Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
> solltest du vorher die > momentane config des openml radius beim maintainer erfragen. :) Die Hoffnung stirbt zuletzt, dass die hier mitlesen?? -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 14.04 Clients (trusty714-Vorlage) - leoclient1 mit WinXP im offline-Modus - Moodle 2.7.8 (extern mit LDAPS und openLML-Modul) - WLAN: Unifi-APs (UAP-AC) am CoovaChilli - Info-Boards: tabula.info Server + RasPi-Clients ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
hi, > Jedenfalls habe ich gerade diese Anlaufstelle gefunden ... > https://www.packtpub.com/books/content/getting-started-freeradius :-) ja, wenn du dich zum radiusfachmann machst, solltest du vorher die momentane config des openml radius beim maintainer erfragen. jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi. >ich empfehle, macauth möglichst NICHT zu benutzen! die mac ist ein sehr >sehr SEHR einfach zu fakendes merkmal. Ja, aber auch hier gilt: Dem Schüler, der das kann/weiß/umsetzt, gönne ich den Erfolg! Der Vorschlag kam übrigens direkt hier aus der Liste... zudem müsste der Schüler zunächst die Liste der zugelassenen MACs kennen. Sooo kritisch ist es also in diesem Fall nicht, meine ich. > nochmal: es ist NICHT trivial. Ja, das merke ich auch gerade ... vielleicht gibt's ja doch noch Verstärkung hier aus der Liste!? Jedenfalls habe ich gerade diese Anlaufstelle gefunden ... https://www.packtpub.com/books/content/getting-started-freeradius Ich habe mal folgendes gemacht: echo "User-Name=USERNAME" | radclient -x localhost status (Das steht übrigens tatsächlich nochmal unter /etc/freeradius/clients.conf -- scheint also richtig zu sein!) Daraufhin wurde automatisch zum Port 1812 verbunden -- "Sending Status-Server of id 229 to 127.0.0.1 port 1812" nach drei Versuchen war Schluss und es erschien wieder: "radclient: no response from server for ID 120 socket 3" Es scheint aber so zu sein, wie auf der Seite beschrieben: Kein User unter /etc/freeradius/users wurde eingerichtet??? Jetzt habe ich leider keine Zeit mehr ... aber es geht (vermutlich) in die richtige Richtung... Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
ps: bei mir hat radutmp übrigens user uns gruppe freerad und rechte 0600. ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
hi, > Ich habe macauth=on gestellt, damit einige User ohne Auth. online sind. > Diese werden dann tatsächlich per Mac-Adresse angezeigt! Daher ist die ich empfehle, macauth möglichst NICHT zu benutzen! die mac ist ein sehr sehr SEHR einfach zu fakendes merkmal. > Syntax so richtig, meine ich?!? Das Problem ist im Moment eher, dass der ja, wenn dein user so heißt, wie angezeigt... > Server gar nicht reagiert. Ich tippe auf einen falschen Port ... habe > allerdings auch schon erfolglos 1812/1813/3990/4990 ausprobiert... hört er denn überhaupt auf diesem interface, dieser ip und diesem port? das ist alles sehr stark von den einstellungen in der config ab. und bei diesen kann ich dir nicht helfen, da ich keinen openml chilli laufen habe. die radius config für sowas ist nicht trivial! > Ist denn das "secret" richtig? Auch da gibt es mehrere Einträge in den > configs... wenn du nur einen radiusserver hast, gibt es im normalfall auch nur ein radsecret pro clientklasse. und ich nehme stark an, daß du keinen multiclient server betreibst :) also ist vermutlich das secret in all deinen configs dasselbe. >>> (der radlast-Befehl funktioniert übrigens gut!) >> hm, der radlast befehl ist m.e. der falsche. >> ich würde da eher von radwho ausgehen... > den hatte ich zwischenzeitlich auch schon entdeckt --- erhalte damit aber: > radwho: Error reading /var/log/freeradius/sradutmp: No such file or > directory dann ist der radius nicht dafür ausgelegt. wenn du glück hast, genügt ein touch /var/log/freeradius/sradutmp den benutzer solltest du bei der datei radwtmp abgucken, doer es mal mit 777 als flags versuchen. und natürlich radius neu starten... und logfiles lesen!! >> ja, natürlich. wenn disconnect mit den chilli clients klappt, kann man >> ein einfachstes shellscript schreiben, > Eine Vorlage war schnell gefunden: > > http://stackoverflow.com/questions/25178679/how-to-monitor-if-radclient-packet-disconnection-has-been-successful-received hm, ja. das script ist das trivialste dabei. schau erstmal, daß dein coovaclient disconnect kann. es gibt da noch jede menge weitere fallstricke. zauberworte sind hierbei wohl noch coaport und ipcheck. radius nimmt nämlich nicht einfach so von jedem seine befehle an... http://wiki.freeradius.org/Packet_of_Disconnect solltest du auch kennen. nochmal: es ist NICHT trivial. jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi. > (schulkonsolen)skripte erzeugen lässt. aber zu erwarten, daß der openml > chilispot maintainer das "mal so eben" in sein system einbaut und das > dann auch noch supportet ist m.e. etwas viel verlangt. Sehe ich genauso ... das würde hier wahrscheinlich 99% der selbsternannten Admins überfordern (mich selbst eingeschlossen :)) >> - >> echo "User-Name=94-D7-5D-4C-FC-A3" | radclient -x 127.0.0.1:3997 >> disconnect > > mal davon abgesehn, daß deine benutzernamen wohl nicht aus einer mac > adresse bestehen werden (das beispiel stammt wohl aus einer macauth > installation), scheint mir die grundsyntax korrekt. Ich habe macauth=on gestellt, damit einige User ohne Auth. online sind. Diese werden dann tatsächlich per Mac-Adresse angezeigt! Daher ist die Syntax so richtig, meine ich?!? Das Problem ist im Moment eher, dass der Server gar nicht reagiert. Ich tippe auf einen falschen Port ... habe allerdings auch schon erfolglos 1812/1813/3990/4990 ausprobiert... Ist denn das "secret" richtig? Auch da gibt es mehrere Einträge in den configs... >> (der radlast-Befehl funktioniert übrigens gut!) > hm, der radlast befehl ist m.e. der falsche. > ich würde da eher von radwho ausgehen... den hatte ich zwischenzeitlich auch schon entdeckt --- erhalte damit aber: radwho: Error reading /var/log/freeradius/sradutmp: No such file or directory > ja, natürlich. wenn disconnect mit den chilli clients klappt, kann man > ein einfachstes shellscript schreiben, Eine Vorlage war schnell gefunden: http://stackoverflow.com/questions/25178679/how-to-monitor-if-radclient-packet-disconnection-has-been-successful-received Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
> Aber nochmal: OpenDNS funktioniert immerhin so gut, dass wir seit > mehreren Jahren überhaupt keinen Stress mehr mit Facebook und Co. haben. > Alle (?) anderen Lösungen kamen mir immer wie das Hase-Igel-Spiel vor... aus datenschutzgründen betreibe ich meinen filternden nameserver lieber selbst. das konzept ist aber dasselbe wie bei opendns. bei mir ist es so, daß der schüler beim aufruf einer facebook domain auf einer webseite landet, die ihm mitteilt, daß der aufruf von facebook aus dem schulnetz nicht erlaubt ist und dass dieser versuch mit seinem namen geloggt wurde. opendns spielt übrigens genauso hase und igel. nur sind sie dank großen resourcen, eben ein schneller hase :) jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
hallo, >> für schüler habe ich einmal one time tickets, die sich genau einmal >> einloggen können und dann für maximal 45 minuten online sein dürfen, > Interessante Möglichkeiten, die sich da auftun -- und das hast du > ebenfalls alles mit einem coovachilli realisiert?? nein, als ich mein hotspotsystem entwickelte, gab es den coova fork noch nicht. es ist aber ein chillisopt basierendes system, ja. obwohl mein system auch seit fast 10 jahren bereits in schulen installiert ist, ist es doch hauptsächlich ein (kommerzielles) hotspotsystem für gastronomen, firmen mit tagungsräumen, hotels etc. es hat NICHTS mit der openml chilli lösung zu tun. deshalb sind meine verhältnisse keinesfalls 1:1 übernehmbar, sondern nur als anregung zum "könnte man einbauen" zu sehen. > Ich finde es allerdings gerade gut, dass die SuS ihren ganz normalen > Login benutzen können und nicht noch weitere Logins bekommen. Zudem sehe > ich schon Kollege XY überfordert, wenn er zunächst zeitlich limitierte > Logins verteilen muss, bevor die Schüler loslegen können... man kann das beliebig komplex programmieren. es spricht natürlich nichts dagegen, daß der radius seine benutzetr und passworte aus einem ldap bezieht. und auch nicht, daß man entsprechende profile on the fly durch (schulkonsolen)skripte erzeugen lässt. aber zu erwarten, daß der openml chilispot maintainer das "mal so eben" in sein system einbaut und das dann auch noch supportet ist m.e. etwas viel verlangt. >> für dich käme da am ehesten eine kombination aus 1 und 2 in frage. > Den disconnect-Befehl habe ich gerade mal ausprobiert ... ob der überhaupt funktioniert hängt davon ab, mit welchen optionen chillispot kompiliert wurde. > - > echo "User-Name=94-D7-5D-4C-FC-A3" | radclient -x 127.0.0.1:3997 > disconnect mal davon abgesehn, daß deine benutzernamen wohl nicht aus einer mac adresse bestehen werden (das beispiel stammt wohl aus einer macauth installation), scheint mir die grundsyntax korrekt. > > Sending Disconnect-Request of id 24 to 127.0.0.1 port 3997 > User-Name = "94-D7-5D-4C-FC-A3" > radclient: no response from server for ID 24 socket 3 > - > (der radlast-Befehl funktioniert übrigens gut!) hm, der radlast befehl ist m.e. der falsche. ich würde da eher von radwho ausgehen... > Wenn's mit dem Befehl klappt, wäre das ein brauchbare Lösung, meine > ich?! Damit könnte man in allen Pausen sämtliche Schüler-Verbindungen > kappen und fertig ja, natürlich. wenn disconnect mit den chilli clients klappt, kann man ein einfachstes shellscript schreiben, welches zu einer bestimmten zeit die selektierten benutzer kickt. und da es dann diese accounts nicht mehr gibt, können sie sich auch nicht nochmal einloggen. jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
> opendns ist, wie jede "sperre" die über einen fakenden dns stattfindet, > ein ziemlich trügerischer schutz Ja, das dachte ich mir schon ... denn irgendwie müssen die das httpS ja wieder auflösen/verhindern/entschlüsseln/$whatever?!? > mir fallen auf anhieb mindestens 3 möglichkeiten ein, eine dns "sperre" > zu umgehen. Mir nicht ... und den Schülern sicher auch nicht ... und ohne root-Rechte??? Also ich sehe es sportlich: Wer von den Schülern in der Lage ist, diese Sperre wieder umzubiegen oder aufzuheben, der sollte sich als "2. Admin" bei mir "bewerben" und mir helfen. Dann kann er seine Kreativität und sein Können sinnvoll(er) einsetzen. Aber nochmal: OpenDNS funktioniert immerhin so gut, dass wir seit mehreren Jahren überhaupt keinen Stress mehr mit Facebook und Co. haben. Alle (?) anderen Lösungen kamen mir immer wie das Hase-Igel-Spiel vor... Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi jonny. > für schüler habe ich einmal one time tickets, die sich genau einmal > einloggen können und dann für maximal 45 minuten online sein dürfen, Interessante Möglichkeiten, die sich da auftun -- und das hast du ebenfalls alles mit einem coovachilli realisiert?? Ich finde es allerdings gerade gut, dass die SuS ihren ganz normalen Login benutzen können und nicht noch weitere Logins bekommen. Zudem sehe ich schon Kollege XY überfordert, wenn er zunächst zeitlich limitierte Logins verteilen muss, bevor die Schüler loslegen können... > für dich käme da am ehesten eine kombination aus 1 und 2 in frage. Den disconnect-Befehl habe ich gerade mal ausprobiert ... - echo "User-Name=94-D7-5D-4C-FC-A3" | radclient -x 127.0.0.1:3997 disconnect Sending Disconnect-Request of id 24 to 127.0.0.1 port 3997 User-Name = "94-D7-5D-4C-FC-A3" radclient: no response from server for ID 24 socket 3 - (der radlast-Befehl funktioniert übrigens gut!) Wenn's mit dem Befehl klappt, wäre das ein brauchbare Lösung, meine ich?! Damit könnte man in allen Pausen sämtliche Schüler-Verbindungen kappen und fertig Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user