WLAN Authentifizierung im Schulnetz

Grundlagen

Für die Nutzung von WLAN im Schulumfeld gibt es verschiedene Ansätze.

  • Nur Geräte der Schule werden im WLAN geduldet und die Nutzer*innen melden sich an den Geräten an.
  • Es werden selbst mitgebrachte Geräte von Schülerinnen, Schülern oder Lehrkräften geduldet. Alle nutzen das gleiche WLAN-Passwort. (so ähnlich wie in privaten WLANs)
  • Es werden selbst mitgebrachte Geräte von Schülerinnen, Schülern oder Lehrkräften geduldet. Jeder, der ins WLAN will, muss sich im Sekrätariat einen Token abholen, der dann für eine gewisse Zeit gilt.
  • Es werden selbst mitgebrachte Geräte von Schülerinnen, Schülern oder Lehrkräften geduldet. Jeder meldet sich mit den eigenen Zugangsdaten an. Damit werden gewisse Bereiche im WLAN für den Nutzer zugänglich.

Hinweis

Wir empfehlen für einfache Anwendungsfälle die Nutzung eines offenen WLANs. Für komplexere Fälle ist nur die Nutzung der eigenen Zugangsdaten zu empfehlen. Zusätzlich kann für spezielle Hardware ein WLAN mit Pre-Shared-Keys eingerichtet werden.

Zur Einrichtung stellen wir ein Kochrezept für freeradius zur Verfügung. Dieses sollte sich auf andere Radiusimplementierungen übertragen lassen.

IEEE 802.1X - Technik (vereinfacht)

Bevor wir jetzt auf die Einrichtung der Authentifizierung eingehen, zeigen wir kurz einige Grundlagen auf, damit das Verhalten nachvollziehbar ist.

../../_images/8021X-Overview.png

WLAN Struktur [wlanWikipedia]

Radius funktioniert nach dem folgenden Schema:

  • Der Supplicant (Software auf dem Endgerät) fragt beim Authenticator (Software auf dem WLAN Accesspoint) an, ob er in das WLAN rein darf. Dazu werden die bereits auf dem Gerät gespeicherten Zugangsdaten genutzt.
  • Der Authenticator fragt beim hinterlegten Radiusserver nach, ob der Client bekannt ist und in das WLAN darf.
  • Der Radiusserver hat nun entweder eine eigene Nutzerdatenbank oder fragt, wie hier, bei einen anderen Dienst nach.
  • Der andere Dienst (hier Schullogin.de) authentifiziert den Nutzer und gibt ihn entweder frei oder verweigert den Zugriff.
  • Die Information wird die gesamte Kette zurück an den Client (Supplicant) übertragen.

Hinweis

Für komplexe Anwendungsfälle kann nach der Anmeldung am WLAN automatisch das Firewallregelset angepasst werden. Das obliegt der Verantwortung des Netzwerkadministrators.

Damit die Einrichtung möglichst einfach ist, bietet Schullogin einen eigenen Radiusserver an. Dieser kann theoretisch auch direkt genutzt werden.

Dies bietet sich aber nur für Schulen mit sehr wenigen Access Points an, damit jede Anfrage direkt an Schullogin gesendet wird.

Für Schulen mit größeren Netzen wird der sogenannte Proxy Modus empfohlen, bei dem die Schule einen eigenen Radiusserver betreibt, der dann bei Schullogin.de nur noch nachfragt.

[wlanWikipedia]https://de.wikipedia.org/wiki/IEEE_802.1X

Einrichtung am Beispiel von freeradius

Zu tun

Bitte beschreiben, wie man freeradius einrichtet und auch die ganzen IPs etc.