Servicio Central de Informática WifiUMACompleto.doc WIFI UMA Manual de Acceso Página 1 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc Nuevo despliegue wifi de la universidad de Málaga Tras el proyecto piloto de cobertura inalámbrica de las Bibliotecas, la Universidad de Málaga inicia una segunda fase de despliegue mas amplio, en coordinación con el programa Universidad Digital de la Consejería de Innovación, Ciencia y Empresa de la Junta de Andalucía. Este programa contempla, entre otras intervenciones, una implantación integral de infraestructuras inalámbricas y pretende crear un sistema de autentificación de usuarios normalizado que permita la utilización de los sistemas informáticos por los miembros de la comunidad universitaria con independencia del campus universitario andaluz en que se encuentren. Igualmente, la UMA se suma a las iniciativas eduroam.es (www.eduroam.es) que coordina un espacio único de movilidad nacional, compatible el desarrollado a nivel europeo (www.eduroam.org) y AndalWiFi con una intención similar de coordinación a nivel de universidades andaluzas pero con funcionalidades mas ambiciosas a medio plazo. Con vistas a la compatibilidad total con estas iniciativas, el Servicio Central de Informática ha decidido modificar los protocolos de autenticación que se usaban en el proyecto piloto. Por otra parte, se ha ampliado el número de redes inalámbricas que oferta la UMA, en base a los distintos colectivos y sus necesidades. En este documento se presentan las distintas redes inalámbricas de la UMA y se detalla el procedimiento de configuración de los clientes (de modo detallado para los sistemas operativos Windows y Mac OS X, y con algunas indicaciones para Linux). Redes inalámbricas (WLANs) En todos los puntos de acceso inalámbricos estarán disponibles una serie de WLANs comunes a todo el personal, con independencia de que puntualmente puedan existir determinadas redes inalámbricas cuyo uso esté limitado a determinados grupos de usuarios de la Universidad. Excepto en aquellos casos en que se indique, todas las WLANs requieren de autenticación por parte del cliente. Como mecanismo de autenticación se ha elegido el protocolo 802.1x-EAP, con soporte TTLS, debiendo cada usuario proporcionar como identificador su dirección de correo electrónico institucional, y como palabra de paso aquella que se haya habilitado en el Servicio de Directorio de la Universidad (http://www.sci.uma.es/DUMA/) Las WLANs que proporcionan los puntos de accesos son las que se detallan a continuación, pudiendo no estar presente todas ellas en un mismo punto de acceso: WifiUma – es una red inalámbrica abierta, sin requerimientos especiales de conectividad o identificación, que se presta como cortesía a cualquier persona en Página 2 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc las proximidades de un punto de acceso de la UMA permitiendo únicamente el acceso a información sobre la red inalámbrica, procedimientos y software de configuración para los usuarios de la misma, y resto de información pública en el servidor Web de la Universidad, www.uma.es. alumnos – red autenticada para los alumnos de la Universidad. Sustituye a la actual WLAN opac, con prestaciones similares y uso de servidores proxy para salida a Internet (proxy.alu.uma.es puerto 3128). pas – red autenticada para uso del personal de Administración y Servicios, sin que se pretenda sustituir el puesto de trabajo convencional. Requiere uso de servidores proxy para salida a Internet (proxy.gestion.uma.es puerto 3128). pdi – red autenticada para uso del personal Docente e Investigador, que ofrece servicios NAT en salida a Internet para solventar necesidades específicas de este colectivo, por lo que no es obligatorio el uso de proxy (proxy.uma.es puerto 3128). eduroam – red autenticada en base a las credenciales de usuario otorgados en la propia Universidad de origen, con salida a Internet vía proxy (proxy.alu.uma.es puerto 3128) y accesos mínimos al resto de redes en RUMA. CampusVirtual – red autenticada mediante las credenciales (nombre de usuario y palabra de paso) suministradas por la Dirección de Enseñanza Virtual de la UMA, que proporciona accesos inalámbricos a los recursos propios del Campus Virtual. andalwifi – red autenticada en base a las credenciales de usuario otorgadas por alguna de las universidades andaluzas participantes en el Espacio de Movilidad Andaluz Universidad. Funcionalidades de navegación pendientes de coordinar con resto de universidades andaluzas. opac – red inalámbrica del proyecto piloto, que desaparecerá en breve, con autenticación 802.1X y Cisco PEAP y uso de proxy (proxy.alu.uma.es puerto 3128). telefonía – WLAN reservada para futuro uso con telefonía IP. wlan específicas de determinadas entidades de la Universidad, departamentos, grupos de investigación o servicios con requerimientos específicos, desplegadas en puntos de acceso concretos, con restricciones particulares y autenticación acordadas con el Servicio Central de Informática. Página 3 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc Configuración de equipos para conexión a las redes inalámbricas de la UMA. Los equipos a conectar deberán estar dotados de una tarjeta de red inalámbrica integrada (equipos con tecnología centrino/wi-fi o Airport), mediante ranura PC-Card (PCMCIA), interfaz USB, etcétera, con soporte 802.11b/g (banda de frecuencia de 2.4GHz). Para las redes que necesitan de autenticación del usuario, éste debe estar dado de alta en el Directorio Corporativo de la UMA (DUMA). Pulse en http://www.sci.uma.es/DUMA/ para verificar que está dado de alta en DUMA. Equipos con sistema operativo Windows En equipos Windows, se requiere sistema XP con Service Pack 1 o Service Pack 2. En el primer caso, (SP1) es necesario instalar previamente el parche de soporte 815485 de Microsoft que puede descargarse como actualización KB826942 desde http://www.microsoft.com/downloads/details.aspx?familyid=5039ef4a-61e0-4c44-94f0c25c9de0ace9&displaylang=en. Es importante hacer notar que se debe descargar el parche adecuado al idioma del propio sistema operativo. Alternativamente, puede descargar la versión para castellano directamente desde: http://ftp.uma.es/wifi/WPA/WindowsXP-KB826942-x86-ESN.exe. PASO 1 Para posibilitar la autenticación mediante EAP-TTLS se debe instalar el cliente SecureW2, de libre distribución, que se puede obtener directamente desde www.SecureW2.com o http://ftp.uma.es/wifi/TTLS/SecureW2_312.zip. Descomprima el archivo zip y arranque el ejecutable, siga el proceso de instalación y reinicie el ordenador antes de continuar con el resto de estas instrucciones. PASO 2 1- Abra el panel de control Conexiones de red y haga clic con el botón derecho en el icono Conexión de red inalámbrica para elegir el menú Propiedades. 2- Seleccione Protocolo Internet (TCP/IP) y pulse en el botón Propiedades para seleccionar Obtener una dirección IP automáticamente y Obtener la dirección del servidor DNS automáticamente. Pulse Aceptar para volver a la ventana de redes inalámbricas. Página 4 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática Página 5 de 16 WifiUMACompleto.doc Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc 3- En la ventana que aparece, elija la pestaña Redes inalámbricas y marque la opción de la parte superior con el nombre Usar Windows para configurar mis conexiones inalámbricas 4- Pulse el botón de Opciones avanzadas. Deseleccione la caja Conectar automáticamente a redes no preferidas y cierre la ventana. 5- Elija el botón Agregar del apartado Redes Preferidas. 6- En la ventana que aparece, bajo la pestaña Asociaciones escriba el nombre de la red inalámbrica a la que quiera conectarse (alumnos, pas, pdi, eduroam, etc.) en la caja Nombre de red (SSID) Página 6 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc 7- Elija WPA del menú en Autenticación de Red y TKIP en el menú de Cifrado de datos 8- Seleccione la pestaña Autenticación. En el menú Tipo de EAP elija SecureW2. Si no le aparece esta opción y ha instalado el software SecureW2, necesita reiniciar el equipo para que le aparezca. Si no lo ha instalado, proceda a hacerlo y reinicie el ordenador a continuación. Página 7 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc 9- Deseleccione las dos opciones inferiores de autenticación y haga clic en el botón Propiedades, con lo que aparece la ventana de propiedades de SecureW2. Página 8 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc 10- Necesita modificar algunos parámetros de configuración. Pulse el botón Configure y cambiará el contenido de la ventana a la siguiente Desactivar la opción User Alternate outer identity. 11- Elija Certificates: la opción Verify Server certificate tendrá que desactivarla. Página 9 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc 12- Pulse la pestaña Authentication y el método de autenticación debería ser PAP. 13- Haga clic en la pestaña User account, para comprobar que la opción Prompt user for credentials es la que aparece seleccionada y las demás están vacías. Página 10 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc 14- Haga clic en OK y/o Aceptar, en cada una de las ventanas que hemos abierto, hasta cerrarlas todas. Puede repetir este proceso (punto 3 hasta 14) para cada una de las redes inalámbricas a las que desee tener acceso. Cuando desee conectar a alguna de las redes que haya configurado, haga doble clic en el icono Conexión de red inalámbrica y le aparecerá una ventana con todas las redes inalámbricas disponibles en el punto de acceso que proporcione cobertura. No olvide que podrá conectarse únicamente a aquellas que su vínculo con la universidad le permita. Página 11 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc Seleccione la red adecuada y pulse el botón Conectar. Windows le pedirá mediante un globo de atención que necesita autenticarse y cuando le haga clic aparecerá la ventana de login de SecureW2. Introduzca en ella su nombre de usuario (p.ej. [email protected] ó [email protected], etc.) y palabra de paso correspondiente. Página 12 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc Una vez conectado a la red inalámbrica de su elección, su capacidad de navegación estará condicionada por los privilegios de acceso que tenga asignados dicha red. En general, podrá acceder a la propia red de la Universidad y para acceder a Internet necesitará configurar su navegador con el proxy adecuado, con los valores que se indican en la descripción de las redes inalámbricas que se ofertan. Equipos con sistema operativo Macintosh OS X Es necesario disponer de una versión 10.3.X o superior. Antes de configurar el acceso inalámbrico deberá configurar su equipo para aceptar una dirección IP por DHCP en su tarjeta inalámbrica. Para ello, en las Preferencias del Sistema, elija el icono Red, y en las propiedades de TCP/IP de su tarjeta inalámbrica elija en Configurar IPv4 la opción Asignada por DHCP. En las opciones de Proxy puede configurar igualmente el servidor adecuado, si fuese necesario en base a la red inalámbrica que elija. 1- Abra el programa Conexión a Internet (en la carpeta Aplicaciones o directamente desde el icono Airport en la barra de menú). En el menú Archivo seleccione Nueva conexión 802.1X, con lo que aparece la ventana siguiente: 2- Elija Editar Configuraciones en el menú de Configuración, y complete los datos que le aparecen en la siguiente ventana: Página 13 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc - Seleccione cualquier nombre para Descripción - En Nombre de Usuario escriba el nombre de su cuenta de correo institucional - Complete en Contraseña correspondiente a dicha cuenta a continuación - En Red Inalámbrica escriba el nombre de la red inalámbrica a la que se quiera conectar (opac, pas, pdi, eduroam, etc.) - En Autenticación active únicamente la opción TTLS y tras seleccionarla, pulse el botón Configurar... 3- Elija PAP en el menú de Autenticación TTL interna y deje en blanco la otra opción. 4- Pulse OK para volver a la ventana anterior y repítalo hasta volver a la ventana inicial. En ella elija Conectar y tras unos segundos le aparecerá una ventana que pregunta si acepta el certificado del servidor, que deberá aceptar. Una vez conectado a la red inalámbrica de su elección, su capacidad de navegación estará condicionada por los privilegios de acceso que tenga asignados dicha red. En general, podrá acceder a la propia red de la Universidad y para acceder a Internet necesitará configurar su navegador con el proxy adecuado, con los valores que se indican en la descripción de las redes inalámbricas que se ofertan. Puede acceder a información adicional sobre la configuración de proxy en la página http://www.sci.uma.es/index.php?option=com_servicios&task=acc&title=Cache%20par a%20Internet&itemid=12&clave1=99&men=ya&leer=si Página 14 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc Equipos con sistema operativo Linux Lamentablemente es prácticamente imposible incluir una configuración para cada una de las posibles variantes de este sistema operativo. A continuación se dan algunos detalles de interés genéricos que se deberán completar por cada usuario en base a las distintas configuraciones. En general, se aconseja utilizar el software de domino publico wpa_suplicant, que se puede descargar desde la pagina Web http://hostap.epitest.fi/wpa_supplicant/ en la que existe documentación adicional sobre su instalación, configuración y tarjetas de red inalámbricas soportadas. No olvide configurar la interfase para que obtenga la dirección TCP/IP vía DHCP ni configurar el uso de los proxy correspondientes en base a la red inalámbrica elegida. Una vez instalado, debe configurar el cliente wpa_suplicant mediante el archivo /etc./wpa_supplicant.conf. Es interesante hacer notar que debería proteger este archivo con los permisos de lectura adecuados, ya que contiene la palabra de paso de su cuenta de autenticación, y no está encriptado. Este es un ejemplo del contenido de este archivo, en el que debe colocar los datos adecuados, como la red inalámbrica de su elección, su cuenta de correo electrónico, la palabra de paso de ésta y otros parámetros que no debe modificar: #/etc./wpa_supplicant.conf ctrl_interface=/var/run/wpa_supplicant eapol_version=1 ap_scan=1 fast_reauth=1 network={ ssid="red_inalambrica_que_elija" key_mgmt=WPA-EAP eap=TTLS anonymous_identity=”anonymous” identity="[email protected]" password="palabra_de_paso_correspondiente" phase2=”auth=PAP” ) Debe ejecutar el cliente con el comando que se incluye a continuación, aunque ajustandolo para usar la interfase adecuada y el driver o controlador correspondiente (en este caso se pide usar la interfase eth0 y el driver para tarjetas Intel de la serie 2x00): wpa_supplicant -c /etc./wpa_supplicant.conf -i eth0 -D ipw Existe un paquete denominado wireless-tool que es muy útil para comprobar detalles de su configuración wifi, como nombres de los SSIDs ofertados por los puntos de acceso, detalles de la red a la que se ha asociado, etc. Página 15 de 16 Ultima actualización: 08/06/2006 9:52:00 Servicio Central de Informática WifiUMACompleto.doc En este enlace, http://inalambrica.ual.es/descargas/inalambrica_Linux.pdf, de la Universidad de Almería, puede encontrar un ejemplo concreto de instalación y configuración comprobado para una distribución Guadalinex v3 con núcleo 2.6.12 y Fedora 4 con núcleo 2.6.15: Página 16 de 16 Ultima actualización: 08/06/2006 9:52:00