WLAN und LAN für Schüler mit Authentifizierung
Guten Morgen zusammen,
wir möchten den Schüler in unserer Schule einen Arbeitsraum einrichten. Dieser soll über Funknetz und LAN laufen, so dass festinstallierte Computer aber auch eigene Laptops und iPhones benutzt werden können.
Alle Computer der Schule sind schon in einem Schulnetzwerk eingebunden und jeder Schüler verfügt über einen Account. Meldet er sich an einem Computer an, bekommt er seine Dateien zugeordner etc.
Im Arbeitsruam brauche ich aber mehr Kontrolle: Wer macht was und wann im Internet. Mit welcher Art von Router kann ich das angehen? Welche Technik muss ich verwenden? Ich hätter gerne, dass der Router erst nach Eingabe des Account-Username+Passwort das WLAN für eine Schüler freigibt. Brauche ich da einen Radius-Server, der beim Schulserver nachfragt, ob der User exisitiert und die entsprechenden Erlaubnis hat? Was muss der Router können, damit entsprechechende Protokolle mit laufen (IP, Benutzername, Zugriffe)?
Vielleicht kennt ja jemand eine Anleitung für ein solche Hardwarekonstellation oder kann mir die entsprechenden Schlagwörter nennen.
Vielen Dank schon mal,
ingo
wir möchten den Schüler in unserer Schule einen Arbeitsraum einrichten. Dieser soll über Funknetz und LAN laufen, so dass festinstallierte Computer aber auch eigene Laptops und iPhones benutzt werden können.
Alle Computer der Schule sind schon in einem Schulnetzwerk eingebunden und jeder Schüler verfügt über einen Account. Meldet er sich an einem Computer an, bekommt er seine Dateien zugeordner etc.
Im Arbeitsruam brauche ich aber mehr Kontrolle: Wer macht was und wann im Internet. Mit welcher Art von Router kann ich das angehen? Welche Technik muss ich verwenden? Ich hätter gerne, dass der Router erst nach Eingabe des Account-Username+Passwort das WLAN für eine Schüler freigibt. Brauche ich da einen Radius-Server, der beim Schulserver nachfragt, ob der User exisitiert und die entsprechenden Erlaubnis hat? Was muss der Router können, damit entsprechechende Protokolle mit laufen (IP, Benutzername, Zugriffe)?
Vielleicht kennt ja jemand eine Anleitung für ein solche Hardwarekonstellation oder kann mir die entsprechenden Schlagwörter nennen.
Vielen Dank schon mal,
ingo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 144632
Url: https://administrator.de/forum/wlan-und-lan-fuer-schueler-mit-authentifizierung-144632.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo
Ich weiss ja nciht was du für eine Infrastruktur schon hast...
Aber da ich ein Linuxanhänger bin, würde ich davor ein IPCOP http://sourceforge.net/apps/trac/ipcop/wiki setzen.
Mit folgenden Erweiterungen:
URL Filter addon: http://www.urlfilter.net/
Advanced Proxy: http://www.urlfilter.net/
WLAN Addon http://www.ban-solms.de/t/IPCop-wlanap.html
Die Installation ist relativ einfach und die Installation der Addons ist einfach und gut Beschrieben.
Nachher kannst du alles über Web-Gui steuern.
Somit hast du eine flexible Appliance und hast die Kiddies im Griff
Gruss
adminst
Ich weiss ja nciht was du für eine Infrastruktur schon hast...
Aber da ich ein Linuxanhänger bin, würde ich davor ein IPCOP http://sourceforge.net/apps/trac/ipcop/wiki setzen.
Mit folgenden Erweiterungen:
URL Filter addon: http://www.urlfilter.net/
Advanced Proxy: http://www.urlfilter.net/
WLAN Addon http://www.ban-solms.de/t/IPCop-wlanap.html
Die Installation ist relativ einfach und die Installation der Addons ist einfach und gut Beschrieben.
Nachher kannst du alles über Web-Gui steuern.
Somit hast du eine flexible Appliance und hast die Kiddies im Griff
Gruss
adminst
Hi
Also ich würde das mit einem Squid (Proxy) realisieren, da an deiner Schule sicher auch minderjährige Schüler sind die man laut Gesetz vor gefährlichen Inhalten schützen muss.
Jugendfilter, Statistiken, Portsperrung, Authentifizierung etc. kann der Squid alles. Er ist kostenlos man muss sich nur ein wenig mit Linux auseinander setzen. Das einzige was an kosten anfällt ist ein Rechner/ Server und das wars. Es ist die kostengünstigeste Variante.
Den Squid kann man so konfigurieren, dass es ein Zwangsproxy ist, der im Browser nach Benutzernamen und Kennwort fragt und man ihn mit der Domain verbindet, dass er die Benutzerinfos und Pw´´s von dort bezieht.
Also einfach mal mit Squid beschäftigen.
MFG Nemesis
Also ich würde das mit einem Squid (Proxy) realisieren, da an deiner Schule sicher auch minderjährige Schüler sind die man laut Gesetz vor gefährlichen Inhalten schützen muss.
Jugendfilter, Statistiken, Portsperrung, Authentifizierung etc. kann der Squid alles. Er ist kostenlos man muss sich nur ein wenig mit Linux auseinander setzen. Das einzige was an kosten anfällt ist ein Rechner/ Server und das wars. Es ist die kostengünstigeste Variante.
Den Squid kann man so konfigurieren, dass es ein Zwangsproxy ist, der im Browser nach Benutzernamen und Kennwort fragt und man ihn mit der Domain verbindet, dass er die Benutzerinfos und Pw´´s von dort bezieht.
Also einfach mal mit Squid beschäftigen.
MFG Nemesis
Hi
Okay dave 114 aber auf Linux ist es schöner
Nee du hast recht ich hab gerade mal wieder verdrängt das es den Squid für Windows ... auch gibt.
Aber wer weiß wie gut seine Schüler im knacken sind sonst sind es nachher auf dem Windowsserver .
Voralllem würde ich die Netzwerke trennen. Eine Ip Range für Privatgeräte ist sicher zu empfehlen, da du dir nie sicher sein kannst, was die so draufhaben...
Sprech aus Erfahrung.
Mfg Nemesis
Okay dave 114 aber auf Linux ist es schöner
Nee du hast recht ich hab gerade mal wieder verdrängt das es den Squid für Windows ... auch gibt.
Aber wer weiß wie gut seine Schüler im knacken sind sonst sind es nachher auf dem Windowsserver .
Voralllem würde ich die Netzwerke trennen. Eine Ip Range für Privatgeräte ist sicher zu empfehlen, da du dir nie sicher sein kannst, was die so draufhaben...
Sprech aus Erfahrung.
Mfg Nemesis
Squid ist erstmal ein ganz anderes Thema, das kommt nach WLAN.
Du musst dich erstmal zwischen Captive Portal oder 802.1x entscheiden.
Captive Portal:
+ Funktioniert mit praktisch jedem WLAN-Client
+ Für jeden User leicht verständlich
- Keine Verschlüsselung möglich, also relativ unsicher
802.1x:
+ Zusammen mit WPA2 relativ sicher
- Auf Windows-Clients die Hölle bei der Einrichtung
Einen RADIUS-Server brauchst du in beiden Fällen.
Du musst dich erstmal zwischen Captive Portal oder 802.1x entscheiden.
Captive Portal:
+ Funktioniert mit praktisch jedem WLAN-Client
+ Für jeden User leicht verständlich
- Keine Verschlüsselung möglich, also relativ unsicher
802.1x:
+ Zusammen mit WPA2 relativ sicher
- Auf Windows-Clients die Hölle bei der Einrichtung
Einen RADIUS-Server brauchst du in beiden Fällen.
Captive Portal ist in der Tat generell der richtige Weg für eine Schule !!!
Wie man sowas einfach und kostenneutral für eine Schule umsetzen kann sagt dir en Detail dieses Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Kann man natürlich auch noch mit einem Radius Server koppeln wenn man es denn unbedingt will !! Wie das geht sagt dir dies Tutorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Du kannst auch beides kombinieren und die CP Abfrage über Radius machen. Meist ist das aber verwaltungstechnisch Overkill für eine Schule.... musst du aber entscheiden ! (Siehe Statement von dog oben !)
Wie man sowas einfach und kostenneutral für eine Schule umsetzen kann sagt dir en Detail dieses Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Kann man natürlich auch noch mit einem Radius Server koppeln wenn man es denn unbedingt will !! Wie das geht sagt dir dies Tutorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Du kannst auch beides kombinieren und die CP Abfrage über Radius machen. Meist ist das aber verwaltungstechnisch Overkill für eine Schule.... musst du aber entscheiden ! (Siehe Statement von dog oben !)
Hi !
Wobei ich aber noch anmerken dürfte, dass das Wort "unsicher" eher für nicht abhörsicher zu verstehen ist, denn man könnte die Loginseite des CP auch per "https://" realisieren, dann würden zumindest die Logindaten nicht mehr im Klartext übertragen, was aber die Sache dann wieder etwas "umständlicher" gestaltet. Stichwort: Zertifikate.
mrtux
Wobei ich aber noch anmerken dürfte, dass das Wort "unsicher" eher für nicht abhörsicher zu verstehen ist, denn man könnte die Loginseite des CP auch per "https://" realisieren, dann würden zumindest die Logindaten nicht mehr im Klartext übertragen, was aber die Sache dann wieder etwas "umständlicher" gestaltet. Stichwort: Zertifikate.
mrtux
Hi !
Stimmt aber "Da drüben steht ein Mädchen und Du verrätst unsere besten Tricks..."
mrtux
Zitat von @dog:
Ich bezog mich mit "unsicher" auch auf die Möglichkeit des Session-Hijackings, da schon die MAC-ID reicht um eine
aktive Session zu klauen.
Ich bezog mich mit "unsicher" auch auf die Möglichkeit des Session-Hijackings, da schon die MAC-ID reicht um eine
aktive Session zu klauen.
Stimmt aber "Da drüben steht ein Mädchen und Du verrätst unsere besten Tricks..."
mrtux