Hallo,
Am 26.02.2016 um 10:30 schrieb Helmut Hullen:
Hallo, Hans-Dietrich,
Du meintest am 26.02.16:
Zum Radiusserver als solchen, den sehe ich als Administrator unseres
Schulnetzes keineswegs als Umstandswauwau an. Schon deshalb, weil wir
keine Key o.ä für das netz bekannt geben müssen. m.E. ist es
rechtlich problematisch, den Key wie ich es an verschiedenen Schulen
gesehen habe, an jeder Tür per Aushang bekannt zu geben. Will sagen:
die Schüler kommen dank Radiusserver ins lokale Netz und müssen sich
dazu mit ihren Login anmelden.
Eben - Umstandswauwau.
Ich liebe (ungefragte) Wertungen.
Wenn sie nicht nur auf den Schulserver
oder einen anderen Client im Netz (meist WLan) zugreifen wollen,
sondern ins Internet wollen, müssen sie sich bei uns nochmal anmelden
- am Squid. Nur die Anmeldung am Squid wäre mir wegen den anderen
Nutzungsmöglichkeiten viel zu wenig.
Eben - für Schulserver unnötig.
haben Sie überhaupt gelesen, was ich geschrieben habe?
Wenn ich ein Homeverzeichnis auf dem Server habe, wenn ich irgendwelche
Freigaben auf dem Server benutzen darf, dann habe ich sowieso einen
Account. Bei Windows-Clients oft an die "Domänenanmeldung" gekoppelt.
Und diesen Account kann ich auch bei der Squid-Anmeldung fürs Surfen
verwenden, mit oder ohne LDAP.
Nochmal: es geht mir darum, dass nicht jeder innerhalb des Schulgeländes
auf den Schulserver zugreifen darf und auch nicht von einem privaten
Client Kontakt mit einem anderen Client über das Schulnetz herstellt,
schon gar nicht zu einem Rechner, den der Admin betreut. Da ist Squid
einfach außen vor. Das mit dem Surfen ist auch für mich kein Problem,
also ist es für mich witzlos, damit zu argumentieren. Und private
Rechner (wegen BOYD) sind wohl eher nicht in der Domäne ... .
Aber wie schon gesagt, ist mir auch noch nicht klar, ob eine
Verifizierung der Clients überhaupt sinnvoll ist. Was mir aber
vorschwebt, die Logins zur reglementieren, also nur die Mitglieder
einer Gruppe über den Radiusserver in (W)Lan-Netz kommen können. Habe
ich aber noch keine Lösung dafür, sehe ich aber als machbar an.
Das wäre doppelt gemoppelt - das geht auch ohne Radius-Server, ohne
dessen (zusätzliche) MAC-Liste.
Nochmal: haben Sie meine Mail überhaupt gelesen? Ich habe in keinster
Weise von einer Liste der Clients geschrieben und schon gar nicht über
eine Liste von MAC-Adressen.
Und, ich habe einen Radius-Server an meiner Schule, aber ich habe keine
Liste von MAC-Adressen.
Ist wie bei der Vergabe von Parkplätzen auf dem Schul-Parkplatz.
Radiusserver ist vergleichbar mit Reservierung nach Kfz-Kennzeichen,
nicht nach Namen oder Funktion (z.B. "stv. Schulleiter"). Letzteres
vermeidet die Kontrolle, mit welchem Auto der Berechtigte diesmal
angekommen ist.
Dieser Vergleich ist dann passend, wenn man den Client identifizieren
will. Bei meinem Szenario ist der Client völlig außen vor, trotzdem
kann ich mir dafür keine Alternative für den Radiusserver vorstellen.
Will sagen, dieses Modell ist nicht wirklich passend für "Schule".
???
Ich erkläre es Ihnen auch gern nochmal: Ich habe einen Radius-Server.
Der dient dazu, dass ich eben keinen Key bekanntgeben muss, sondern
jedesmal in Abhängigkeit vom Login neu ausgehandelt wird. Was anderes
wird bei uns derzeit nicht gebraucht. Also jeder der ein Login hat,
könnte sich am WLan anmelden und es nutzen. Ich will nur noch, dass ich
festlegen kann, wer von den Lehrern und Schülern unserer Schule dieses
WLan nutzen darf/kann. Die sollen in eine Gruppe z.B. "p_wifi" oder
"wireless".
Ich finde dieses Kfz-Modell einfach nicht passend - für den bei uns wie
gerade beschriebenen Radius-Server. und unser Radius-Server ist
praktisch identisch mit der von der Linuxmuster-Lösung. Nur eine einzige
Zeile ist bei uns anders.
Wer darf das Schulnetz benutzen?
bei mir derzeit: jeder der einen Account hat.
Zielstellung: jeder der einen Account hat und von mir die
Berechtigung erhalten hat. (Nochmal: das hat bei mir nichts mit Clients
und nichts mit MACs zu tun).
Viele Grüße
Hans-Dietrich
PS: mögliche Lösung für meine Zielsetzung in meiner nächsten Mail.
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
