bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] OpenVPN Client auf Linux

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] OpenVPN Client auf Linux
From: Juergen Engeland <juergen.engeland@xxxxxxxxxxx>
Date: Sun, 05 May 2013 22:39:31 +0200
Lieber Helmut,

eigentlich wollte ich keine Diskussion unseres "Sicherheitskonzepts"
anzetteln.
Wir haben gute Gründe es weiterhin so zu machen, wie wir es machen.

Ich möchte nur unsere mit relativ wenig Aufwand gut funktionierende
Lösung für Windows-Clients auf Linux-Clients übertragen.

Gruß Jürgen

Am 05.05.2013 20:04, schrieb Helmut Hullen:
> Hallo, Juergen,
>
> Du meintest am 05.05.13:
>
>> meine Frage hat zwar nicht direkt mit Arktur zu tun, aber vielleicht
>> hat trotzdem jemand von Euch eine Antwort darauf.
>> In "meiner" Schule arbeiten bislang alle SchülerInnen als
>> Standardbenutzer. Es gibt keinen Anmeldeserver, über den man so etwas
>> wie RADIUS realisieren könnte.
>> Die Zugangskontrolle für das WLAN wird bislang sichergestellt, indem
>> sich das WLAN und das LAN in getrennten VLANs befinden. Der Übergang
>> vom WLAN ins LAN und von dort aus über einen Proxyserver ins Internet
>> erfolgt mit OpenVPN über einen IPCop mit Zerina (anderer Rechner als
>> der Proxyserver!). Jeder Schulrechner im WLAN und jedes Privatgerät
>> einer KollegIn erhält ein "persönliches" Zertifikat.
>> Auf den Windows Clients ist OpenVPN so konfiguriert, dass es als
>> Dienst gestartet wird. Die Zertifikate können "Benutzer" und
>> "Hauptbenutzer" nicht lesen, so dass diese einigermaßen sicher davor
>> sind, von SchülerInnen für deren Mobiles(1) abgezogen zu werden.
>> Baute man die Drahtlosverbindung vor dem Anmelden auf, würde sogar
>> eine Domänenanmeldung funktionieren - wenn wir denn eine Domäne
>> hätten. http://arktur.de/Wiki/index.php?title=Accesspoint-Engeland
>
>> Dies würde ich auf Ubuntu Clients gern genau so machen, nur fehlt mir
>> ein Hinweis, wie dies gehen könnte. Bislang befinden sich die
>> Zertifikate im Heimatverzeichnis des Benutzers und müssen dort auch
>> sein, weil dieser den Tunnel aufbaut.
>> Hat jemand von Euch so etwas wie für die Windows Clients beschrieben
>> schon am Laufen oder eine Idee wie es gehen könnte?
> (aus purer Gehässigkeit ungekürzt)
>
> Sorry - Du musst einen Riesenaufwand mit kryptischen Programmen  
> betreiben, nur weil Du (anscheinend) keine Benutzerverwaltung machst.
Richtig.
>
> Nur deshalb musst Du (u.a.) die Geräte identifizieren (und somit  
> verwalten).
Richtig.
>
> Was ich stattdessen nehmen würde (und was bei Arktur sowieso  
> mitgeliefert wird): Benutzerverwaltung, und beim Proxy-Server erneute  
> Authentifizierung (dafür muss nur 1 Kommentarzeichen entfernt werden).
>
> Wer surfen will, der muss einen Benutzer-Account haben - fertig. Und  
> dann ist es egal, welches Gerät er benutzt.
Die Anzahl der mit Benutzerkonten zu versorgendende Anzahl der Surfer
beträgt ca. 800, die Anzahl der WLAN-Clients beträgt max. 50.
Und WLAN-Clients vergessen Ihre Zertifikate nicht ...
>
> Viele Gruesse!
> Helmut
>
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user
>


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 05.05.2013