Maik Riecken « Authors « riecken.de

Social Messenger sind der Untergang

18. Februar 2016 Maik Riecken 3 Kommentare

Gestern bin ich wieder mit der vollen Bandbreite der Hilflosigkeit gegenüber den Eigendynamiken konfrontiert worden, die entstehen, wenn sich jüngere Schülerinnen und Schüler auf WhatsApp bewegen.

Beleidigungen
veränderte Bilder unliebsamer Mitschüler
Enthauptungsvideos
[…]
„Ich kann nichts dafür“-Behauptungen (In der Schülervorstellungswelt kann man sich ja schließlich nicht dagegen wehren, in WhatsApp-Gruppen aufgenommen zu werden)

Diese Dinge scheinen sich nach meinen Beobachtungen vor alle in den jüngeren Klassenstufen der Sekundarstufe I zu häufen. Die reflexartigen Reaktionen auf Vorkommnisse sehen zunächst so aus:

„Handy wegnehmen. Die dürfen WhatsApp erst ab 16 nutzen!“
„Handy verbieten. Die können damit nicht umgehen!“
„Medienpädagogen einladen, der denen das mal sagt!“
„Eltern in die Pflicht nehmen. Die sind unverantwortlich, Kindern ein Smartphone zu kaufen!“
„Nun sag‘ mal Maik, was soll ich denn jetzt machen? Du bist doch Medienfuzzi. Alles Scheiße mit diesem Digitalzeugs!“

Handeln wir das mal alles in der Kürze ab, die es sachlogisch verdient:

Zu 1.)

Netter Versuch. Das Handy gehört uns nicht und umfasst den Privatbereich der SuS. Das ist so auf der Ebene wie: „Ich verbiete dir, nicht altersgerechte Filme in deiner Freizeit zu schauen!“

Zu 2.)

Netter Versuch. Das Handy gehört uns nicht und umfasst den Privatbereich der SuS. Das ist so auf der Ebene wie: „Ich verbiete dir, dich in deiner Freizeit mit Hannes und Tim zu treffen. Die haben einen schlechten Einfluss auf dich!“

Zu 3.)

Netter Versuch. Und bequem. Dann macht der das halt (wenn er dann mal Zeit hat). Ich nenne sowas medienpädagogisches Feigenblatt: „Wir haben was getan – wir haben jemanden eingeladen! Wenn dann keiner kommt, tja, können wir auch nichts dafür!“

Zu 4.)

Völlig richtig. Wenig bis so gar nicht realistisch. Eltern halten das mit dem Handy oft so: Wir kaufen dir eines. Wir kennen uns damit eh nicht aus. Das Erstaunen ist dann riesig, wenn dann mit dem Gerät Dinge geschehen, die unschön sind. Dann ist das Internet schuld. Oder wahlweise die Schule, die ja nichts dagegen macht. Mein Bild: Sie schicken ein vierjähriges Kind mit dem Rad bei Dunkelheit quer durch die Stadt und sind dann völlig überrascht, wenn es umgenietet wird. Dieser Scheißverkehr ist dann schuld!“ (sonst müsste man sich ja selbst seiner Verantwortung stellen …)

Zu 5.)

Die Situation ist sehr komplex. Das System der Beteiligten und der Ursachen auch. Wer hier ein einfache Antwort erwartet, verkennt die Komplexität völlig. Bestenfalls verlagert er das Problem schlicht vordergründig aus dem Wahrnehmungsbereich von Schule. Leider wird das immer wieder in die Schule zurückschwappen. mit dem Unterschied, dass man dann noch sehr viel weniger über die Vorgänge in der „Parallelwelt“ weiß,

Maik, du Klugscheißer, ich will Lösungen!

Lösung 1:

Wo Verbote nicht greifen, komme ich um Verhandlungen und pädagogische Vereinbarungen nicht herum. Es gibt an Schulen Gremien, die die einzelnen Gruppen vertreten. Es gibt eine Schüler- und eine Elternvertretung. Wenn ich zieloffen hier zu Vereinbarungen komme, die den Handygebrauch innerhalb der Schule regeln, habe ich eine größere Chance, dass diese Vereinbarungen eingehalten und durch demokratisch verhandelte Sanktionen notfalls auch durchgesetzt werden. Zusätzlich ist das u.U. eine Chance, Demokratie praktisch zu leben und es ist eine Chance, insbesondere Eltern und Schülern auf Augenhöhe zu begegnen. Diese Gremien müssen ja ihrem „Wahlvolk“ Entscheidungen vermitteln. Und insbesondere Eltern können ja schon mehr als Kaffee und Kuchen bei Veranstaltungen zu spenden. Diese Idee scheitert oft an dem dafür notwendigen Paradigmenwechsel: Schule ist ja von ihrem Wesen her hierarchisch organisiert.

Lösung 2:

Wo in der Gesellschaft bekommen SuS vorgelebt, wie man z.B. soziale Medien sinnvoll und reflektiert nutzt? Wo in Schule bekommen SuS gezeigt, welche Potentiale für das eigene Lernen in Socialmedia steckt? Wenn ich Schulen Portallösungen mit zarten Socialmediafunktionen empfehle, kommt sehr oft: „Aber diesen Chat, den müssen wir dringend abschalten, da passiert nur Mist, wer soll das kontrollieren!“ Wenn da „Mist“ passiert, ist das m.E. ein Geschenk, weil es in einem geschützten Raum entsteht und pädagogisch aufgearbeitet werden kann. Wir brauchen mehr solchen „Mist“, der auf Systemen von Schulen geschieht, weil wir ihm dort ohne irgendwelchen Anzeigen und richterlichen Anordnungen begegnen können – die Daten haben wir ja selbst und idealerweise auch klare Regelungen, wann diese von wem wie eingesetzt werden dürfen.

Lösung 3:

Kein Unterricht über Medien, sondern Unterricht mit Medien. Das erfordert ein schulweites Medienkonzept und es wird erstaunen, wie viel sich sogar ganz ohne WLAN und Tablets in diesem Bereich machen lässt. Überraschenderweise sind bestimmte Werte und Lebenserfahrungen auch in Zeiten von Socialmedia noch gültig.

Leider wird die Umsetzung dieser Erkenntnis genau wie damals der Buchdruck eine Alphabetisierung erfordern und zwar vor allem eine digitale Alphabetisierung von Lehrkräften. Und das Lesen fällt manchem leichter und manchem schwerer. Wenn ich aber an den Potentialen und Möglichkeiten teilhaben möchte und wenn ich handlungsfähig sein will, komme ich nicht darum herum, lernen zu müssen. NIcht nur wegen der SuS, sondern vor allem aus Egoismus: Digitaler Analphabetismus führt direkt in die Anhängigkeit von anderen und in die Unsouveränität.

Aus der Schule, Gesellschaft Handy, Lösung, Schule, Umgang, Verbot, WhatsApp

Reflexionsfreie Zone

30. Januar 2016 Maik Riecken Ein Kommentar

Menschen in sozialen Berufen sind teilweise in ihren Arbeitsverträgen dazu verpflichtet, an Supervisionen teilzunehmen. In den Sitzungen werden z.B. Konflikte innerhalb des Teams aufgearbeitet, Wege aufgezeigt, um mit anvertrauten Personen besser umzugehen und es werden auch oft genug das eigene Handeln und die eigene Persönlichkeit infrage gestellt.

Ich kenne Supervision schon aus meiner Arbeit mit Klassentagungen – einmal im Halbjahr war es mehr als erwünscht, wenn nicht sogar verpflichtend, an Supervisionen teilzunehmen. Da ging es gut zur Sache – mit Psychodrama, Rollentausch, Tränen und allem Drum und Dran. Die Sitzungen bewegten sich oft ganz und gar nicht in der Komfortzone.

Wieder in Kontakt mit Supervision bin ich erst zwanzig Jahre später in meiner Ausbildung als medienpädagogischer Berater gekommen. Viele von uns haben genölt und sich gefragt, was z.B. Konfliktbewältigungsstrategien mit Medienberatung zu tun haben. Mittlerweile ist es mit dem Genöle still geworden. Es entwickelt sich zu einer Kernkompetenz, Strukturen zu analysieren, Konfliktgespräche zu führen, Kritik ernst zu nehmen und mit ihr umzugehen. Technik: 5% – Mensch: 95%.

Die superduper Homepage nützt z.B. gar nichts, wenn sich der Betreuer immer selbst um alle Informationen kümmern muss, den Kollegen hinterherläuft und dabei keine Unterstützung von der Leitung erhält: „Hä? Kriegt doch genau dafür eine Entlastungsstunde!“ (Nein! Er bekommt die Entlastung für eine aktuelle Homepage).

In Follow-Ups zu unserer Ausbildung dürfen wir Erlebnisse mitbringen, die dann bearbeitet werden. Und das werden sie. Und auch ein Maik Riecken bekommt da hin und wieder verdienten Lack. Auf diesen Veranstaltungen stellen sich für mich oft Weichen für die Zukunft – mir wird klar, was mir gut tut und was mich im Leben langfristig nicht weiterbringt. Ich bilde mir ein, dass das für meine Zufriedenheit, meine Distanzfähigkeit und vor allem meine Gesundheit ein große Rolle spielt.

Aber ich bin wohl auch ein Weichei. Die Arbeit an Schule ist psychisch immer Zucker. Da gibt es nicht aufzuarbeiten. Da gibt es keine psychologisch induzierten Krankheiten wie Kopf- und Rückenschmerzen (Verspannungen), Alkoholismus, Tinnitus oder einfach innere Emigration in die Kauzigkeit oder andere Dinge. Mit Kollegen versteht man sich grundsätzlich gut.

Jede Annahme von Hilfe von außen ist eh ein Zeichen von Schwäche und davon, dass im Kollegium etwas nicht stimmt. Wo kämen wir dahin, uns und unsere Persönlichkeit infrage zu stellen! Wir sind fertig, wir brauchen das nicht! Und dann die Finanzierung: 120,- Euro Stundensatz für einen guten Supervisor? 240,- Euro für zwei Stunden durch ca. 10 Personen teilen – jedes Vierteljahr? Das muss doch der Dienstherr bezahlen (objektiv völlig korrekt). Das Geld stecke ich doch lieber ins Auto – oder Motorrad oder in den Handyvertrag und leide ansonsten still vor mich hin.

Nicht nur ich bin verwundert, dass ausgerechnet in Schule – deren pädagogische Ausrichtung ja immer als Beleg dafür herhalten darf, nicht mit wirtschaftlichen Strukturen vergleichbar zu sein – ein in meinen Augen zentrales Instrumentarium von Personalentwicklung weder finanziert noch einfordert, welches in fast allen anderen vergleichbaren pädagogischen Kontexten üblich oder gar obligatorisch ist.

Aus der Schule, Gesellschaft Persönlichkeitsentwicklung, Reflexion, Schule, Supervision

Tablets in der Schule: Bitte (fast) keine Androids mehr!

16. Januar 2016 Maik Riecken 7 Kommentare

Vorweg

Ich setze persönlich keine Tablets im Unterricht oder meinen eigenen Workflow ein. Für mich persönlich sind das Spielzeuge und keine Arbeitsgeräte. Meine Finger sind zu dick und unmotorisch.

Ich gestalte meinen digitalen Unterricht aber so, dass das Gerät dafür kaum eine Rolle spielt, wenn es zumindest einen Browser und einigermaßen performante Leistungsdaten zum Rendern von Webinhalten verfügt. Meine Tools stellen standardisierte Schnittstellen bereit, sodass hoffentlich jeder die App und das Gerät dafür nutzen kann, die/das zu ihr/ihm passt.

„App“ ist für mich ein anderes Wort für „Programm, dessen Oberfläche auf Touchbedienung zugeschnitten ist“. Damit sind Tablets natürlich willkommen – es gibt ja andere Menschen als mich mit anderen Vorlieben und Präferenzen.

Was ich gar nicht mag, ist als Admin Sonderlösungen bauen zu müssen, weil ein Hersteller meint, eigene „Standards“ seien kundenfreundlicher. Deswegen hasse ich aus Administratorensicht speziell Apple wie die Pest. So viel zum Rant.

Was man in der Schule von der Software eines Gerätes erwarten können muss

Regelmäßige Betriebssystemupdates
Regelmäßige Sicherheitsupdates
Verlässliche Sandboxes für Prüfungssituationen
Verlässliches, leicht zu bedienendes MDM (Lösung zum Managen der Geräte, wenn sie schuleigen sind)

… über einen Zeitraum von mindestens fünf Jahren. Ein Hersteller, der das nicht bieten kann, hat nach meiner Meinung in der Schule bei schuleigenen(!) Geräten nichts verloren.

Damit fallen (fast) alle Androidgeräte heraus.

Warum keine Androids?

Das Lizenzmodell von Android ermöglicht erst die Herstellung extrem günstiger Geräte. Die Quelltexte liegen offen, das System lässt sich recht unaufwändig an fast jede beliebige Hardwareumgebung anpassen, d.h. als Hersteller bin ich in der Wahl meiner CPU, meines Grafikprozessors usw. recht frei. Daraus entsteht eine Vielzahl an Produktlinien. Um das System performant und schlank zu halten, bricht man mit einem Grundprinzip von Linux, auf dem Android basiert: Dem generischen System.

Ein generisches System läuft unverändert auf sehr vielen unterschiedlichen Umgebungen: Ubuntu kann ich auf fast jeden Rechner installieren – Linux bringt die dafür erforderlichen Treiber gleich mit und erkennt z.B. Hardware beim Start vollautomatisch.

Ein generisches System kann darüberhinaus zentral geupdatet werden – im Prinzip läuft ja überall das Gleiche. Leider schleppt natürlich ein generisches System alles nur Denkbare an Treibern mit sich und ist daher recht groß – das passt vor allem nicht zu günstiger Hardware.

Kurz gesagt: Bei Androiden muss der Hersteller jedes Sicherheits- und Funktionsupdates für alle seine Produktlinien manuell einpflegen und seinen Kunden z.B. als Betriebssystemimage bereitstellen. Das lohnt sich bei Geräten wie Tablets und Handys mit ohnehin meist kurzer Verwendungszeit in der Regel nicht, sprich:

Die meisten Androidgeräte sind nach recht kurzer Zeit sicherheitstechnisch ein Debakel

Die einzige echte Ausnahme, die ich diesbezüglich kenne, ist die Nexusserie von Google selbst. Meine Nexustablets der ersten Generation erhalten bis heute zeitnah Updates – schon fast vier Jahre mittlerweile.

Man kann ausweichen auf Communities rund um Cyanogenmod – Techies wie ich könnten das ggf.. – aber für Schulen im Allgemeinen ist das keine Option.

In der Schule brauche ich nach meinem Empfinden Geräte, die mindestens drei, besser fünf zuverlässig laufen. Realistisch finde ich eher einen Gerätewechsel nach drei Jahren, d.h. mindestens(!) drei Geräte pro Schullaufbahn, denn schon heute werden die meisten Menschen (auch und gerade SuS!) Geräte, die noch älter sind, aufgrund des technologischen Wandels als unzumutbar empfinden – daher noch ein Seitenhieb:

Bei Kalkulationen „Tablet preislich gegen Schulbuch / Taschenrechner / Atlas“ ohne Einbezug des technologischen Wandels (Produktupgrade nach drei Jahren) wäre ich SEHR vorsichtig ob des realen Preisvorteils gegenüber heute – unser Wirtschaftssystem basiert nicht darauf, dass wir ständig weniger ausgeben.

iPads und Windowstablets

Apple ist ein in sich geschlossenes System und Microsoft macht den Herstellern seiner Geräte recht rigide Vorgaben, was die Hardwareausstattung angeht – im Prinzip fahren die die generische Strategie des Linuxkernels. Damit ist die Sicherheitsproblematik in einem wesentlichen Kernpunkt entschärft, weil nicht der Hersteller Updates bereitstellt, sondern eben Apple und Microsoft und diese Updates auch über die betriebssystemeigenen Mechanismen installieren. Die damit verbundene Langfristigkeit macht den Einsatz z.B. einer MDM-Lösung oder Klassenraumsteuerung erst beherrschbar: Wenn ich nicht andauernd verseuchte Geräte wiederherstellen und neu in eine MDM-Lösung integrieren muss, wird die Bewältigung des Arbeitspensums möglich. Und gerade Schulgeräte, die durch viele Hände gehen, sind gegenüber derartigen Drangsalierungen extrem gefährdet. Selbst Apple hat mittlerweile kapiert, dass ein 1:1‑Design eben nicht in eine 1:many-Umgebung passt und entwickelt in die richtige Richtung.

Nachtrag:

Etwas ausführlicher hat sich Andreas Hofmann mit der neuen Initiative von Apple beschäftigt.

Anfangsgenölewiederaufgriff

Mir ist völlig klar, dass mit der automatischen Updatepolitik von Apple und gerade auch Microsoft auch sehr streitbare Mechanismen Einzug in die mobilen Geräte halten – vor allem vor dem Datenschutzhintergrund. Mir wäre ein Ubuntu-Touch auf freier Hardware ohne UEFI- und TPM-Mist bedeutend lieber.

Da wir aber im „Isnummalsoland“ leben, geht es um pragmatische Ansätze. Und da hat Apple schon aufgrund des Appangebot im Vergleich zu Microsoft zurzeit die Nase für viele Anwender halt vorne. Ich persönlich finde das doof.

Vielleicht fehlt es bei Androids einfach auch nur an Dienstleistern, die das Ganze z.B. mit Cyanogenmod schlicht professionalisieren und Servicebundles für drei bis fünf Jahre anbieten.

Aus der Schule, Tech-Talk Android, Apple, Auswahl, iOS, Microsoft, Schule, Sicherheit, Tablet

Präsenztage in der Schule – das Prinzip der sozialen Rekursivität in öffentlichen Debatten

12. Januar 2016 Maik Riecken 7 Kommentare

Auch aufgrund von â€œVermittlungsproblemenâ€ in der Bevölkerung sehen sich die Kultusministerien der Länder nunmehr â€œgezwungenâ€, Präsenztage für Lehrkräfte an den Schulen einzuführen, so jedenfalls ein zunächst wenig beachteter Beschluss der KMK auf ihrer letzten Zusammenkunft. Als ehemaliger Personalrat und durchaus auch kritischer Betrachter der Privilegien unserer Berufssparte möchte ich doch diese Idee nicht unkommentiert lassen.

Während Jan-Martin Klinge sich eher mit den resultierenden Verwaltungsfragen auseinandersetzt und sich an Dingen wie dem Gleicheitsgrundsatz im Duktus von Beamtendeutsch abarbeitet, lege ich den Fokus bewusst etwas anders und beginne dabei mit einer kleinen Anekdote:

Als an unserer Schule schwedische Lehrkräfte zu Gast waren, haben wir Ihnen natürlich mit einigem Stolz unser frisch renoviertes, wirklich großzügig gestaltetes Lehrerzimmer gezeigt. Die Reaktion war durchaus positiv. Das ist hoch zu bewerten, wenn man etwas mit schwedischer Schularchitektur vertraut ist. Es kam aber sofort auch die Frage mit dem für mich immer wieder putzig anzuhörenden schwedischen Akzent: â€œDas ist eine schönes Raum. Wo triffst du dich mit deine Kollegs, um zu arbeiten?â€ – â€œJa hier halt!â€, antwortete ich. â€œNein, das hier ist eine tolles Sozialraum, aber keine Arbeitsplatz!â€, kam sofort der Einwand. Für den schwedischen Kollegen war es unvorstellbar, keinen Arbeitsplatz in der Schule zu haben.

Ich finde, dass diese Anekdote den Kern der Problematik zeigt: Selbst wenn ich in der Schule arbeiten wollte, könnte ich es selbst nicht mit hinreichender Effektivität tun. Im Lehrerzimmer trifft man sich und tauscht sich aus. Das ist Fluch und Segen zugleich: Fluch für den Wunsch, z.B. lästige Korrekturarbeiten zügig zu erledigen, Segen für den Austausch zu pädagogischen Fragen – letztere ließen sich aber weitaus effektiver klären, wenn alle Beteiligten anwesend wären. In der jetzigen Form des KMK-Beschlusses ist den Lehrkräften ja weitgehend freigestellt, wann sie sich in der Schule einfinden.

Dass es in der Schule i.d.R. keinen geeigneten Arbeitsplatz gibt außer den schnell überfüllten Lehrerarbeitszimmern bedingt ja zusätzlich quasi einen heimlichen Vertrag:

â€œDu Kollege setzt dein häusliches Arbeitszimmer von der Steuer ab, hast somit volle Freiheit in deinem Homeoffice und dafür sparen wir die eine oder andere Mark bei der räumlichen und sächlichen Ausstattung der Schulen.â€

An so Dingen wie den Regelungen zur Datenverarbeitung auf privaten DV-Geräten von Lehrkräfte (Link auf Erlass hier in Niedersachsen) sieht man recht hübsch, dass dieses Konstrukt auch gelegentlich heftig knirscht, aber im Großen und Ganzen natürlich funktioniert. Wenn man mich jetzt zwingt, in der Schule tätig zu sein, könnte ich ja auf die Idee kommen, daraus auch Ansprüche abzuleiten – insofern weiß ich nicht, ob der Dienstherr sich auf lange Sicht damit wirklich einen Gefallen tut.

Ich kann verstehen, warum viele Menschen uns Lehrkräfte als privilegiert wahrnehmen. Ich bin mir nicht so sicher, ob das nun gesetzte Signal wirklich geeignet ist, die üblichen Stammtischstereotype über Lehrer wirksam im Sinne einer sicherlich auch intendierten Fürsorge durch den Dienstherrn abzumildern – da scheinen mir Dinge wie die Unkündbarkeit oder Pensionsregelungen durchaus gewichtiger in der Wahrnehmung â€œmeinerâ€ Stammtischkontakte außerhalb der Lehrerszene. Gerade in Bezug auf die sächliche Ausstattung sind wir als Lehrkräfte m.E. eben nicht unbedingt gutgestellt.

Das Einzige, was man schafft, ist â€œsoziale Rekursionâ€ – man ändert an einer Stelle etwas, was in der Folge weitere Prozesse in Gang setzt, die sich auf den gleichen Ausgangspunkt beziehen, aber im Gegensatz zur mathematischen Rekursion kaum vorhersehbar sind. Sicher ist: Wir kommen immer wieder bei der gleichen Frage an.

Was denkt ihr? Könnten Präsenztage sinnvoll dabei helfen, dass Lehrkräfte nicht mehr so privilegiert wahgenommen werden? Ginge für euch ein solches Ansinnen auf?

Aus der Schule, Gesellschaft Lehrkräfte, Präsenztag

Radiusserver gegen LDAP authentifizieren lassen

9. Januar 2016 Maik Riecken Ein Kommentar

Allgemein

Dieser Eintrag basiert auf dieser Originalanleitung. freeradius ist ein Authentifizierungsserver, der nach außen das Radiusprotokoll bereitstellt. Über dieses Protokoll kann man sich z.B. an einem WLAN anmelden, ohne die Zugangsdaten für OpenLDAP oder jede beliebige andere Authentifizierungsquelle zu kennen und verteilen zu müssen. Wenn ein zentraler Verzeichnisdienst konfiguriert ist, werden z.B. sehr einfach Dinge möglich wie ein kreisweites WLAN. In den Schulen muss dann lediglich ein neues WLAN-Netz konfiguriert werden, welches gegen unseren zentralen Radius authentifiziert und schon kann ich als Lehrer der Schule A im Netz der Schule B z.B. bei Fortbildung das WLAN nutzen.

Radiusschema in OpenLDAP integrieren

Damit die Authentifizierung über Radius mit alle denkbaren Funktionen klappt, sollte man ein neues Schema zu OpenLDAP hinzufügen. Es funktioniert auch ohne, nur kommt man bei späteren Erweiterungswübschen schnell an Grenzen. Hier ist ein Schema bereits vorbereitet (freeradius_schema.ldif), welches freeradius als Textdatei mitbringt. Es lässt sich direkt über die Konsole in cn=config einspielen.

dn: cn=freeradius,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: freeradius
olcAttributeTypes: {0}( 1.3.6.1.4.1.3317.4.3.1.1 NAME 'radiusArapFeatures' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-
 VALUE )
olcAttributeTypes: {1}( 1.3.6.1.4.1.3317.4.3.1.2 NAME 'radiusArapSecurity' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-
 VALUE )
olcAttributeTypes: {2}( 1.3.6.1.4.1.3317.4.3.1.3 NAME 'radiusArapZoneAccess' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {3}( 1.3.6.1.4.1.3317.4.3.1.44 NAME 'radiusAuthType' DESC '
 checkItem: Auth-Type' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115
 .121.1.26 SINGLE-VALUE )
olcAttributeTypes: {4}( 1.3.6.1.4.1.3317.4.3.1.4 NAME 'radiusCallbackId' DESC 
 'replyItem: Callback-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {5}( 1.3.6.1.4.1.3317.4.3.1.5 NAME 'radiusCallbackNumber' D
 ESC 'replyItem: Callback-Number' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {6}( 1.3.6.1.4.1.3317.4.3.1.6 NAME 'radiusCalledStationId' 
 DESC 'checkItem: Called-Station-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.
 1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {7}( 1.3.6.1.4.1.3317.4.3.1.7 NAME 'radiusCallingStationId'
  DESC 'checkItem: Calling-Station-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {8}( 1.3.6.1.4.1.3317.4.3.1.8 NAME 'radiusClass' DESC 'repl
 yItem: Class' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.2
 6 )
olcAttributeTypes: {9}( 1.3.6.1.4.1.3317.4.3.1.45 NAME 'radiusClientIPAddress'
  DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SIN
 GLE-VALUE )
olcAttributeTypes: {10}( 1.3.6.1.4.1.3317.4.3.1.9 NAME 'radiusFilterId' DESC '
 replyItem: Filter-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115
 .121.1.26 )
olcAttributeTypes: {11}( 1.3.6.1.4.1.3317.4.3.1.10 NAME 'radiusFramedAppleTalk
 Link' DESC 'replyItem: Framed-AppleTalk-Link' EQUALITY caseIgnoreIA5Match SYN
 TAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {12}( 1.3.6.1.4.1.3317.4.3.1.11 NAME 'radiusFramedAppleTalk
 Network' DESC 'replyItem: Framed-AppleTalk-Network' EQUALITY caseIgnoreIA5Mat
 ch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {13}( 1.3.6.1.4.1.3317.4.3.1.12 NAME 'radiusFramedAppleTalk
 Zone' DESC 'replyItem: Framed-AppleTalk-Zone' EQUALITY caseIgnoreIA5Match SYN
 TAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {14}( 1.3.6.1.4.1.3317.4.3.1.13 NAME 'radiusFramedCompressi
 on' DESC 'replyItem: Framed-Compression' EQUALITY caseIgnoreIA5Match SYNTAX 1
 .3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {15}( 1.3.6.1.4.1.3317.4.3.1.14 NAME 'radiusFramedIPAddress
 ' DESC 'replyItem: Framed-IP-Address' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {16}( 1.3.6.1.4.1.3317.4.3.1.15 NAME 'radiusFramedIPNetmask
 ' DESC 'replyItem: Framed-IP-Netmask' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {17}( 1.3.6.1.4.1.3317.4.3.1.16 NAME 'radiusFramedIPXNetwor
 k' DESC 'replyItem: Framed-IPX-Network' EQUALITY caseIgnoreIA5Match SYNTAX 1.
 3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {18}( 1.3.6.1.4.1.3317.4.3.1.17 NAME 'radiusFramedMTU' DESC
  'replyItem: Framed-MTU' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {19}( 1.3.6.1.4.1.3317.4.3.1.18 NAME 'radiusFramedProtocol'
  DESC 'replyItem: Framed-Protocol' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1
 .4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {20}( 1.3.6.1.4.1.3317.4.3.1.19 NAME 'radiusFramedRoute' DE
 SC 'replyItem: Framed-Route' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 )
olcAttributeTypes: {21}( 1.3.6.1.4.1.3317.4.3.1.20 NAME 'radiusFramedRouting' 
 DESC 'replyItem: Framed-Routing' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {22}( 1.3.6.1.4.1.3317.4.3.1.46 NAME 'radiusGroupName' DESC
  '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {23}( 1.3.6.1.4.1.3317.4.3.1.47 NAME 'radiusHint' DESC '' E
 QUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE 
 )
olcAttributeTypes: {24}( 1.3.6.1.4.1.3317.4.3.1.48 NAME 'radiusHuntgroupName' 
 DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {25}( 1.3.6.1.4.1.3317.4.3.1.21 NAME 'radiusIdleTimeout' DE
 SC 'replyItem: Idle-Timeout' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {26}( 1.3.6.1.4.1.3317.4.3.1.22 NAME 'radiusLoginIPHost' DE
 SC 'replyItem: Login-IP-Host' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.
 1466.115.121.1.26 )
olcAttributeTypes: {27}( 1.3.6.1.4.1.3317.4.3.1.23 NAME 'radiusLoginLATGroup' 
 DESC 'replyItem: Login-LAT-Group' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.
 4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {28}( 1.3.6.1.4.1.3317.4.3.1.24 NAME 'radiusLoginLATNode' D
 ESC 'replyItem: Login-LAT-Node' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {29}( 1.3.6.1.4.1.3317.4.3.1.25 NAME 'radiusLoginLATPort' D
 ESC 'replyItem: Login-LAT-Port' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {30}( 1.3.6.1.4.1.3317.4.3.1.26 NAME 'radiusLoginLATService
 ' DESC 'replyItem: Login-LAT-Service' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {31}( 1.3.6.1.4.1.3317.4.3.1.27 NAME 'radiusLoginService' D
 ESC 'replyItem: Login-Service' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {32}( 1.3.6.1.4.1.3317.4.3.1.28 NAME 'radiusLoginTCPPort' D
 ESC 'replyItem: Login-TCP-Port' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {33}( 1.3.6.1.4.1.3317.4.3.1.29 NAME 'radiusPasswordRetry' 
 DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SING
 LE-VALUE )
olcAttributeTypes: {34}( 1.3.6.1.4.1.3317.4.3.1.30 NAME 'radiusPortLimit' DESC
  'replyItem: Port-Limit' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {35}( 1.3.6.1.4.1.3317.4.3.1.49 NAME 'radiusProfileDn' DESC
  '' EQUALITY distinguishedNameMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 SING
 LE-VALUE )
olcAttributeTypes: {36}( 1.3.6.1.4.1.3317.4.3.1.31 NAME 'radiusPrompt' DESC ''
  EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALU
 E )
olcAttributeTypes: {37}( 1.3.6.1.4.1.3317.4.3.1.50 NAME 'radiusProxyToRealm' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {38}( 1.3.6.1.4.1.3317.4.3.1.51 NAME 'radiusReplicateToReal
 m' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 S
 INGLE-VALUE )
olcAttributeTypes: {39}( 1.3.6.1.4.1.3317.4.3.1.52 NAME 'radiusRealm' DESC '' 
 EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE
  )
olcAttributeTypes: {40}( 1.3.6.1.4.1.3317.4.3.1.32 NAME 'radiusServiceType' DE
 SC 'replyItem: Service-Type' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {41}( 1.3.6.1.4.1.3317.4.3.1.33 NAME 'radiusSessionTimeout'
  DESC 'replyItem: Session-Timeout' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1
 .4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {42}( 1.3.6.1.4.1.3317.4.3.1.34 NAME 'radiusTerminationActi
 on' DESC 'replyItem: Termination-Action' EQUALITY caseIgnoreIA5Match SYNTAX 1
 .3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {43}( 1.3.6.1.4.1.3317.4.3.1.35 NAME 'radiusTunnelAssignmen
 tId' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
  )
olcAttributeTypes: {44}( 1.3.6.1.4.1.3317.4.3.1.36 NAME 'radiusTunnelMediumTyp
 e' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {45}( 1.3.6.1.4.1.3317.4.3.1.37 NAME 'radiusTunnelPassword'
  DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SIN
 GLE-VALUE )
olcAttributeTypes: {46}( 1.3.6.1.4.1.3317.4.3.1.38 NAME 'radiusTunnelPreferenc
 e' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {47}( 1.3.6.1.4.1.3317.4.3.1.39 NAME 'radiusTunnelPrivateGr
 oupId' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {48}( 1.3.6.1.4.1.3317.4.3.1.40 NAME 'radiusTunnelServerEnd
 point' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {49}( 1.3.6.1.4.1.3317.4.3.1.41 NAME 'radiusTunnelType' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {50}( 1.3.6.1.4.1.3317.4.3.1.42 NAME 'radiusVSA' DESC '' EQ
 UALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {51}( 1.3.6.1.4.1.3317.4.3.1.43 NAME 'radiusTunnelClientEnd
 point' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {52}( 1.3.6.1.4.1.3317.4.3.1.53 NAME 'radiusSimultaneousUse
 ' DESC 'checkItem: Simultaneous-Use' SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SIN
 GLE-VALUE )
olcAttributeTypes: {53}( 1.3.6.1.4.1.3317.4.3.1.54 NAME 'radiusLoginTime' DESC
  '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-V
 ALUE )
olcAttributeTypes: {54}( 1.3.6.1.4.1.3317.4.3.1.55 NAME 'radiusUserCategory' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {55}( 1.3.6.1.4.1.3317.4.3.1.56 NAME 'radiusStripUserName' 
 DESC '' SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {56}( 1.3.6.1.4.1.3317.4.3.1.57 NAME 'dialupAccess' DESC ''
  EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALU
 E )
olcAttributeTypes: {57}( 1.3.6.1.4.1.3317.4.3.1.58 NAME 'radiusExpiration' DES
 C 'checkItem: Expiration' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466
 .115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {58}( 1.3.6.1.4.1.3317.4.3.1.59 NAME 'radiusCheckItem' DESC
  'checkItem: $GENERIC$' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.26 )
olcAttributeTypes: {59}( 1.3.6.1.4.1.3317.4.3.1.60 NAME 'radiusReplyItem' DESC
  'replyItem: $GENERIC$' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.26 )
olcAttributeTypes: {60}( 1.3.6.1.4.1.3317.4.3.1.61 NAME 'radiusNASIpAddress' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {61}( 1.3.6.1.4.1.3317.4.3.1.62 NAME 'radiusReplyMessage' D
 ESC 'replyItem: Reply-Message' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.26 )
olcObjectClasses: {0}( 1.3.6.1.4.1.3317.4.3.2.1 NAME 'radiusprofile' DESC '' S
 UP top AUXILIARY MUST cn MAY ( radiusArapFeatures $ radiusArapSecurity $ radi
 usArapZoneAccess $ radiusAuthType $ radiusCallbackId $ radiusCallbackNumber $
  radiusCalledStationId $ radiusCallingStationId $ radiusClass $ radiusClientI
 PAddress $ radiusFilterId $ radiusFramedAppleTalkLink $ radiusFramedAppleTalk
 Network $ radiusFramedAppleTalkZone $ radiusFramedCompression $ radiusFramedI
 PAddress $ radiusFramedIPNetmask $ radiusFramedIPXNetwork $ radiusFramedMTU $
  radiusFramedProtocol $ radiusCheckItem $ radiusReplyItem $ radiusFramedRoute
  $ radiusFramedRouting $ radiusIdleTimeout $ radiusGroupName $ radiusHint $ r
 adiusHuntgroupName $ radiusLoginIPHost $ radiusLoginLATGroup $ radiusLoginLAT
 Node $ radiusLoginLATPort $ radiusLoginLATService $ radiusLoginService $ radi
 usLoginTCPPort $ radiusLoginTime $ radiusPasswordRetry $ radiusPortLimit $ ra
 diusPrompt $ radiusProxyToRealm $ radiusRealm $ radiusReplicateToRealm $ radi
 usServiceType $ radiusSessionTimeout $ radiusStripUserName $ radiusTerminatio
 nAction $ radiusTunnelClientEndpoint $ radiusProfileDn $ radiusSimultaneousUs
 e $ radiusTunnelAssignmentId $ radiusTunnelMediumType $ radiusTunnelPassword 
 $ radiusTunnelPreference $ radiusTunnelPrivateGroupId $ radiusTunnelServerEnd
 point $ radiusTunnelType $ radiusUserCategory $ radiusVSA $ radiusExpiration 
 $ dialupAccess $ radiusNASIpAddress $ radiusReplyMessage ) )
olcObjectClasses: {1}( 1.3.6.1.4.1.3317.4.3.2.2 NAME 'radiusObjectProfile' DES
 C 'A Container Objectclass to be used for creating radius profile object' SUP
  top STRUCTURAL MUST cn MAY ( uid $ userPassword $ description ) )

Eingespielt wird es mit:

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f freeradius_schema.ldif

Die Objektdefinitionen geben durch ihren Namen schon einen Hinweis darauf, was noch alles möglich ist. Internetprovider setzen deswegen oft genau auf dieses Protokoll.

Freeradius für die Nutzung von LDAP konfigurieren

Falls noch nicht geschehen, muss freeradius zunächst installiert werden. Bei Debian und seinen Derivaten tut es ein Einzeiler:

1	apt-get install freeradius

Jetzt sind einige Konfigurationsdateien zu bearbeiten:

/etc/freeradius/modules/ldap

server = "localhost"
identity = "cn=admin,dc=domain,dc=tld"
password = <secret>
basedn = "ou=test,dc=domain,dc=tld"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
base_filter = "(objectclass=radiusprofile)"
access_attr = "dialupAccess"
password_attribute = userPassword

dc=domain,dc=tld ist natürlich an den eigenen LDAP anzupassen. Der Binduser unter „identity“ muss Lesezugriff auf Attribute des Radius-Schemas haben. Diese müssen in der Regel extra gewährt / konfiguriert werden, eigentlich sollte man das nicht so gerne über den Hauptadmin des Baumes lösen.

/etc/freeradius/sites-enabled/default & /etc/freeradius/sites-enabled/inner-tunnel

Vor folgende Zeilen in beiden Dateien die Kommentarzeichen entfernen (Abschnitt authorize / authenticate):

ldap
Auth-Type LDAP {
   ldap
}

Jetzt kann man beide Dienste neu starten:

1 2	service slapd restart service freeradius restart

Testen des Einstellungen

Nun kann man überprüfen, ob das Login gegen LDAP funktioniert:

1	radtest "test_ldap_user" "test_ldap_passwort" localhost 18120 "secret"

secret findet man in /etc/freeradius/clients.conf in der Sektion „localhost“. Wenn man von weiteren IPs aus authentifizieren möchte, muss man einfach für jeden Rechner einen neuen Block anlegen. Vorkonfiguriert ist bei Debian und Derivaten für localhost „testing123“. Wenn alles klappt, sollte die Ausgabe etwa so aussehen:

Sending Access-Request of id 213 to 127.0.0.1 port 1812
	User-Name = "<test_ldap_user>"
	User-Password = "<test_ldap_passwort>"
	NAS-IP-Address = 127.0.0.1
	NAS-Port = 18120
	Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=213, length=20

Wichtig ist das Access-Accept packet am Schluss. Klappt es aus irgendwelchen Gründen nicht, gibt es ein Access-Reject packet.

Linux Authentifizierung, Einrichtung, freeradius, openldap, WLAN

« 1 … 21 22 23 24 25 … 149 »