Hallo Hans-Dietrich, >> Mit dem Projekt p_wifi kann ich bestimmen, welcher Benutzer oder welche >> Gruppe ins WLAN kommt und wer Mitglieder in p_wifi aufnehmen und daraus >> entfernen darf. Ich kann es z. B. so einrichten, dass jede KollegIn >> SchülerInnen oder Klassen in ihrem Unterricht temporär freischalten kann. > > wie die Gruppe heißt ist ja völlig egal, aber so wie es dasteht, dass > wäre genau das was ich will. Ich möchte eben gern, dass für eine Gruppe > (hier p_wifi) das WLan genutzt werden kann, für alle anderen ist es > nicht nutzbar. > > Ich habe gerade eine Seite gefunden, die das über den LDAP machen. Das > erscheint mir sehr logisch und ist für mich nachvollziehbar. > > https://blog.fem.tu-ilmenau.de/archives/652-Radius-mit-LDAP-und-Gruppen.html > > Hier heißt du Gruppe "wireless".
da kannst du auch ebi uns in den radius EInstellungen "abschreiben". Wir machen es ja genau so. Der Radius schaut im LDAP nach und er kennt die Gruppen: deswegen geht das über ein Projekt in der Schulkonsole: eben p_wifi (oder wie auch immer). Du hast ja schon einen Radius: dann mußt du das dem nur noch beibringen. > Für mich wäre die Verwendung von IPs oder gar MAC-Adressen ein > Notbehelf, welchen ich aus Aufwandsgründen gern vermeiden möchte. .. das ist bei unserer coova Lösung überhaupt nicht nötig. Wenn du ihn normal verwendest, kann sich jedes GErät mit dem WLAN verbinden und bekommt eine IP: welche auch immer. Erst wenn man dann den Browser auf dem Gerät öffnet und eine nicht https Seite aufruft, bekommt man eine Anmelde Maske im Browser, die nach den Credentials Fragt: und die werden mit dem LDAP abgeglichen. ZUsätzlich wird geschaut, ob der Anmeldende Nutzer auch in einer erlaubten Gruppe ist, oder ob er in einer Ausnahmeliste steht. Früher haben wir dazu direkt in der radius conf die Nutzer reingeschrieben: schau mal im wiki nach copspot Da findest du die alte Config. Dass man dem Radius auch erlaubte MAC Adressen geben darf ist nur ein AddOn: das geht halt auch, muß man aber nicht verwenden. Wenn ich schon dabei bin, will ich noch ein wenig mehr über die Problematik erzählen. Bei mir in der Schule gibt es einen nicht geheimen WPA2 Schlüssel: den darf jeder wissen. Damit kommt man ins WLAN, aber nicht am Coova vorbei: dafür benötigt man Credentials. Dieser WPA2 Schlüssel ist Teil des Sicherheitskonzepts, da mit Hilfe dieses Schlüssels die WLAN Verbindung verschlüsselt wird: man kann den Verkehr also nicht belauschen, auch wenn man den Key kennt, da dieser nur zum Übertragen eines Session Keys verwendet wird. Das reicht aber noch nicht, da ja nur die Verbindung "durch die Luft" verschlüsselt wird: danach ist man wieder unverschlüsselt unterwegs. Und damit ein Nutzer den anderen nicht dort angreifen kann, habe ich Accesspoints in denen man die sogenannte Accesspoint Isolation einschalten kann: damit router der Accesspoint Pakete nurnoch in Richtugn Gateway: man kommt also nicht mehr an die anderen Clients heran (und in deren verschlüsselten Tunnel) über den Accesspoint. Damit habe ich die Verbindung hinreichend gekapselt. Der NAchteil ist: manch WLAN HDMI Dongel finden den Cleint nicht, wenn Accesspoint Isolation eingeschaltet ist.. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
