11
WLAN und LAN für Schüler mit Authentifizierung
Guten Morgen zusammen,
wir möchten den Schüler in unserer Schule einen Arbeitsraum einrichten. Dieser soll über Funknetz und LAN laufen, so dass festinstallierte Computer aber auch eigene Laptops und iPhones benutzt werden können.
Alle Computer der Schule sind schon in einem Schulnetzwerk eingebunden und jeder Schüler verfügt über einen Account. Meldet er sich an einem Computer an, bekommt er seine Dateien zugeordner etc.
Im Arbeitsruam brauche ich aber mehr Kontrolle: Wer macht was und wann im Internet. Mit welcher Art von Router kann ich das angehen? Welche Technik muss ich verwenden? Ich hätter gerne, dass der Router erst nach Eingabe des Account-Username+Passwort das WLAN für eine Schüler freigibt. Brauche ich da einen Radius-Server, der beim Schulserver nachfragt, ob der User exisitiert und die entsprechenden Erlaubnis hat? Was muss der Router können, damit entsprechechende Protokolle mit laufen (IP, Benutzername, Zugriffe)?
Vielleicht kennt ja jemand eine Anleitung für ein solche Hardwarekonstellation oder kann mir die entsprechenden Schlagwörter nennen.
Vielen Dank schon mal,
ingo
wir möchten den Schüler in unserer Schule einen Arbeitsraum einrichten. Dieser soll über Funknetz und LAN laufen, so dass festinstallierte Computer aber auch eigene Laptops und iPhones benutzt werden können.
Alle Computer der Schule sind schon in einem Schulnetzwerk eingebunden und jeder Schüler verfügt über einen Account. Meldet er sich an einem Computer an, bekommt er seine Dateien zugeordner etc.
Im Arbeitsruam brauche ich aber mehr Kontrolle: Wer macht was und wann im Internet. Mit welcher Art von Router kann ich das angehen? Welche Technik muss ich verwenden? Ich hätter gerne, dass der Router erst nach Eingabe des Account-Username+Passwort das WLAN für eine Schüler freigibt. Brauche ich da einen Radius-Server, der beim Schulserver nachfragt, ob der User exisitiert und die entsprechenden Erlaubnis hat? Was muss der Router können, damit entsprechechende Protokolle mit laufen (IP, Benutzername, Zugriffe)?
Vielleicht kennt ja jemand eine Anleitung für ein solche Hardwarekonstellation oder kann mir die entsprechenden Schlagwörter nennen.
Vielen Dank schon mal,
ingo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 144632
Url: https://administrator.de/contentid/144632
Printed on: April 26, 2024 at 20:04 o'clock
11 Comments
Latest comment
Hallo
Ich weiss ja nciht was du für eine Infrastruktur schon hast...
Aber da ich ein Linuxanhänger bin, würde ich davor ein IPCOP http://sourceforge.net/apps/trac/ipcop/wiki setzen.
Mit folgenden Erweiterungen:
URL Filter addon: http://www.urlfilter.net/
Advanced Proxy: http://www.urlfilter.net/
WLAN Addon http://www.ban-solms.de/t/IPCop-wlanap.html
Die Installation ist relativ einfach und die Installation der Addons ist einfach und gut Beschrieben.
Nachher kannst du alles über Web-Gui steuern.
Somit hast du eine flexible Appliance und hast die Kiddies im Griff
Gruss
adminst
Ich weiss ja nciht was du für eine Infrastruktur schon hast...
Aber da ich ein Linuxanhänger bin, würde ich davor ein IPCOP http://sourceforge.net/apps/trac/ipcop/wiki setzen.
Mit folgenden Erweiterungen:
URL Filter addon: http://www.urlfilter.net/
Advanced Proxy: http://www.urlfilter.net/
WLAN Addon http://www.ban-solms.de/t/IPCop-wlanap.html
Die Installation ist relativ einfach und die Installation der Addons ist einfach und gut Beschrieben.
Nachher kannst du alles über Web-Gui steuern.
Somit hast du eine flexible Appliance und hast die Kiddies im Griff
Gruss
adminst
Hi
Also ich würde das mit einem Squid (Proxy) realisieren, da an deiner Schule sicher auch minderjährige Schüler sind die man laut Gesetz vor gefährlichen Inhalten schützen muss.
Jugendfilter, Statistiken, Portsperrung, Authentifizierung etc. kann der Squid alles. Er ist kostenlos man muss sich nur ein wenig mit Linux auseinander setzen. Das einzige was an kosten anfällt ist ein Rechner/ Server und das wars. Es ist die kostengünstigeste Variante.
Den Squid kann man so konfigurieren, dass es ein Zwangsproxy ist, der im Browser nach Benutzernamen und Kennwort fragt und man ihn mit der Domain verbindet, dass er die Benutzerinfos und Pw´´s von dort bezieht.
Also einfach mal mit Squid beschäftigen.
MFG Nemesis
Also ich würde das mit einem Squid (Proxy) realisieren, da an deiner Schule sicher auch minderjährige Schüler sind die man laut Gesetz vor gefährlichen Inhalten schützen muss.
Jugendfilter, Statistiken, Portsperrung, Authentifizierung etc. kann der Squid alles. Er ist kostenlos man muss sich nur ein wenig mit Linux auseinander setzen. Das einzige was an kosten anfällt ist ein Rechner/ Server und das wars. Es ist die kostengünstigeste Variante.
Den Squid kann man so konfigurieren, dass es ein Zwangsproxy ist, der im Browser nach Benutzernamen und Kennwort fragt und man ihn mit der Domain verbindet, dass er die Benutzerinfos und Pw´´s von dort bezieht.
Also einfach mal mit Squid beschäftigen.
MFG Nemesis
morgen,
jap kostenlos und sehr zu empfehlen
Du musst dich noch nicht mal wie nEmEsls geschrieben hat mit Linux beschäftigen, sondern kannst ihn auch auf einen bestehenden Windows (Server) packen.
mfg
David
... Er ist kostenlos man muss sich nur ein wenig mit Linux auseinander setzen.
jap kostenlos und sehr zu empfehlen
Du musst dich noch nicht mal wie nEmEsls geschrieben hat mit Linux beschäftigen, sondern kannst ihn auch auf einen bestehenden Windows (Server) packen.
mfg
David
Hi
Okay dave 114 aber auf Linux ist es schöner
Nee du hast recht ich hab gerade mal wieder verdrängt das es den Squid für Windows ... auch gibt.
Aber wer weiß wie gut seine Schüler im knacken sind sonst sind es nachher auf dem Windowsserver .
Voralllem würde ich die Netzwerke trennen. Eine Ip Range für Privatgeräte ist sicher zu empfehlen, da du dir nie sicher sein kannst, was die so draufhaben...
Sprech aus Erfahrung.
Mfg Nemesis
Okay dave 114 aber auf Linux ist es schöner
Nee du hast recht ich hab gerade mal wieder verdrängt das es den Squid für Windows ... auch gibt.
Aber wer weiß wie gut seine Schüler im knacken sind
sonst sind es nachher auf dem Windowsserver .Voralllem würde ich die Netzwerke trennen. Eine Ip Range für Privatgeräte ist sicher zu empfehlen, da du dir nie sicher sein kannst, was die so draufhaben...
Sprech aus Erfahrung.
Mfg Nemesis
jaja immer dieses Schüler die sonst nichts zu tun haben
Squid ist erstmal ein ganz anderes Thema, das kommt nach WLAN.
Du musst dich erstmal zwischen Captive Portal oder 802.1x entscheiden.
Captive Portal:
+ Funktioniert mit praktisch jedem WLAN-Client
+ Für jeden User leicht verständlich
- Keine Verschlüsselung möglich, also relativ unsicher
802.1x:
+ Zusammen mit WPA2 relativ sicher
- Auf Windows-Clients die Hölle bei der Einrichtung
Einen RADIUS-Server brauchst du in beiden Fällen.
Du musst dich erstmal zwischen Captive Portal oder 802.1x entscheiden.
Captive Portal:
+ Funktioniert mit praktisch jedem WLAN-Client
+ Für jeden User leicht verständlich
- Keine Verschlüsselung möglich, also relativ unsicher
802.1x:
+ Zusammen mit WPA2 relativ sicher
- Auf Windows-Clients die Hölle bei der Einrichtung
Einen RADIUS-Server brauchst du in beiden Fällen.
Wow, danke für die vielen Infos.
Vielleicht noch weitere Infos zur Hardware: Ich habe eine 10.4.11 OSX Server mit SQUID laufen. Und spiele mit dem Gedanken noch einen weiteren Internetfilter vor den Schulserver zu hängen: http://time-for-kids.de/home/ Aber da wird dann halt alles gefilter, was wenig Sinn macht. Denn die Lehrer seollten dann ja schon alles anschauen können.
Dann ist das Problem, dass der Filter bei uns nicht nach Usern geht sondern nach Hardware. Lehrer-Computer haben eine IP aus einem anderen Subnetz als die Schülerrechner.
Meine Support-Firma war damals der Meinung, dass eine solche Vorgehensweise besser ist. Und bislang hat das auch gut funktioniert. Allerdings hat diese Konfiguration den Nachteil, dass ich nicht protokollieren kann, wer was gemacht hat.
Ich war zB schon am Überlegen an den bestehenden Router vor dem Schulserver den time-for-kids-router zu hängen, da dieser besser filtert. Und an diese Filter wiederrum einen Router, der das Authentifizieren übernimmt. Eventuell muss ich dann dort noch von Hand eine Server aufziehen, dann müsste ich die erlaubten Schüler zwar nochmals eintragen und hätte damit doppelte Buchführung, allerdings kann ich vorher auch die Eltern nach ihrer Erlaubnis fragen.
Was meint ihr dazu? Macht das Sinn? Gibt es einen WLAN-Router, der die entsprechenden Nutzerverwaltung gleich beinhaltet?
Vielen Dank,
Ingo
Vielleicht noch weitere Infos zur Hardware: Ich habe eine 10.4.11 OSX Server mit SQUID laufen. Und spiele mit dem Gedanken noch einen weiteren Internetfilter vor den Schulserver zu hängen: http://time-for-kids.de/home/ Aber da wird dann halt alles gefilter, was wenig Sinn macht. Denn die Lehrer seollten dann ja schon alles anschauen können.
Dann ist das Problem, dass der Filter bei uns nicht nach Usern geht sondern nach Hardware. Lehrer-Computer haben eine IP aus einem anderen Subnetz als die Schülerrechner.
Meine Support-Firma war damals der Meinung, dass eine solche Vorgehensweise besser ist. Und bislang hat das auch gut funktioniert. Allerdings hat diese Konfiguration den Nachteil, dass ich nicht protokollieren kann, wer was gemacht hat.
Ich war zB schon am Überlegen an den bestehenden Router vor dem Schulserver den time-for-kids-router zu hängen, da dieser besser filtert. Und an diese Filter wiederrum einen Router, der das Authentifizieren übernimmt. Eventuell muss ich dann dort noch von Hand eine Server aufziehen, dann müsste ich die erlaubten Schüler zwar nochmals eintragen und hätte damit doppelte Buchführung, allerdings kann ich vorher auch die Eltern nach ihrer Erlaubnis fragen.
Was meint ihr dazu? Macht das Sinn? Gibt es einen WLAN-Router, der die entsprechenden Nutzerverwaltung gleich beinhaltet?
Vielen Dank,
Ingo
Captive Portal ist in der Tat generell der richtige Weg für eine Schule !!!
Wie man sowas einfach und kostenneutral für eine Schule umsetzen kann sagt dir en Detail dieses Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Kann man natürlich auch noch mit einem Radius Server koppeln wenn man es denn unbedingt will !! Wie das geht sagt dir dies Tutorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Du kannst auch beides kombinieren und die CP Abfrage über Radius machen. Meist ist das aber verwaltungstechnisch Overkill für eine Schule.... musst du aber entscheiden ! (Siehe Statement von dog oben !)
Wie man sowas einfach und kostenneutral für eine Schule umsetzen kann sagt dir en Detail dieses Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Kann man natürlich auch noch mit einem Radius Server koppeln wenn man es denn unbedingt will !! Wie das geht sagt dir dies Tutorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Du kannst auch beides kombinieren und die CP Abfrage über Radius machen. Meist ist das aber verwaltungstechnisch Overkill für eine Schule.... musst du aber entscheiden ! (Siehe Statement von dog oben !)
Hi !
Wobei ich aber noch anmerken dürfte, dass das Wort "unsicher" eher für nicht abhörsicher zu verstehen ist, denn man könnte die Loginseite des CP auch per "https://" realisieren, dann würden zumindest die Logindaten nicht mehr im Klartext übertragen, was aber die Sache dann wieder etwas "umständlicher" gestaltet. Stichwort: Zertifikate.
mrtux
Wobei ich aber noch anmerken dürfte, dass das Wort "unsicher" eher für nicht abhörsicher zu verstehen ist, denn man könnte die Loginseite des CP auch per "https://" realisieren, dann würden zumindest die Logindaten nicht mehr im Klartext übertragen, was aber die Sache dann wieder etwas "umständlicher" gestaltet. Stichwort: Zertifikate.
mrtux
Ich bezog mich mit "unsicher" auch auf die Möglichkeit des Session-Hijackings, da schon die MAC-ID reicht um eine aktive Session zu klauen.
Hi !
Stimmt aber "Da drüben steht ein Mädchen und Du verrätst unsere besten Tricks..."
mrtux
Zitat von @dog:
Ich bezog mich mit "unsicher" auch auf die Möglichkeit des Session-Hijackings, da schon die MAC-ID reicht um eine
aktive Session zu klauen.
Ich bezog mich mit "unsicher" auch auf die Möglichkeit des Session-Hijackings, da schon die MAC-ID reicht um eine
aktive Session zu klauen.
Stimmt aber "Da drüben steht ein Mädchen und Du verrätst unsere besten Tricks..."
mrtux