Zugangsverfahren

Das am 01.03.2010 in Betrieb genommene Zugangsverfahren für das Netz eduroam entspricht dem IEEE-Standard 802.1X. Die Überprüfung der Identität eines Nutzers erfolgt dabei auf dem Authentifizierungsserver in der Heimateinrichtung des jeweiligen Nutzers.

Angehörige der BTU Cottbus-Senftenberg können sich am Netz eduroam der BTU (oder einer am Dienst eduroam teilnehmenden Gasteinrichtung) mit einer der drei EAP-Methoden: EAP-TLS, PEAPv0 oder EAP-TTLS/PAP anmelden. Jeder Nutzer kann dabei selbst entscheiden, welche dieser drei Methoden er einsetzen möchte. Die empfohlene Rangfolge geht aus der nachfolgenden Auflistung hervor:

1. EAP-TLS (als sicherste Methode empfohlen):

Die Authentifizierung des Authentifizierungsservers beim Client erfolgt mittels SSL-Zertifikat (Server-Zertifikat).
Die Authentifizierung des Nutzers erfolgt mittels SSL-Zertifikat (Nutzer-Zertifikat).

2. PEAPv0:

Die Authentifizierung des Authentifizierungsservers beim Client erfolgt mittels SSL-Zertifikat (Server-Zertifikat).
Die Authentifizierung des Nutzers erfolgt mit Nutzername/Passwort (zentraler BTU-Account).
Die Übertragung der Account-Daten erfolgt im gesicherten TLS-Tunnel unter Verwendung von MSCHAPv2.

3. EAP-TTLS/PAP:

Die Authentifizierung des Authentifizierungsservers beim Client erfolgt mittels SSL-Zertifikat (Server-Zertifikat).
Die Authentifizierung des Nutzers erfolgt mit Nutzername/Passwort (zentraler BTU-Account).
Die Übertragung der Account-Daten erfolgt im gesicherten TTLS-Tunnel unter Verwendung von PAP.

Für jede dieser drei Methoden ist auf dem Nutzer-PC ein so genannter 802.1X-Supplikant erforderlich. Dieser ist auf aktuellen Geräten oft schon Bestandteil des Betriebssystems.

Alle Einstellparameter für den Zugang zum Netz eduroam auf einen Blick:

	EAP-TLS	PEAPv0	EAP-TTLS/PAP
802.1X- Einstellungen	Methode: EAP-TLS alternative (äußere) Identität: E-Mail-Adresse (wie im SSL-Zertifikat) Netzwerkanmeldung erfolgt mit einem gültigen von der BTU-CA ausgestellten SSL-Zertifikat	Methode: PEAPv0 MSCHAPv2 im gesicherten TLS-Tunnel	Methode: EAP-TTLS PAP im gesicherten TTLS-Tunnel
		alternative (äußere) Identität: anonymous@b-tu.de Die Netzwerkanmeldung (innere Identität) erfolgt mit dem zentralen BTU-Account (Loginname/Passwort). Der Loginname ist in der Form loginname@b-tu.de einzugeben.
	Authentifizierungsserver: burg.sbone.b-tu.de zugehöriges Stammzertifikat: HARICA TLS ECC Root CA 2021 (ab Januar 2026) USERTrust ECC Certification Authority (bis Januar 2026)
WLAN- Einstellungen	SSID/Netzwerkname: eduroam Netzwerktyp: Infrastruktur Authentifizierung/Verschlüsselung: WPA2/AES
Netzwerk- Einstellungen	IP-Adresse und DNS-Serveradresse automatisch beziehen (über DHCP)

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ref	Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern.	6 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo