bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Funknetznutzer per MAC ausschließen?

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Funknetznutzer per MAC ausschließen?
From: Hans-Dietrich Kirmse <hd.kirmse@xxxxxx>
Date: Fri, 08 Oct 2010 20:30:59 +0200
Hallo Jürgen,

es gab ja schon mehrere Threads zu Radius, bei dem ich überhaupt erstmal verstanden habe, was ein Radius-Server bringt. Zumindest hatte ich angenommen, dass ich das verstanden habe. Aber sicher bin ich mir da nicht. Und wenn ich die Antwort von H.Hullen lese, dann scheint das noch keineswegs klar bzw. auf den Punkt gebracht worden zu sein - auch bei mir nicht. Deshalb meine weiteren Fragen zum Verständnis.

Am 08.10.2010 18:46, schrieb Helmut Hullen:
Hallo, Juergen,

Du meintest am 08.10.10:

ist es möglich, Funknetznutzer per MAC-Adresse auszuschließen?

[...]

Für größere Netzwerke gibt es (mindestens) zwei vernünftige
Lösungswege:

1) RADIUS:
Der WPA-Schlüssel wird auf der Basis einer Benutzerdatenbank
(idealerweise der von Arktur) für jeden Benutzer individuell
ausgehandelt.

Hier sind m.E. 2 verschiedene Dinge vermischt - Martin geht es darum, das Radius dazu dient, den Rechner (Laptop) den Zugang zum Netz zu verhindern. Will sagen, der Rechner kann sich nicht am Radius-Server anmelden und damit kommt er nicht ins Netz. So hatte ich das zumindest verstanden.

Das mit den WPA-Schlüssel ist doch dann ein nächstes Problem. Wenn an meiner Schule die wenigen Laptops sich ins Netz einklinken wollen, dann muss doch auf dem Laptop der WPA-Schlüssel eingetragen werden. Anders formuliert, der Besitzer des Laptops erhält diesen Key und trägt den ein oder der Admin muss an diesen Laptop (für ihn ein fremder Laptop) selbst Hand anlegen. So wie ich deinen Satz verstanden habe, befreit der Radius-Server von diesen unerfreulichen Zuständen.

Habe ich das so richtig verstanden?

Aber auch dann muss von irgendjemandem (mindestens) eine Liste geführt
werden.

Eine solche Liste wäre dann doch ein riesiger Fortschritt, denn diese Liste könnte der Admin ja auf dem Server verwalten, statt auf jedem Laptop Änderungen durchzuführen. (falls ich das richtig verstanden habe)

Vermutlich laufen akzeptable Modelle darauf hinaus,

hier stellt sich die Frage: akzeptable Modelle für was?

dass die
schuleigenen Rechner in einer Liste landen, die zu mehr Rechten
(insbesondere im "Squid"-Umfeld, also beim Surfen) führt.

Wenn es nur darum geht, das Surfen zu unterbinden, dann reicht m.E. auch eine Anmeldung am Squid. Wer kein Login hat, der darf nicht surfen. Allerdings könnte es schon den einen oder anderen Admin stören, wenn private Rechner im Netz genutzt werden, z.B. weil sie damit Programme im Schulnetz bereitstellen können, die da nicht erwünscht sind oder weil irgendwelche strikte Konfigurationen der Schulrechner (warum auch immer) dadurch unterlaufen werden können - da kann man m.E. nicht beim User ansetzen, sondern eine Stufe tiefer, also beim Client.

Und wer nicht in dieser Positiv-Liste steht, der ist unterprivilegiert.

Und eine solche Liste erfordert keinen RADIUS-Server, die lässt sich
einfach verwalten.

Derzeit verstehe ich das noch so: wer als einziges Problem das Surfen sieht, der kommt mit der Anmeldung (und gegebenenfalls einer Sperrliste) am Squid sicherlich zurecht. Wem das zuwenig ist, der braucht m.E. Radius.

Liege ich damit richtig?

Viele Grüße
Hans-Dietrich

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 08.10.2010