Page tree
Skip to end of metadata
Go to start of metadata

Objeto

Además de exponer lo que se dice en el título, aquí se hace una descripción detallada de las secciones y parámetros del SecureW2.inf

Escenario de ejemplo utilizado.

En este documento se utiliza como ejemplo ilustrativo un .inf válido para un campus en el que hay dos organizaciones eduroam, "eduroam" y "eduroam-inst".

Así, intentaremos conseguir que los usuarios pueden utilizar indistintamente cualquiera de los dos SSIDs.

La configuración que se propone aquí tendrá como objeto conseguir lo siguiente.

  • Los usuarios de "eduroam" enviarán su inner identity de forma que sólo la vea el radius de su organización.
  • Los usuarios de "eduroam" podrán utilizar el otro SSID para conectar, pero se les proporcionarán pistas para que "vean" en cada caso, que se están conectando a traves de "el otro SSID".

Con esas pistas se ayudará a que el usuario pueda deducir por sí mismo que en unos casos puede hacer determinadas cosas,
cuando se conecta a "eduroam". Y que cuando se conecta a "eduroam-inst" no puede acceder a los mismos servicios.

En el caso del SecureW2.inf adaptado los usuarios de "eduroam-inst", tendrán configurado un SSID "eduroam"
completamente útil para cuando vayan en itinerancia a organizaciones "eduroam" puras que, hoy por hoy, son la mayoría.

Al final se exponen los .inf para ambas entidades eduroam.


Secciones y parámetros de SecureW2.inf.

Cabecera.

Es obligatorio poner la siguiente entrada.

Version
Signature = "$Windows NT$"
Provider = "SecureW2"
Config = 7

Parámetros globales. Servicios.

En esta parte se van a realizar acciones que afectan a todos los SSIDs: activar servicios.

DOTSVC se refiere al servicio Wired Zero Configuration.

WZCSVC alude al servicio Wireless Zero Configuration.

El parámetro Startup se describe directamente en el .inf de ejemplo.

En la Admin Guide se describe también el parámetro Restart que, personalmente, entiendo que no es necesario poner.
La instalación desatendida acaba forzosamente con un reinicio del ordenador, asi que, reiniciar el servicio durante la instalación desatendida, me parece superfluo.

; Global configuration

; Startup wired zero config before installing
; values: AUTO|NORMAL
; AUTO: will start the device and change the startup type to automatic
; NORMAL: will start the service, but will not change the startup type

DOTSVC
Startup = AUTO

; Startup wireless zero config before installing
; values: AUTO|NORMAL
; AUTO: will start the device and change the startup type to automatic
; NORMAL: will start the service, but will not change the startup type

WZCSVC
Startup = AUTO

; GINA Configuration
;
;GINA
;UseSecureW2Gina = TRUE
;GinaDomainName = "securew2.com"
;GinaType = Novell
;UseGinaVLAN = TRUE
;GinaVLANIPAddress = 192.168.2.0
;GinaVLANSubnetMask = 255.255.255.0

Par�metros globales. Certificados.

En esta parte se van a realizar acciones que afectan a todos los SSIDs: instalar certificados.

Aqui se deben instalar todos aquíllos certificados que el ordenador no tenga ya.

Si la organización está adherida al servicio SCS de RedIRIS, basta con que instale, si quiere, el del radius.

El de la CA root, para organizaciones que usen certificados SCS, viene ya en los sistemas operativos de Microsoft.

Las organizaciones que utilicen CA-roots autofirmadas, deben instalar el certificado de su CA-root.

En el ejemplo que sigue se instalan tres certificados.

; Install certificates
;
Certificates

Certificate.0 = radius.cer
Certificate.1 = ca-intermedia.cer
Certificate.2 = ca-root.cer

Nota de uso. El Certificate.0 se instala en la parte personal del almacén de certificados del ordenador. El Certificate.1 en adelante se instalan en el almacén de certificados raíz de confianza. Por tanto, si se instalan certificados, el usuario que haga la instalación desatendida debe tener permisos de administrador.

Nota de uso. Las organizaciones acogidas al servicio SCS, no tienen que instalar el certificado de la CA-root porque ya viene incluido en Windows. Aunque si deben comprobarlo como se indica mas abajo.


SSIDs.

En este apartado se definen los diferentes SSIDs que el administrador quiera configurar en los ordenadores de los usuarios.

Es obligatorio empezar por el valor 1 y seguir consecutivamente.

El propio .inf de ejemplo dice cuales son los valores por defecto de algunos parámetros si el administrador no pone ninguno.

En el apartado 1.4.1 de la Admin Guide se dan todos los valores posibles.

Los únicos valores que es obligatorio asignar son el Name y el Profile. El resto tienen alguna asignación por defecto.

Cuidado con la escritura de los valores porque Vista distingue mayúsculas y minúsculas.

Observese el segundo SSID "eduroam-inst" que debería tener su propia encriptación, si es ese el caso.

Nota de uso.

XP y Vista, PARECE, que modifican de forma dinámica la encriptación para adapatarse a lo que la red inalámbrica tiene.

Así, supongamos una red en la que funciona simultáneamente WAP/TKIP y WPA2/AES.
Aunque el administrador decida poner a todo el mundo WPA/TKIP para mayor compatiblidad,
aquíllos dispositivos que lo soporten CAMBIARAN AUTOMÁTICAMENTE a WPA2/AES,
despistando al administrador que puede creer que ha configurado mal el .inf.

; SSID configuration
; The SSID configuration must start with SSID.1 and then continue with SSID.2,
; SSID.3 and so forth
;
SSID.1
Name = "eduroam"
Profile = "organizacion"
; Configuration options for connection, if not defined it will default to:
; AuthenticationMode = "open"
; EncryptionType = "WEP"
; ConnectionMode = "auto"
; ConnectionType = "ESS"
; NonBroadcast = "false"
; AutoSwitch = "false"
;
; For more info on the connection values please see the following link:
;
; http://msdn2.microsoft.com/en-us/library/ms706965.aspx
;
; The following example sets WPA/TKIP
AuthenticationMode = "WPA"
EncryptionType = "TKIP"
ConnectionMode = "auto"
ConnectionType = "ESS"
NonBroadcast = "false"
AutoSwitch = "false"

;
; The following example sets WEP
;
; NOTE: For Vista this is case sensitive!
;
; AuthenticationMode = "open"
; EncryptionType = "WEP"

SSID.2
Name = "eduroam-inst"
Profile = "institucion"
AuthenticationMode = "WPA2"
EncryptionType = "AES"
ConnectionMode = "auto"
ConnectionType = "ESS"
NonBroadcast = "false"
AutoSwitch = "false"

Los valores de

ConnectionMode
AutoSwitch

deben ser asignados segun interese a la organización o a la institución.

El resto,

ConnectionType
NonBroadcast

vienen definidos por la política actual de eduroam.


Perfil eduroam.

Cabecera eduroam.

Aquí también es obligatorio empezar por el 1 y seguir el orden.

El Name debe coincidir con el valor correspondiente de Profile que aparece en la parte anterior del SSID.

El campo Description modifica la primera línea que aparece en el pop-up para introducción de claves. Hacemos que aparezca en castellano.

;
; Profile configuration
;
; The Profile configuration must start with Profile.1 and then continue with
; Profile.2, Profile.3 and so forth
;
Profile.1
Name = "organizacion"
Description = "Escriba E-mail COMPLETO y Contraseña:"

Con esto, aparece este perfil en SecureW2

y la ventana emergente de SecureW2 para introducir contraseñas aparece así


Conexión eduroam.

La opción propuesta por SecureW2 no escribe ningún valor. Por tanto los deja en su defecto.

O sea, la propuesta de SecureW2,

;
; Connection
;
;UseAlternateOuterIdentity = FALSE
;UseAnonymousOuterIdentity = TRUE
;AlternateOuterIdentity = user@somedomain.com
;UseSessionResumption = TRUE

supone en realidad poner lo siguiente:

UseAlternateOuterIdentity = TRUE
UseAnonymousOuterIdentity = TRUE
AlternateOuterIdentity =
UseSessionResumption = FALSE

Si se necesitase poner algo en

AlternateOuterIdentity

debería ser anonymous@organizacion.es


Certificados eduroam.

Ahora se hace que el cliente compruebe, para ese Perfil/SSID, si el certificado que le llega por la red, como respuesta al envio de la outer identity, es el de su organización.

En esta versión, la 3.3.3, SecureW2 es capaz de verificar la cadena de Certificación desde la CA-root hasta el certificado del radius, pasando por las intermedias,
SIN TENER INSTALADAS O EN VERIFICACIÓN las CA-intermedias.

Por tanto:

  • Se debe verificar certificado.
  • Cumpliendo lo anterior, es obligatorio decir que certificado se comprueba indicando el TrustedRootCA.0 adecuado.
  • El radius debe enviar toda la cadena de certificación.
  • Habría que asegurarse que en el CN del certificado aparece al menos el dominio (organizacion.es), o la máquina completa (radius.organizacion.es).

Nota de uso. Obsérvese que, por un lado se instalan certificados, al principio de este documento, y por otro lado, DEPENDENDO DEL SSID, se verifican o no los que sean oportunos

La firma de la TrustedRootCA.0 que aparece a continuación no es la del ejemplo de SecureW2, es la del servidor raiz de confianza del servicio SCS (GTE CyberTrust Global Root).

Y se elige verificar que en el CN aparezca un dominio, no una máquina concreta.

;
; Certificates
;
VerifyServerCertificate = TRUE
ServerName = organizacion.es
TrustedRootCA.0 = 97817950d81c9670cc34d809cf794431367ef474

Esta configuración genera esta pantalla

Nota de uso. Si se pone VerifyServerCertificate = TRUE, pero no se pone ningún TrustedRootCA.0,

;
; Certificates
;
VerifyServerCertificate = TRUE
ServerName = organizacion.es
;TrustedRootCA.0 = 97817950d81c9670cc34d809cf794431367ef474

entonces el SecureW2 pedirá confirmación al usuario para utilizar TODOS los certificados del almacen de CA root de confianza de Windows. Eso no es muy seguro.


Autenticación eduroam.

Aquí se indica como se va a enviar la inner identity.

ATENCIÓN. Aunque pueda parecerlo, SecureW2 no hace EAP-PEAP o EAP-MSCHAPv2 como el cliente nativo de Windows.
Lo que puede hacer, porque es una funcionalidad propia de EAP-TTLS, es anidar otro EAP para enviar la inner identity.

En este caso se hace PAP.

;
; Authentication
;
AuthenticationMethod = PAP
;AuthenticationMethod = EAP
;EAPType = 4 ; MD5-Challenge (EAP-MD5)
;EAPType = 13 ; Smart Card or other Certificate (EAP-TLS)
;EAPType = 21 ; SecureW2 (EAP-TTLS)
;EAPType = 25 ; Protected EAP (EAP-PEAP)
;EAPType = 26 ; Secured password (EAP-MSCHAP v2)
;EAPType = 42 ; Mob@c (EAP-MOBAC)


Presentación eduroam.

No es este el nombre que SecureW2 da al apartado pero parece el mas adecuado.

Se trata aqui de modificar la apariencia del pop-up de introducción de la inner identity.
Básicamente, se traducen los nombres asignados a los diferentes campos.

Cuidado con la longitud de las frases.

Se presenta un ejemplo adaptado y con añadidos respecto al ejemplo original.

La mayoría de los apartados son evidentes y se explican a continuación los que no lo son.

AltCredsTitle

Es el mensaje que aparece en la barra azul superior del pop-up de indentificación.
Ayuda a que el usuario identifique a que SSID u organizacion se está conectando
en el caso de que haya varios SSIDs eduroam/EAP-TTLS.

AllowCachePW

Su valor por defecto es TRUE. Pero si se quita el comentario y se le pone valor FALSE,
entonces la casilla de verificación del pop-up para que el usuario grabe la inner identity queda deshabilitada
y los usuarios no pueden marcarla.

;
; Use the following to alter the user credentials popup during authentication
;
AltUsernameString = "E-mail COMPLETO"
AltPasswordStr = "Contraseña"
AltRePasswordStr = "Reintroduzca"
AltDomainStr = "Dominio"
AltCredsTitle = "SSID eduroam - UAM"
AltProfileStr = "Perfil de la UAM. Datos"
;
; The following disables the "Save credentials" option in the popup
AllowCachePW = FALSE

A continuacion se pone como modifica esta configuración la ventana emergente de SecureW2 para validar


Cuenta de usuario eduroam.

Si quitamos el comentario ((wink) al parámetro

UserName = PROMPTUSER

entonces, durante la instalaci�n, aparece una ventana para introducción de datos como ésta

Obsérvese que hay dos parámetros (AltRePasswordStr y AltProfileStr) que sólo aparecen en esta ventana. Los demás aparecen en esta ventana y en la emergente de validación inmediatamente superior.

Si se quiere, se puede hacer que el usuario tenga que poner solo el username y el dominio lo escribirá el proceso de instalación, de esta forma:

PromptUserForCredentials = TRUE
UserName = PROMPTUSER
UserDomain = organizacion.es

El último parámetro

UseUserCredentialsForComputer

se explica en los comentarios y en la parte correspondiente del Manual de Configuración.

El ejemplo original de SecureW2 en este apartado es este.

;
; User Account
;
; To ask the user for credentials during startup use the following example:
PromptUserForCredentials = FALSE
UserName = PROMPTUSER
;UserPassword = xxx
;UserDomain = alfa-ariss.com
;
; The following saves the user credentials as computer credentials
; allowing 802.1X authentication during startup
; UseUserCredentialsForComputer = TRUE


Opciones avanzadas eduroam.

Estos campos coinciden con los descritos en el
apartado Botón Advanced del Manual de Configuración.

;
; Advanced
;
;UseAlternateComputerCredentials = TRUE
;ComputerUserName = admin
;ComputerPassword = xxx
;ComputerDomain = somedomain.com
;ServerCertificateOnLocalComputer = TRUE
;CheckForMicrosoftExtension = TRUE
;AllowNewConnections = TRUE
;UseEmptyOuterIdentity = TRUE


Perfil eduroam-inst.

Cabecera eduroam-inst.

Vamos con el Perfil 2.

El Name debe coincidir con el valor correspondiente de Profile que aparece en la parte anterior del SSID.

El campo Description modifica la primera línea que aparece en el pop-up para introducción de claves. Lo ponemos en castellano pero con modificaciones.
La idea es ayudar a que el usuario "eduroam" distinga que se va a conectar con OTRO SSID.

;
; Profile configuration
;
; The Profile configuration must start with Profile.1 and then continue with
; Profile.2, Profile.3 and so forth
;
Profile.2
Name = "institucion"
Description = "Ponga Dir. Correo y Password:"


Conexión eduroam-inst.

Igual que en el perfil "eduroam".

UseAlternateOuterIdentity = TRUE
UseAnonymousOuterIdentity = TRUE
AlternateOuterIdentity =
UseSessionResumption = FALSE

Si se necesitase poner algo en

AlternateOuterIdentity

debería ser, TAMBIÉN, anonymous@organizacion.es. Este es el SecureW2.inf para un usuario "eduroam" y siempre, siempre, se conectará a su dominio organizacion.es.


Certificados eduroam-inst.

Hay que poner LA MISMA verificación que en el perfil "eduroam". El usuario debe enviar su contraseña, está donde está, SOLAMENTE a su radius.

;
; Certificates
;
VerifyServerCertificate = TRUE
ServerName = organizacion.es
TrustedRootCA.0 = 97817950d81c9670cc34d809cf794431367ef474


Autenticación eduroam-inst.

Hay que poner EL MISMO MODO DE ENVÍO de inner identity que en el perfil "eduroam".

;
; Authentication
;
AuthenticationMethod = PAP
;AuthenticationMethod = EAP
;EAPType = 4 ; MD5-Challenge (EAP-MD5)
;EAPType = 13 ; Smart Card or other Certificate (EAP-TLS)
;EAPType = 21 ; SecureW2 (EAP-TTLS)
;EAPType = 25 ; Protected EAP (EAP-PEAP)
;EAPType = 26 ; Secured password (EAP-MSCHAP v2)
;EAPType = 42 ; Mob@c (EAP-MOBAC)


Presentación eduroam-inst.

Esto SI QUE DEBE CAMBIAR para que los usuarios "eduroam" vean que estan conectandose a través de OTRO SSID QUE NO ES EL HABITUAL.

;
; Use the following to alter the user credentials popup during authentication
;
AltUsernameString = "Username"
AltPasswordStr = "Password"
AltRePasswordStr = "Password otra vez"
AltDomainStr = "Dominio"
AltCredsTitle = "Institución / SSID: eduroam-inst"
AltProfileStr = "Introducción previa datos"
;
; The following disables the "Save credentials" option in the popup
;AllowCachePW = TRUE


Cuenta de usuario eduroam-inst.

Aquí es aplicable lo que se dice en el mismo apartado del Perfil eduroam.


Opciones avanzadas eduroam-inst.

Aquí es aplicable lo que se dice en el mismo apartado del Perfil eduroam.


Ejemplos completos de .inf.

Los packs que se generan NO SON INTERCAMBIABLES. Un usuario de organizacion NO PUEDE USAR el pack de institución y viceversa. La verificación de certificados y de CN fallan.

.inf para organización.

Para usuarios de la organización poseedora del SSID "eduroam" este sería el SecureW2.inf

; SecureW2.inf – SecureW2 Pre-Configuration File
; Manufacturer: SecureW2 B.V.

Version
Signature = "$Windows NT$"
Provider = "SecureW2"
Config = 7

; Global configuration

; Startup wired zero config before installing
; values: AUTO|NORMAL
; AUTO: will start the device and change the startup type to automatic
; NORMAL: will start the service, but will not change the startup type

DOTSVC
Startup = AUTO

; Startup wireless zero config before installing
; values: AUTO|NORMAL
; AUTO: will start the device and change the startup type to automatic
; NORMAL: will start the service, but will not change the startup type

WZCSVC
Startup = AUTO

; GINA Configuration
;
;GINA
;UseSecureW2Gina = TRUE
;GinaDomainName = "securew2.com"
;GinaType = Novell
;UseGinaVLAN = TRUE
;GinaVLANIPAddress = 192.168.2.0
;GinaVLANSubnetMask = 255.255.255.0

; Install certificates
;
Certificates

; Certificate.0 points server certificate, will be installed in local "MY" store
; Certificate.n points to a sub or root ca, will be installed in local "ROOT" ;store
;

; No se instala certificado alguno.
; Mas adelante, dentro de los SSIDs chequearemos el de la CA-root.

;Certificate.0 = ext2.cer
;Certificate.1 = gteroot.cer

; SSID configuration
; The SSID configuration must start with SSID.1 and then continue with SSID.2,
; SSID.3 and so forth

; SSID eduroam.
; WPA/TKIP 802.1X
; Conexion automática en vez de manual
; SSID no oculto
; Modo infraestructura y no ad-hoc
; No cambiar a otros SSIDs (XP lo ignora)

SSID.1
Name = "eduroam"
Profile = "organizacion"
AuthenticationMode = "WPA"
EncryptionType = "TKIP"
ConnectionMode = "auto"
ConnectionType = "ESS"
NonBroadcast = "false"
AutoSwitch = "false"

SSID.2
Name = "eduroam-inst"
Profile = "institucion"
AuthenticationMode = "WPA2"
EncryptionType = "AES"
ConnectionMode = "auto"
ConnectionType = "ESS"
NonBroadcast = "false"
AutoSwitch = "false"

; For more info on the connection values please see the following link:

; http://msdn2.microsoft.com/en-us/library/ms706965.aspx

; The following example sets WEP
; NOTE: For Vista this is case sensitive!

; AuthenticationMode = "open"
; EncryptionType = "WEP"

; Profile configuration
;
; The Profile configuration must start with Profile.1 and then continue with
; Profile.2, Profile.3 and so forth
;

Profile.1
Name = "organizacion"
Description = "Escriba E-mail COMPLETO y Contraseña"

; Connection

UseAlternateOuterIdentity = TRUE
UseAnonymousOuterIdentity = FALSE
AlternateOuterIdentity = anonymous@organizacion.es
UseSessionResumption = TRUE

; Certificates

; Solo vamos a comprobar Global Root
; y pondremos uam.es como comprobacion del cname

VerifyServerCertificate = TRUE
ServerName = organizacion.es
TrustedRootCA.0 = 97817950d81c9670cc34d809cf794431367ef474

; Authentication

AuthenticationMethod = PAP
;AuthenticationMethod = EAP
;EAPType = 4 ; MD5-Challenge (EAP-MD5)
;EAPType = 13 ; Smart Card or other Certificate (EAP-TLS)
;EAPType = 21 ; SecureW2 (EAP-TTLS)
;EAPType = 25 ; Protected EAP (EAP-PEAP)
;EAPType = 26 ; Secured password (EAP-MSCHAP v2)
;EAPType = 42 ; Mob@c (EAP-MOBAC)

; Use the following to alter the user credentials popup during authentication

AltUsernameString = "E-mail COMPLETO"
AltPasswordStr = "Contraseña"
AltRePasswordStr = "Reintroduzca"
AltCredsTitle = "SSID eduroam - Organizacion"
AltDomainStr = "Dominio"
AltProfileStr = "Datos durante la inst"

; The following disables the "Save credentials" option in the popup
;AllowCachePW = TRUE

; User Account

; To ask the user for credentials during startup use the following example:
PromptUserForCredentials = TRUE
;UserName = PROMPTUSER
;UserPassword = xxx
;UserDomain = alfa-ariss.com

; The following saves the user credentials as computer credentials
; allowing 802.1X authentication during startup
; UseUserCredentialsForComputer = TRUE

; Advanced

;UseAlternateComputerCredentials = TRUE
;ComputerUserName = admin
;ComputerPassword = xxx
;ComputerDomain = somedomain.com
;ServerCertificateOnLocalComputer = TRUE
;CheckForMicrosoftExtension = TRUE
;AllowNewConnections = TRUE
;UseEmptyOuterIdentity = TRUE

; Ahora, vamos a configurarle al usuario el SSID vecino para que pueda conectarse pero,
; a la vez, NOTE CLARAMENTE cuando introduzca user y contraseña, que esta en "otro sitio".

Profile.2
Name = "institucion"
Description = "Ponga Dir. Correo y Password:"

; Connection

UseAlternateOuterIdentity = TRUE
UseAnonymousOuterIdentity = FALSE
AlternateOuterIdentity = anonymous@organizacion.es
UseSessionResumption = TRUE

; Certificates

; Solo vamos a comprobar Global Root
; y pondremos organizacion.es como comprobacion del cname

VerifyServerCertificate = TRUE
ServerName = organizacion.es
TrustedRootCA.0 = 97817950d81c9670cc34d809cf794431367ef474

; Authentication

AuthenticationMethod = PAP
;AuthenticationMethod = EAP
;EAPType = 4 ; MD5-Challenge (EAP-MD5)
;EAPType = 13 ; Smart Card or other Certificate (EAP-TLS)
;EAPType = 21 ; SecureW2 (EAP-TTLS)
;EAPType = 25 ; Protected EAP (EAP-PEAP)
;EAPType = 26 ; Secured password (EAP-MSCHAP v2)
;EAPType = 42 ; Mob@c (EAP-MOBAC)

; Use the following to alter the user credentials popup during authentication

AltUsernameString = "Username"
AltPasswordStr = "Password"
AltRePasswordStr = "Password otra vez"
AltDomainStr = "Dominio"
AltCredsTitle = "Institución / SSID: eduroam-inst"
AltProfileStr = "Intr. datos por eduroam-inst"

; The following disables the "Save credentials" option in the popup
;AllowCachePW = TRUE

; User Account

; To ask the user for credentials during startup use the following example:
PromptUserForCredentials = TRUE
;UserName = PROMPTUSER
;UserPassword = xxx
;UserDomain = alfa-ariss.com

; The following saves the user credentials as computer credentials
; allowing 802.1X authentication during startup
; UseUserCredentialsForComputer = TRUE

; Advanced

;UseAlternateComputerCredentials = TRUE
;ComputerUserName = admin
;ComputerPassword = xxx
;ComputerDomain = somedomain.com
;ServerCertificateOnLocalComputer = TRUE
;CheckForMicrosoftExtension = TRUE
;AllowNewConnections = TRUE
;UseEmptyOuterIdentity = TRUE


.inf para institución.

Finalmente, para los usuarios "eduroam-inst", este sería el SecureW2.inf.

Estos usuarios deben dar siempre su contraseña solo al radius de su institución institucion.es.

Como vuelta de tuerca adicional, "eduroam-inst" no hace PAP, sino MD5.

; SecureW2.inf – SecureW2 Pre-Configuration File
; Manufacturer: SecureW2 B.V.

Version
Signature = "$Windows NT$"
Provider = "SecureW2"
Config = 7

; Global configuration

; Startup wired zero config before installing
; values: AUTO|NORMAL
; AUTO: will start the device and change the startup type to automatic
; NORMAL: will start the service, but will not change the startup type

DOTSVC
Startup = AUTO

; Startup wireless zero config before installing
; values: AUTO|NORMAL
; AUTO: will start the device and change the startup type to automatic
; NORMAL: will start the service, but will not change the startup type

WZCSVC
Startup = AUTO

; GINA Configuration
;
;GINA
;UseSecureW2Gina = TRUE
;GinaDomainName = "securew2.com"
;GinaType = Novell
;UseGinaVLAN = TRUE
;GinaVLANIPAddress = 192.168.2.0
;GinaVLANSubnetMask = 255.255.255.0

; Install certificates
;
Certificates

; Certificate.0 points server certificate, will be installed in local "MY" store
; Certificate.n points to a sub or root ca, will be installed in local "ROOT" ;store
;

; Se instala el certificado de la CA-root porque institucion.es
; tiene una CA-root autofirmada.
; Y se hace en la parte de la máquina, no del usuario.

;Certificate.0 = ext2.cer
Certificate.1 = institucion.cer

; SSID configuration
; The SSID configuration must start with SSID.1 and then continue with SSID.2,
; SSID.3 and so forth

; SSID eduroam.
; WPA/TKIP 802.1X
; Conexion automática en vez de manual
; SSID no oculto
; Modo infraestructura y no ad-hoc
; No cambiar a otros SSIDs (XP lo ignora)

SSID.1
Name = "eduroam"
Profile = "organizacion"
AuthenticationMode = "WPA"
EncryptionType = "TKIP"
ConnectionMode = "auto"
ConnectionType = "ESS"
NonBroadcast = "false"
AutoSwitch = "false"

SSID.2
Name = "eduroam-inst"
Profile = "institucion"
AuthenticationMode = "WPA2"
EncryptionType = "AES"
ConnectionMode = "auto"
ConnectionType = "ESS"
NonBroadcast = "false"
AutoSwitch = "false"

; For more info on the connection values please see the following link:

; http://msdn2.microsoft.com/en-us/library/ms706965.aspx

; The following example sets WEP
; NOTE: For Vista this is case sensitive!

; AuthenticationMode = "open"
; EncryptionType = "WEP"

; Profile configuration
;
; The Profile configuration must start with Profile.1 and then continue with
; Profile.2, Profile.3 and so forth
;

Profile.1
Name = "organizacion"
Description = "Escriba E-mail COMPLETO y Contraseña"

; Connection

UseAlternateOuterIdentity = TRUE
UseAnonymousOuterIdentity = FALSE
AlternateOuterIdentity = anonymous@institucion.es
UseSessionResumption = TRUE

; Certificates

; Solo vamos a comprobar la CA-root.
; Ponemos su huella digital
; y pondremos institucion.es como comprobacion del cname

VerifyServerCertificate = TRUE
ServerName = institucion.es
TrustedRootCA.0 = 6bee1ea635334b246364ffc6c006b8c745ac0f24

; Authentication

;AuthenticationMethod = PAP
AuthenticationMethod = EAP
EAPType = 4 ; MD5-Challenge (EAP-MD5)
;EAPType = 13 ; Smart Card or other Certificate (EAP-TLS)
;EAPType = 21 ; SecureW2 (EAP-TTLS)
;EAPType = 25 ; Protected EAP (EAP-PEAP)
;EAPType = 26 ; Secured password (EAP-MSCHAP v2)
;EAPType = 42 ; Mob@c (EAP-MOBAC)

; Use the following to alter the user credentials popup during authentication

AltUsernameString = "E-mail COMPLETO"
AltPasswordStr = "Contraseña"
AltRePasswordStr = "Reintroduzca contraseña"
AltCredsTitle = "SSID eduroam - Organizacion"
AltDomainStr = "Dominio"
AltProfileStr = "Tarari"

; The following disables the "Save credentials" option in the popup
;AllowCachePW = TRUE

; User Account

; To ask the user for credentials during startup use the following example:
PromptUserForCredentials = TRUE
;UserName = PROMPTUSER
;UserPassword = xxx
;UserDomain = alfa-ariss.com

; The following saves the user credentials as computer credentials
; allowing 802.1X authentication during startup
; UseUserCredentialsForComputer = TRUE

; Advanced

;UseAlternateComputerCredentials = TRUE
;ComputerUserName = admin
;ComputerPassword = xxx
;ComputerDomain = somedomain.com
;ServerCertificateOnLocalComputer = TRUE
;CheckForMicrosoftExtension = TRUE
;AllowNewConnections = TRUE
;UseEmptyOuterIdentity = TRUE

; A continuacion, el perfil "natural" para este usuario.
; Con diferencias, también en todos los aspectos para que note cuando se
; está conectado a eduroam (que le es ajeno) y a eduroam-inst, que es el suyo.

Profile.2
Name = "institucion"
Description = "Ponga Dir. Correo y Password:"

; Connection

UseAlternateOuterIdentity = TRUE
UseAnonymousOuterIdentity = FALSE
AlternateOuterIdentity = anonymous@institucion.es
UseSessionResumption = TRUE

; Certificates

; Solo vamos a comprobar Global Root
; y pondremos institucion.es como comprobacion del cname

VerifyServerCertificate = TRUE
ServerName = institucion.es
TrustedRootCA.0 = 97817950d81c9670cc34d809cf794431367ef474

; Authentication

;AuthenticationMethod = PAP
AuthenticationMethod = EAP
EAPType = 4 ; MD5-Challenge (EAP-MD5)
;EAPType = 13 ; Smart Card or other Certificate (EAP-TLS)
;EAPType = 21 ; SecureW2 (EAP-TTLS)
;EAPType = 25 ; Protected EAP (EAP-PEAP)
;EAPType = 26 ; Secured password (EAP-MSCHAP v2)
;EAPType = 42 ; Mob@c (EAP-MOBAC)

; Use the following to alter the user credentials popup during authentication

AltUsernameString = "Username"
AltPasswordStr = "Password"
AltRePasswordStr = "Password otra vez"
AltDomainStr = "Dominio"
AltCredsTitle = "Institución / SSID: eduroam-inst"
AltProfileStr = "Intr. datos por eduroam-inst"

; The following disables the "Save credentials" option in the popup
;AllowCachePW = TRUE

; User Account

; To ask the user for credentials during startup use the following example:
PromptUserForCredentials = TRUE
;UserName = PROMPTUSER
;UserPassword = xxx
;UserDomain = alfa-ariss.com

; The following saves the user credentials as computer credentials
; allowing 802.1X authentication during startup
; UseUserCredentialsForComputer = TRUE

; Advanced

;UseAlternateComputerCredentials = TRUE
;ComputerUserName = admin
;ComputerPassword = xxx
;ComputerDomain = somedomain.com
;ServerCertificateOnLocalComputer = TRUE
;CheckForMicrosoftExtension = TRUE
;AllowNewConnections = TRUE
;UseEmptyOuterIdentity = TRUE

  • No labels