln nutzt den cisco client mit einer konfig datei zum importieren. Weiterhin wird nicht mit diesem zertifikat gearbeitet sondern mit gruppen. ich habe versucht aus dieser konfig datei alles herauszulesen, aber es geht nicht, was bedeutet denn shared secret?
ich dachte evtl kann man mit diesem tool, die konfig datei importieren, schade. aber das mit den profilen ist super! kann man denn bei wifi nicht den wlan schlüssel eingeben?

[prolinesurfer]

ich habe folgendes problem. Unsere fh köln nutzt den cisco client mit einer konfig datei zum importieren. Weiterhin wird nicht mit diesem zertifikat gearbeitet sondern mit gruppen. ich habe versucht aus dieser konfig datei alles herauszulesen, aber es geht nicht, was bedeutet denn shared secret?

kenne mich leider nicht damit aus.

ich dachte evtl kann man mit diesem tool, die konfig datei importieren, schade. aber das mit den profilen ist super! kann man denn bei wifi nicht den wlan schlüssel eingeben?

nein, anscheinend nicht. find ich auch seltsam.

[chr4004]

Ich dachte (soweit ich auf dem Bild etwas sehen konnte), du hättest schon alles angelegt . Das PW an dieser Stelle schon einzugeben macht ja auch kein Sinn, wenn man sich überlegt, die IT Abteilung schickt diesen XML-File herum. Die Abteilung müsste ja alle PW kennen und verwalten. Am Computer im 802.1X-Netz muss ich ja auch immer wieder PW und Kennung eingeben, bzw. merkt sich das mein Laptop und tut das für mich als User.
Der XML-File wird nur alle nötigen, personenunabhängigen Einstellungen mitsichbringen. Die Frage bei mir bleibt aber, wie kann ich das Zertifikat bekommen. Oder eventuell kann ich als User gar nicht diese Profil-Datei anlegen, sondern nur die IT mit den entsprechenden Rechten und Zertifikaten, die bei denen ja wohl auf dem Rechner liegen. Die müssten die Datei dann allen iPhone/iPod Benutzern via Website zur Verfügung stellen. Da wird sich die IT bestimmt freuen, aber für den Enduser eigentlich ganz bequem.

[pgnonick]

Noch ein frage. wenn ich zb in einem profil nichts bei email konfigurere. werden dann einfach die einstellungen übernommen, die man davor hatte, wenn ein profil ausgewählt hat?

[prolinesurfer]

Also in der Konfigurationsanleitung unserer Uni taucht gar kein Zertifikat auf. Geht vielleicht auch ohne.

Noch ein frage. wenn ich zb in einem profil nichts bei email konfigurere. werden dann einfach die einstellungen übernommen, die man davor hatte, wenn ein profil ausgewählt hat?

ja. ich glaube auch, dass die generell hinzugefügt und nicht ersetzt werden.

[chr4004]

Ich denke, dass ist genau der Clou. Die IT Abteilung könnte alle Einstellungen aus der Ferne vornehmen (Mail-Einstellungen, Wlan, eigene Programme unter "Code") und dann die Datei zur Verfügung stellen. Einmal auf dem iPhone aufgerufen wird der XML-File ausgeführt und alles ist voreingestellt. Dann nur noch mit Kennung und PW anmelden und es läuft...

BTW, frage mich, ob das nicht ein Einfallstor für Hacker ist.