Hallo Jochen,

> Kommt drauf an: bei uns werden gerade verschiedene Szenarien angedacht. Neben der bekannten CopSpot-Lösung, die von mir favorisiert wird, möchten Andere (TM) evtl. per WPA verschlüsselte APs direkt ins interne, grüne Netz hängen, damit Schul-PCs per WLAN direkt und ohne VPN einen Zugriff auf das interne Netz bekommen. So weit ich das sehe, wäre das genau das beschriebene Szenario, dass alle Benutzer (da sie bei uns Adminrechte haben), den Key auslesen und anschließend auf allen Geräten ihrer Wahl einsetzen könnten. Richtig? Evtl. noch ein bisschen MAC, Spoofing, fertig.
>
> Bitte sagt mir, dass dieses Vorgehen entweder fahrläsig wäre oder wie es abgesichert werden könnte. Diese Diskussion steht bei uns demnächst an.

meiner Meinung nach darf man das nicht machen.
Einfachster Grund: der Zugriff wird nur über den WPA Key gesteuert:
selbst wenn man den "erfolgreich" schützen könnte, so hätte man doch
einen Annonymen Internet Zugriff eingerichtet: weil wer will den schon
nachweisen, wann welcher Nutzer welches Laptop verwendet hat?
Logs können das nicht: es sei den, du replizierst den LDAP auf die
Laptops und ermöglichst so eine Benutzerbezogene Anmeldung.

Ich habe schon von Schulen gehört, die es so ähnlich machen:
Domänenanmeldung über WLAN. Ich weiß aber nicht, ob die das WPA Key in
Registry Problem gelöst bekommen haben.

Ich sehe aber auch keinen Vorteil darin, ein zweites WLAN Netz auf zu
bauen: denn ein zweites muss es ja sein: man will ja nicht alle dazu
verpflichten in der Schule nur noch Zugriff auf das Internet zu haben,
mit Schuleigenen Geräten.
Also zusätzlich zum Blauen Netz.
Mir fällt kein Grund ein, weswegen ich das machen sollte.

Ich hab in der Schule Notebook Säulen mit Edubuntu drauf: die sind auch
nicht immer in einem Raum mit Netzwerkdosen: also gehen sie mit WLAN rein.
Damit man sich anmelden kann, gibt es einen lokalen Benutzer "schueler".
Der kann aber nicht ins Internet, wenn er über Kabel kommt, nur über
CopSpot: so habe ich wieder aussagekräftige logs.


Viele Grüße

Holger

_______________________________________________
Hinweis:
Bitte melden Sie sich unter http://www.support-netz.de/hotline.html
an der Hotline des Support-Netzes an.
Nur so koennen wir eine langfristige Weiterentwicklung und einen
nachhaltigen und guten Support gewaehrleisten. Vielen Dank.

Hallo Jochen,

> Und anonyme Dummy-User, die sich lokal anmelden und dann ins Internet kommen, möchte ich im grünen Netz nicht einrichten.
>
> Gibt's da irgend ne Idee, wie man das lösen könnte? Wenn nein: nicht schlimm, dann wirds diese Lösung einfach nicht geben.

der lokale Dummy User kann sich aber über WLAN am CopSpot anmelden: dann
ist er nicht mehr Annonym und alle sind ZUfrieden, oder?

Viele Grüße

Holger

_______________________________________________
Hinweis:
Bitte melden Sie sich unter http://www.support-netz.de/hotline.html
an der Hotline des Support-Netzes an.
Nur so koennen wir eine langfristige Weiterentwicklung und einen
nachhaltigen und guten Support gewaehrleisten. Vielen Dank.

Hallo Jochen,

Am 02.06.2011 01:00, schrieb Jochen Rupp:
> - Laptops im grünen Netz, geimaged (in Zukunft) über Linbo
> - Nutzung neben Kabel (PXE-Boot, Imaging etc) auch per WLAN, damit kein Netzwerkstecker eingesteckt werden muss
> - dabei aber bitte gleichzieitg einfacher Zugriff auf die eigenen Dateien
> - kein dummy-Account, der Zugriff aufs Internet hat
> - kein WLAN-Key, der ausgelesen werden und missbraucht werden kann
>
> 5 Dinge auf einmal? Das geht nun wirklich nicht! ;-)
> Oder doch?
Ich glaube, das ist ein bisschen zu viel gewollt. Aber so bin ich auch :-)

Grundsätzlich (hatten wir hier ja schon öfter) halte ich die Kombination
WLAN/grünes Netz für problematisch. Ich bin eigentlich sehr dankbar,
dass es da eine saubere Trennung gibt und ich mich ums WLAN eigentlich
nicht groß sorgen muss (und trotzdem alle glücklich sind, dass sie
einfach ins Internet kommen).

Imaging über WLAN - würde ich vergessen. Dafür ist WLAN nicht
konzipiert, glaube ich. Wir haben mal ein Stück Netzwerk per Kabel
gebrückt und selbst darüber hat Imagen trotz n-WLAN ewig gebraucht. Vor
allem, weil unserer Notebook-Images besonders groß sind, da nichts
serverseitig installiert ist.

Bei uns läuft das so: Notebooks sind mit einem Standardnutzer versehen,
der sich auch selbständig anmeldet. Netzwerkschlüssel ist schulweit
bekannt (dient ja nicht wirklich der Absicherung, nur der
Verschlüsselung der Verbindung, die Absicherung gelingt über den
CopSpot). Zugriff auf eigene Dateien (dann aber Samba über Blau
zulassen) ist über ein Zusatzprogramm möglich, in welches der Nutzer
Name/Passwort eingibt und welches dann in Windows die Netzlaufwerke
verbindet. Imaging machen wir entweder aus dem Cache oder - wenn nötig -
per Kabel.

Für unsere Medienwagen wissen wir noch nicht, ob wir sie in der Domäne
(mit Kabel) oder a la Notebook betreiben. Wahrscheinlich aber letzteres,
da die meisten es ohnehin nur zum Filmegucken nutzen und WLAN bereits
jetzt flächendeckend läuft.

Viele Grüße,
Thomas

_______________________________________________
Hinweis:
Bitte melden Sie sich unter http://www.support-netz.de/hotline.html
an der Hotline des Support-Netzes an.
Nur so koennen wir eine langfristige Weiterentwicklung und einen
nachhaltigen und guten Support gewaehrleisten. Vielen Dank.

Hallo,

> Aber ich glaube, ich werde dem Thema WLAN in grün bzw. Medienwägen
> in Blau mit Scripten und Gedöns abschwören und so etwas nicht
> vorschlagen/unterstützen. So wie ich meine liebe Kollegen kenne (s.
> anderer Thread), ist es für sie einfacher bzw. mit weniger Aufwand
> verbunden, eben zusätzlich noch das Netzwerkkabel auf beiden Seiten
> einzustecken, als sich über Scripte irgendwie von Blau nach grün zu
> hangeln und ihre eigenen Dateien zu mappen. Das bekäme ich nie an die
> hin.

Es ist ja kein "Enweder - oder". Die Notebooks sind ja sowieso im
grünen Netz, wegen der Imagerei. Wer sich nicht auskennt, steckt ein
Netzkabel ein. Wer partout mobil sein will, lernt, wie man sich im
blauen Netz bewegt. Ein WLAN im blauen Netz ist ja auch für private
Notebooks wünschenswert.


Viele Grüße,

Jörg Richter


_______________________________________________
Hinweis:
Bitte melden Sie sich unter http://www.support-netz.de/hotline.html
an der Hotline des Support-Netzes an.
Nur so koennen wir eine langfristige Weiterentwicklung und einen
nachhaltigen und guten Support gewaehrleisten. Vielen Dank.

Hallo Jochen,

>
> Und dann muss sich der Kollege im ersten Fall an der Domäne Schule mit seinem persönlichen Login und im anderen Fall am lokalen Computer mit einem Dummy-Account anmelden!?

ja.
Genau so ist es bei meinen edubuntu Laptops.
Da ist der linuxmuster-client installeirt: hängt man sie ans Netz, kann
man sich an der Domäne anmelden und surfen.
Nimmt man WLAN meldet man sich als
schueler
an mit Passwort "schueler" (steht drauf :-) ).
Surfen geht dann über CopSpot. Homes über horde, weil ich eben kein
samba ins Blaue Netz leite.

Meldet man sich am normalen Kabelnetz mit schueler an, so kann man nicht
surfen, weil der Proxy einen nicht durch läßt.
Das muss so sein, sonst wäre der Netzzugriff ja annonym.

>> Also: macht es so, und lasst das "Accesspoint ins Grüne Netz" gehänge.
>> Das kann man Zuhause machen, aber nicht in der Schule (meine Meinung).
>
> Sehe ich genau so. Brauchte nur Argumente, um das auch durchsetzen zu können.

ein Argument reicht:
"sicherheitstechnisch bedenklich"
Wenn du das sagst, und die das trotzdem wollen, dann sind das .. keine
schlauen Menschen. Ich persöhnlich hasse es, wenn man Expertenmeinung
ignoriert. Das wäre für mich ein Grund zu sagen: " mach du es, wenn du
es besser weißt".
Wenn sie noch mehr beweisen wollen, dass das mit dem logischen Denken
ihnen eher fern liegt, dann sagen sie: "bei mir Zuhause geht es doch auch".

Viele Grüße

Holger

_______________________________________________
Hinweis:
Bitte melden Sie sich unter http://www.support-netz.de/hotline.html
an der Hotline des Support-Netzes an.
Nur so koennen wir eine langfristige Weiterentwicklung und einen
nachhaltigen und guten Support gewaehrleisten. Vielen Dank.

Hallo zusammen,

Am 02.06.2011 23:03, schrieb Jochen Rupp:
>> Wenn sie noch mehr beweisen wollen, dass das mit dem logischen Denken
>> ihnen eher fern liegt, dann sagen sie: "bei mir Zuhause geht es doch auch".
> Hab ich schon gehört ;-)
Höre ich jeden Tag mindestens 2x !! :-)

Viele Grüße und gute Nacht,
Thomas

_______________________________________________
Hinweis:
Bitte melden Sie sich unter http://www.support-netz.de/hotline.html
an der Hotline des Support-Netzes an.
Nur so koennen wir eine langfristige Weiterentwicklung und einen
nachhaltigen und guten Support gewaehrleisten. Vielen Dank.

Hallo Jochen,

>> Wenn sie noch mehr beweisen wollen, dass das mit dem logischen Denken
>> ihnen eher fern liegt, dann sagen sie: "bei mir Zuhause geht es doch auch".
>
> Hab ich schon gehört ;-)

woher hab ich das nur gewußt? :-)

Ich hab echt ein riesen Schwein: meine Kollegen sind nicht so.
Die sind immer Nett, und wenn was nicht geht, dann haben sie Verständnis.
Die erkennen einfach an, dass ich mir alle Mühe gebe.
Und wenn ich sag: das könnte ich, mach ich aber nicht, wegen Sicherheit
oder sonst was, dann ist das für die auch OK.

.. ich sag ihnen aber auch manchmal, dass ich da froh drüber bin ..

Viele Grüße

Holger

_______________________________________________
Hinweis:
Bitte melden Sie sich unter http://www.support-netz.de/hotline.html
an der Hotline des Support-Netzes an.
Nur so koennen wir eine langfristige Weiterentwicklung und einen
nachhaltigen und guten Support gewaehrleisten. Vielen Dank.