Hallo Stefan,

Dein Skript werde ich in unserem HULC testen und ggf. einbauen :-)

Das VLAN mit WPA-PSK produziert keine zusätzliche Protokollierungslücke
, solange der Schlüssel nur dem System bekannt ist. Ein Schüler, der
sich an einem Schulrechner im Festnetz im lokalen Netzwerk anmeldet
hätte dieselben Schlupflöcher wie auf einem Schulnotebook im diesem VLAN.
Bei uns habe ich diese - unabhängig von der WLAN-Authentifizierung
vorhandene Lücke geschlossen, indem ich in GRUEN LDAP-Authentifizierung
am Proxy verlange. Das geht übrigens nur, wenn der Proxy nicht
transparent ist!
Wenn die APs in BLAU sind, müsste man dies dort auch so machen.

Gruß Jürgen



Am 15.10.2016 um 15:30 schrieb Stefan Leßmann:
> Hallo,
>
> puh, OK, das war ne schwere Geburt, aber jetzt tut's:
> Hab mich ein bisschen mit lightdm beschäftigt und den Aufruf des
> Scripts beim Abmelden sowie das Script selbst schließlich hinbekommen.
>
> Für die Nachwelt:
>
> /etc/lightdm/lightdm.conf.d/50-wlandel.conf:
> [SeatDefaults]
> session-cleanup-script=/usr/bin/wlandel.sh
>
> (Das session-cleanup-script wird laut ubuntuusers-Wiki mit
> root-Rechten ausgeführt, also sind Veränderungen der sudoers
> überflüssig. Hab ich aber noch nicht getestet, hatte vorher schon an
> den sudoers rumgebastelt... Es heißt übrigens wirklich SeatDefaults
> und nicht etwa SetDefaults!)
>
> /usr/bin/wlandel.sh:
> #!/bin/bash
> rm -rf /etc/NetworkManager/system-connections/*
> /etc/init.d/network-manager restart
>
> (Hatte da erst mit service NetworkManager restart rumprobiert, was auf
> der Konsole funktioniert, im Script aber aus irgendeinem Grund
> nicht...)
>
>
> Die gespeicherten Passwörter der WLAN-Verbindung sind damit nach dem
> Ab- und wieder Anmelden weg. Man muss sich wieder neu anmelden, und
> genau das wollte ich erreichen.
>
>
> Übrigens: Die Sache mit dem extra VLAN (also einer weiteren Netz-SSID)
> wäre natürlich möglich, würde aber verhindern, dass ich im
> Zweifelsfall nachprüfen kann, welcher Benutzer sich im WLAN angemeldet
> hat. Am Notebook sehe ich das ja nicht, weil alle den gleichen Account
> verwenden.
>
> Grüße,
> Stefan
> Stefan Leßmann
>
> Laura-Schradin-Schule Reutlingen
> Bismarckstr. 17
> 72764 Reutlingen
>
> Tel.: 07121/485-211
> Fax: 07121/485-490
>
>
> Am 15. Oktober 2016 um 11:40 schrieb Juergen Engeland
> <juergen.engel...@t-online.de>:
>> Hallo Stefan,
>>
>> zwei Ideen hab ich zurzeit. Die mit VLANs kennst Du bereits. Die mit
>> sudoers führt Deine weiter.
>>
>> Gruß Jürgen
>>
>>
>>
>> Am 15.10.2016 um 11:10 schrieb Stefan Leßmann:
>>> Hallo Frank und Jürgen,
>>>
>>> in /var/lib/NetworkManager steht nichts Interessantes, also kein
>>> Benutzername und kein Passwort.
>>> Die Punkte "Passwort merken" und "Verbindung freigeben" gibt es in
>>> meinem Network-Manager-Dialog beim WLAN-Verbindungsaufbau überhaupt
>>> nicht.
>> Der KDE-Network-Manager ist eben etwas komfortabler ;-)
>>> Extra APs kommen nicht in Frage, es kommt z.B. bei Projekten immer mal
>>> wieder vor, dass sich einzelne Notebooks im Haus verteilt befinden.
>> Können Eure APs VLANs verwalten?
>> Dann könntest Du für verschiedene SSIDs WPA-Enterprise und WPA-PSK
>> einrichten.
>>> Nach etwas rumprobieren fiel mir auf:
>>> Die relevanten Daten stehen doch unter
>>> /etc/NetworkManager/system-connections/, jedoch wird 1.) beim logout
>>> des lokalen Users nicht das Script aus
>>> /etc/linuxmuster-client/post-umount ausgeführt, weil es ja eben ein
>>> lokaler User ist und 2.) muss der NetworkManager neu gestartet werden,
>>> um die Einstellungen zu vergessen, also service NetworkManager
>>> restart. So klappt es, wenn ich es manuell mache.
>>>
>>> Wo packe ich das aber hin, wenn ich es automatisch beim Logout des
>>> lokalen Users "anwender" haben möchte? Meine Versuche mit /etc/lightdm
>>> und /home/anwender/.config/upstart/ waren erfolglos. Ich bräuchte ja
>>> auch jeweils root-Rechte für's Löschen und den service restart...
>> Dies könntest Du mit Einträgen in /etc/sudoers erreichen
>> http://www.linuxmuster.net/wiki/entwicklung:linuxclient:sudoers
>>> Hat da jemand eine Idee?
>>>
>>> Grüße,
>>> Stefan
>>> Stefan Leßmann
>>>
>>> Laura-Schradin-Schule Reutlingen
>>> Bismarckstr. 17
>>> 72764 Reutlingen
>>>
>>> Tel.: 07121/485-211
>>> Fax: 07121/485-490
>>>
>>>
>>> Am 14. Oktober 2016 um 16:10 schrieb Juergen Engeland
>>> <juergen.engel...@t-online.de>:
>>>> Hallo Stefan,
>>>>
>>>> habe gerade mal mit unserem HULC (Kubuntu 14.04) getestet. Wollte ich
>>>> scon immer mal ;-)
>>>> - als lokaler Benutzer angemeldet
>>>> - WPA-Enterprise-Verbindung mit meinen individuellen Benutzerdaten
>>>> hergestellt. Dabei den Haken "Passwort merken" NICHT gesetzt. Verbindung
>>>> NICHT für alle Benutzer freigegeben.
>>>> - Notebook neu gestartet
>>>> - WLAN-Verbindung wird wiederhergestellt und Passwort abgefragt.
>>>>
>>>> -> Frank hat Recht: Network-Manager speichert auch dann außerhalb von
>>>> home, wenn sie nur für den aktuellen Benutzer gelten :-(
>>>> -> Die aufs-Lösung ist keine Option für Dich.
>>>>
>>>> Gruß Jürgen
>>>>
>>>> Am 14.10.2016 um 13:48 schrieb Juergen Engeland:
>>>>> Hallo Stefan,
>>>>>
>>>>> bei uns ist es anders herum:
>>>>> Die WLAN-Verbindung von Schul-Notebooks wird mit einem nur von root
>>>>> lesbaren WPA-PSK - den nur die APs kennen, nicht mal ich ;-) - in
>>>>> /etc/network/interfaces vor der Anmeldung aufgebaut - nicht mit dem
>>>>> Network-Manager - und die SchülerInnen loggen sich mit ihrem
>>>>> individuellen Account ein.
>>>>> Hierfür haben wir zwei spezielle Accesspoints, die temporär in eine Dose
>>>>> in GRUEN gesteckt werden. Das WLAN für BYOD mit WPA-Radius in BLAU ist
>>>>> vollkommen unabhängig davon.
>>>>>
>>>>> Wäre das nicht die einfachste Lösung? Wenn ja, schicke ich Dir bei
>>>>> Bedarf gern die auf dem Client relevanten Dateien.
>>>>>
>>>>> Für Deine Variante könnte es helfen, das home Deines lokalen Account auf
>>>>> ein aufs-Dateisystem zu legen. Wenn Du diesen Weg beschreiten möchtest,
>>>>> könnte ich Dir einen älteren Artikel aus der c't hierzu zukommen lassen.
>>>>>
>>>>> Gruß Jürgen
>>>>>
>>>>>
>>>>>
>>>>> Am 14.10.2016 um 11:41 schrieb Stefan Leßmann:
>>>>>> Hallo,
>>>>>>
>>>>>> ich stehe vor folgendem Problem:
>>>>>>
>>>>>> Unser WLAN (WPA2 Enterprise) authentifiziert nicht per Preshared Key,
>>>>>> sondern die User geben zur Anmeldung im WLAN direkt im
>>>>>> Ubuntu-Network-Manager ihre üblichen Login-Daten ein.
>>>>> Wenn ein AccessPoint WPA-PSK und WPA-Enterprise unterstützen soll, muss
>>>>> er VLANs verwalten können -> mehrere SSIDs.
>>>>> Unsere könnten, aber es gab bislang keinen Bedarf dafür.
>>>>> http://network.longshine.de/goods/detail/de/45_80/268
>>>>>> Allerdings loggen sich an den Notebooks alle Schüler in einem
>>>>>> einheitlichen Account ein.
>>>>> Klar, erst dann kommen sie an den Network-Manager heran.
>>>>>>  Und Ubuntu merkt sich das Passwort des
>>>>>> Nutzers dieses Accounts, der sich zuletzt im WLAN angemeldet hat. Noch
>>>>>> schlimmer: Man kann sich im Network-Manager Username und Passwort
>>>>>> dieses Nutzers im Klartext anzeigen lassen.
>>>>> Das ist in der Tat Mist!
>>>>> Die relevanten Dateien müssten sowohl vor dem Anmelden als auch nach dem
>>>>> Abmelden und sicherheitshalber gelöscht werden.
>>>>> Was helfen könnte ist eine Lösung mit aufs ("Mit einem Wisch ist alles
>>>>> weg" in c't), die ich für unseren lokalen Account realisiert habe.
>>>>>> Bisher lasse ich die Notebooks halt bei jedem Start syncen, sodass das
>>>>>> WLAN für den Standardaccount noch nicht verbunden ist.
>>>>>>
>>>>>> Allerdings könnte ja ein Schüler sich nur abmelden und den Rechner
>>>>>> dann weitergeben. Außerdem ist die Zeit für den Sync bei identischen
>>>>>> Notebooks (flotte SSD) mit identischem Image äußerst unterschiedlich
>>>>>> (zwischen < 1 Minute und > 20 Minuten; ein Prinzip habe ich dahinter
>>>>>> noch nicht erkennen können), was das Arbeiten in der Praxis unmöglich
>>>>>> macht.
>>>>>>
>>>>>> Also würde ich gerne in /etc/linuxmuster-client/post-umount mit einem
>>>>>> Script die Konfigurationsdatei löschen, in der der NetworkManager die
>>>>>> Login-Daten speichert.
>>>>>>
>>>>>> Unter /etc/NetworkManager/system-connections fand sich eine Datei mit
>>>>>> unserer WLAN-SSID und den Zugangsdaten im Klartext. Nur: Löschen hilft
>>>>>> nicht! Der Network-Manager hat nach dem Login im Standardaccount
>>>>>> trotzdem noch die Zugangsdaten!
>>>>>>
>>>>>> Weiß jemand, wo der seine Daten speichert?
>>>>> Hoffentlich irgendwo im home. Wo ist egal, wenn man es mit aufs schützt.
>>>>>> Grüße,
>>>>>> Stefan Leßmann
>>>>>>
>>>>>> Laura-Schradin-Schule Reutlingen
>>>>>> Bismarckstr. 17
>>>>>> 72764 Reutlingen
>>>>>>
>>>>>> Tel.: 07121/485-211
>>>>>> Fax: 07121/485-490
>>>>>> _______________________________________________
>>>>>> linuxmuster-user mailing list
>>>>>> linuxmuster-user@lists.linuxmuster.net
>>>>>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>>>>>>
>>>>> _______________________________________________
>>>>> linuxmuster-user mailing list
>>>>> linuxmuster-user@lists.linuxmuster.net
>>>>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>>>>>
>>>> _______________________________________________
>>>> linuxmuster-user mailing list
>>>> linuxmuster-user@lists.linuxmuster.net
>>>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>>> _______________________________________________
>>> linuxmuster-user mailing list
>>> linuxmuster-user@lists.linuxmuster.net
>>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>>>
>> _______________________________________________
>> linuxmuster-user mailing list
>> linuxmuster-user@lists.linuxmuster.net
>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
> _______________________________________________
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>

_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Antwort per Email an