bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] OpenVPN Client auf Linux

To: schan-user@xxxxxxxxxxxxxxxxx
Subject: Re: [Schan-user] OpenVPN Client auf Linux
From: hhullen@xxxxxxxxxxxx (Helmut Hullen)
Date: 05 May 2013 20:04:00 +0200
Hallo, Juergen,

Du meintest am 05.05.13:

> meine Frage hat zwar nicht direkt mit Arktur zu tun, aber vielleicht
> hat trotzdem jemand von Euch eine Antwort darauf.

> In "meiner" Schule arbeiten bislang alle SchülerInnen als
> Standardbenutzer. Es gibt keinen Anmeldeserver, über den man so etwas
> wie RADIUS realisieren könnte.

> Die Zugangskontrolle für das WLAN wird bislang sichergestellt, indem
> sich das WLAN und das LAN in getrennten VLANs befinden. Der Übergang
> vom WLAN ins LAN und von dort aus über einen Proxyserver ins Internet
> erfolgt mit OpenVPN über einen IPCop mit Zerina (anderer Rechner als
> der Proxyserver!). Jeder Schulrechner im WLAN und jedes Privatgerät
> einer KollegIn erhält ein "persönliches" Zertifikat.

> Auf den Windows Clients ist OpenVPN so konfiguriert, dass es als
> Dienst gestartet wird. Die Zertifikate können "Benutzer" und
> "Hauptbenutzer" nicht lesen, so dass diese einigermaßen sicher davor
> sind, von SchülerInnen für deren Mobiles(1) abgezogen zu werden.
> Baute man die Drahtlosverbindung vor dem Anmelden auf, würde sogar
> eine Domänenanmeldung funktionieren - wenn wir denn eine Domäne
> hätten. http://arktur.de/Wiki/index.php?title=Accesspoint-Engeland


> Dies würde ich auf Ubuntu Clients gern genau so machen, nur fehlt mir
> ein Hinweis, wie dies gehen könnte. Bislang befinden sich die
> Zertifikate im Heimatverzeichnis des Benutzers und müssen dort auch
> sein, weil dieser den Tunnel aufbaut.

> Hat jemand von Euch so etwas wie für die Windows Clients beschrieben
> schon am Laufen oder eine Idee wie es gehen könnte?

(aus purer Gehässigkeit ungekürzt)

Sorry - Du musst einen Riesenaufwand mit kryptischen Programmen  
betreiben, nur weil Du (anscheinend) keine Benutzerverwaltung machst.

Nur deshalb musst Du (u.a.) die Geräte identifizieren (und somit  
verwalten).

Was ich stattdessen nehmen würde (und was bei Arktur sowieso  
mitgeliefert wird): Benutzerverwaltung, und beim Proxy-Server erneute  
Authentifizierung (dafür muss nur 1 Kommentarzeichen entfernt werden).

Wer surfen will, der muss einen Benutzer-Account haben - fertig. Und  
dann ist es egal, welches Gerät er benutzt.

Viele Gruesse!
Helmut

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 05.05.2013