Hallo H.Hullen,
Am 26.02.2016 um 08:50 schrieb Helmut Hullen:
Hallo, Juergen,
Du meintest am 25.02.16:
heute habe ich auf einem Netzwerktreffen gelernt, das IServ (im
Zusammenspiel mit Time for Kids?) bei der WLAN-Authentifizierung in
BLAU neben Benutzername und Kennwort auch die MAC überprüft, um den
Zugang mit (natürlich unerlaubterweise) überlassenen Daten oder mit
unbekannten Geräten oder Smartphones zu verhindern.
So ein Umstandswauwau ist zwar beliebt, aber m.E. für Schulen unnötig.
Stichwort: Radiusserver.
ob die Überprüfung der MAC oder eines Client-Zertifikats wirklich was
bringt, kann ich einfach noch nicht einschätzen. Ich verfolge dazu mit
Interesse diesen Thread und hoffe darauf, dass dazu Argumente kommen,
die mich da weiter bringen.
Zum Radiusserver als solchen, den sehe ich als Administrator unseres
Schulnetzes keineswegs als Umstandswauwau an. Schon deshalb, weil wir
keine Key o.ä für das netz bekannt geben müssen. m.E. ist es rechtlich
problematisch, den Key wie ich es an verschiedenen Schulen gesehen habe,
an jeder Tür per Aushang bekannt zu geben. Will sagen: die Schüler
kommen dank Radiusserver ins lokale Netz und müssen sich dazu mit ihren
Login anmelden. Wenn sie nicht nur auf den Schulserver oder einen
anderen Client im Netz (meist WLan) zugreifen wollen, sondern ins
Internet wollen, müssen sie sich bei uns nochmal anmelden - am Squid.
Nur die Anmeldung am Squid wäre mir wegen den anderen
Nutzungsmöglichkeiten viel zu wenig.
Aber wie schon gesagt, ist mir auch noch nicht klar, ob eine
Verifizierung der Clients überhaupt sinnvoll ist. Was mir aber
vorschwebt, die Logins zur reglementieren, also nur die Mitglieder einer
Gruppe über den Radiusserver in (W)Lan-Netz kommen können. Habe ich aber
noch keine Lösung dafür, sehe ich aber als machbar an.
Der ist dann nötig, wenn der Nutzer anders nicht identifiziert werden
kann, und das trifft für Schulserver nicht zu.
Das sehe ich nicht so.
Da hat jeder User sowieso
seinen Account, fürs Home-Verzeichnis und zum Surfen. Das reicht.
mir nicht.
Ist wie bei der Vergabe von Parkplätzen auf dem Schul-Parkplatz.
Radiusserver ist vergleichbar mit Reservierung nach Kfz-Kennzeichen,
nicht nach Namen oder Funktion (z.B. "stv. Schulleiter"). Letzteres
vermeidet die Kontrolle, mit welchem Auto der Berechtigte diesmal
angekommen ist.
Dieser Vergleich ist dann passend, wenn man den Client identifizieren
will. Bei meinem Szenario ist der Client völlig außen vor, trotzdem kann
ich mir dafür keine Alternative für den Radiusserver vorstellen. Will
sagen, dieses Modell ist nicht wirklich passend für "Schule".
Ein Radiusserver erfordert eine zusätzliche Liste, die irgendwer
zusätzlich führen und pflegen muss.
korrekt. Bei meinem Vorhaben/Ansatz will ich wirklich die Schüler, die
WLan nutzen dürfen (z.B. weil sie eine spezielle Nutzerordnung dafür
unterschrieben haben) in eine Gruppe stecken. Das ist in der Tat eine
"Liste". Wenn sie das nicht mehr dürfen, müssen sie halt gelöscht werden
oder automatisch gelöscht werden, wenn sie die Schule verlassen.
Und nicht nur halbjährlich oder noch
seltener - nein.
muss ich das verstehen?
Viele Grüße
Hans-Dietrich
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
