Search results for wlan « riecken.de

Wirtschaft, Partnerschaft, Lobbyismus und Schule

22. Februar 2016 Maik Riecken 3 Kommentare

Wir versetzen uns einmal in die Lage eines CEO

Da gibt es mit der Digitalisierung der Gesellschaft eine Entwicklung, um die kein staatliches Bildungssystem herumkommt, wenn eine Volkswirtschaft auf Dauer wachsen und damit Dinge wie Wohlstand und sozialen Frieden ermöglichen soll.
Da gibt es ein Bildungssystem mit immensen Investitionsstau auf dem Gebiet der Digitalisierung, sowohl finanziell als in Bereichen wie Informationsmanagement.
Da gibt es Schulen, die auf Wunsch des Dienstherrn zunehmend selbstständig sein sollen, die aber von den personelle Ressourcen her oft optimierbar aufgestellt sind.
Da gibt es ein Schulsystem, dass von seiner Grundstruktur preußisch-hierarchisch strukturiert und damit an Vorgaben von oben gebunden ist.
Da gibt es eine Konkurrenzsituation vieler unterschiedlicher Anbieter.
Da gibt es ein teures, meist provisionsbasiertes Vertriebssystem, das vorwiegend auf die Belange der Wirtschaft ausgerichtet ist und Schule von innen nicht kennt.
Da gibt es Entscheidungsträger, die technisch manchmal nur wenig qualifiziert sind und die nicht in ausreichendem Maße auf ein neutrales Beratungssystem zurückgreifen können.
Da gibt es einen immens volatilen Markt, was die Progression technischer Entwicklungen, Produktfolgen und Ansprüche der Kunden angeht.

Was ist die Natur wirtschaftlicher Player in einer sozialen Marktwirtschaft?

Wenn sie nicht wachsen, gehen sie unter oder werden von Konkurrenten geschluckt.
Wenn sie für ihre Produkte keinen Alleinstellungsraum schaffen (meist weniger durch Features als vielmehr durch Tupperpartyvermarktungskonzepte, s.u.) werden sie keinen verlässlichen Absatz generieren.
Wenn sie keinen Gewinn machen, bestehen sie nicht am Markt und ebenso ihre Mitarbeiter, für die sie eine Verantwortung tragen.
Wenn Sie keine guten Produkte haben, die sich an den Bedürfnissen ihrer Kunden orientieren, bestehen sie nicht am Markt.
Wenn sie nicht die hierarchischen Strukturen des Schulsystems für sich selbst und ihren Absatz nutzen und politische Lobbyarbeit betreiben, fallen sie gegenüber ihren Konkurrenten zurück. Das sieht man sehr hübsch an der Stellung der lobbylosen OpenSource-Produkte im deutschen Bildungsystem.

Ich finde bisher daran nichts Böses oder Verwerfliches. Wirtschaft verhält entsprechend der Regeln einer Marktwirtschaft, womit dann ja auch gleich ein Schlüssel gefunden wäre, das Ganze im Sinne demokratischer Grundsätze zu steuern: Dafür gibt es einen Rahmen in Form von Gesetzen bzw. im Schulsystem in Form von Erlassen.

TTIP ist nun der geniale Schachzug, auch diese mögliche staatliche Einflussnahme auf die eigene Produktpolitik zu eliminieren – das wäre aber eine eigene Geschichte.

Wie reagiert Wirtschaft in diesem Umfeld?

Von „Wirtschaft“ komme ich in meinem Umfeld fast nur über Vertriebler und ihren rhetorischen Taktiken in Kontakt. Ich bin bei ihnen mittlerweile nicht mehr so gerne gesehen. Daher mögen meine Beobachtungen sehr stark eingefärbt sein, aber vielleicht erkennt ihr das eine oder andere wieder.

Wirtschaft will Tupperpartys

Man möchte sein Produkt auf Veranstaltungen, auf der Entscheidungsträger anwesend sind, möglichst exklusiv präsentieren und nicht in Konkurrenz zu Mitbewerbern. „Herr Riecken, das mit ihren finanziellen Bedenken lassen Sie meine Sorge sein. Ich stelle den Entscheidungsträgern das Produkt mit seinen insbesondere investiven Vorteilen gerne alleine dem Gremium vor!“

Es kommen insbesondere Lehrer nach einer solchen Tupperparty manchmal total begeistert an und allein auf Grundlage dieser Begeisterung wird dann z.B. ein Programm oder ein Gerät beschafft, mit dem man über Jahre arbeitet. Das ist leider auch bei Schulbüchern oft nicht anders.

Mit mir gibt es keine Tupperpartys. Es werden immer mindestens drei Mitbewerber zu einer Veranstaltung eingeladen.

Ich versuche, die provisionsbasierte Vertriebsstruktur nach Möglichkeit zu vermeiden. Wir vor Ort streben an, nach Sondierung des Marktes standardisierte Leistungsbeschreibungen zu erstellen, mit denen die Entscheider nach den vorgegebenen Richtlinien formal sauber ausschreiben können. Der günstigste gewinnt.

Standardisierung kann man trotzdem erreichen. Auch in einer formal korrekten Leistungsbeschreibung lassen sich Alleinstellungsmerkmale eines Herstellers sauber unterbringen. Das klingt wie ein fieser Trick. Es macht aber kaum Sinn, z.B. für eine Region zig verschiedene WLAN-Systeme zu beschaffen und den Supportaufwand dafür in die Höhe zu treiben.

Wirtschaft will weg vom Kaufmodell

Microsoft vermietet seine Software, Adobe auch, AeroHive will für die Nutzung seines Hivemanagers jährlich Kohle sehen (man kann den Hivemanager jedoch auch selbst kostenfrei betreiben, wenn man das technische Know-How dafür hat), Lernplattformen und Schulnetzwerklösungen werden nach Schüleranzahl jährlich abgerechnet. Der Trend geht weg von der einmaligen Anschaffung hin zu verlässlich generierten Umsätzen. Da muss man sehr genau rechnen – gerade bei Lernplattformen kann man für die jeweilige Jahresgebühr oft hochwertige Freelancer volle zwei Monate für die Betreuung eines OpenSoureproduktes bezahlen. Auch bei Microsoft sollte man sehr genau hinschauen, weil deren Lizensierungsmodell mittlerweile eigentlich einen eigenen Studiengang erfordert.

Wirtschaft will langfristige Kundenbindung

Auch das ist angesichts der oft immensen Investitionen, die zur Entwicklung eines Produktes notwendig sind, zunächst wenig verwunderlich. Man kann Kunden auf verschiedene Art und Weise an sich binden: Zum einen durch kontinuierliche Qualität, zum anderen aber auch dadurch, dass ich den Wechsel zu einem anderen Anbieter erschwere. Jeder, der schon einmal den DSL-Anbieter gewechselt hat, weiß wie das u.U. aussehen kann. Allein die Scheu vor möglicherweise auftretenden Problemen bewegt zumindest mich hin und wieder des lieben Friedens willen doch bei meinem Anbieter zu bleiben.

Wenn ich als Schule viel Content bei irgendwem gebunkert und aufgebaut habe, ist dieser jemand gesetzt – für Jahre, alles andere wäre unrealistisch. Das weiß ein Anbieter und kann das z.B. indirekt nutzen, indem er dafür sorgt, dass Inhalte und Strukturen in proprietären Formaten vorliegen oder der Zugriff auf eine Plattform nicht über gängige Webstandards, sondern z.B. neben dem Browser lediglich mit einer speziellen App möglich ist.

Spezielle Probleme in Deutschland für Anbieter

Deutschland hat einige Spezifika, die mir als Anbieter die Haare zu Berge stehen lassen würden. So existiert ein ausgeprägtes Bewusstsein hinsichtlich des Datenschutzes – gelegentlich auch als Abwehrkonzept gegenüber neuen Technologien. Es gibt durchaus schon Anbieter, die mir vorgeworfen haben, ich würde marktbehindernd beraten, wenn ich Schulen auf geltende Datenschutzgesetze verweise und z.B. Dinge wie Einwilligungserklärungen und Verträge zur Auftragsdatenverarbeitung zum Kriterium für die Auswahl eines Produkts mache.

Weiterhin gibt es in Deutschland ein weitaus engeres Neutralitätsgebot als in anderen Ländern: Staatliche Schulen haben nur sehr eingeschränkte Möglichkeiten, Kooperationen mit der Wirtschaft einzugehen, um ihre zum Teil chronische Unterfinanzierung zu kompensieren. Anbieter versuchen, dieses Problem zu umgehen, indem wirtschaftliche Vereine gegründet werden, die teilweise als gemeinnützig anerkannt sind und so auch einigermaßen „sauber“ durch die Politik befördert werden können. Diese Konstrukte sind aber nötig, weil die Regelungen in Deutschland eben sehr eng sind.

In Deutschland wird zusätzlich digitale Technologie oftmals nicht als Chance, sondern mehr als Bedrohung der eigenen Lebens- und Unterrichtspraxis begriffen. Schule müsse sich „dem allgemeinen Trend entgegenstellen“ und „Alternativen zum digitalen Alltag bieten“. Gleichzeitig werden die Kommunikationsstrukturen durch immer neue Aufgaben von Schule komplexer und analoge Formen wie schwarze Bretter kommen mehr und mehr an Grenzen. „Dann auch noch umstellen auf Digitalzeugs?“.

In Deutschland gibt es an Schulen zuhauf Lokalprinzen wie mich, die Systeme aufgebaut haben und betreuen, obwohl es nicht deren Aufgabe ist. Nur vertraut man dem Lokalprinzen natürlich weit mehr als einer Firma, die am Telefon nur „Fachchinesisch und arrogant redet“ (das sind oft die rückgemeldeten Erfahrungen). Der Lokalprinz ist greifbar, man ist u.U. nicht mit allem zufrieden, aber man weiß, was man hat und was nicht. Lehrer greifen nicht gerne zum Telefon, um sich helfen zu lassen – das wäre ein Eingeständnis von Unvollkommenheit.

Und zuletzt haben wir in Deutschland ein merkwürdiges Finanzierungskonstrukt: Lehrkräfte werden durch das Land, Sachmittel durch den Träger finanziert – da stehen sich schon unterschiedliche Interessen gegenüber. Nun sind diese beiden Bereiche aber nicht zu trennen. Beschaffung von Software und Geräten ist immer auch mit pädagogischen Fragen verknüpft. Wer hier als Anbieter nicht die Belange beider Seiten erkennt und nutzt, wird es schwer haben, im Markt Fuß zu fassen. Daher heuern viele Anbieter jetzt Lehrkräfte an, um ihre Produkte in den Schulen zu platzieren. Diese erhalten für ihre Arbeit natürlich eine Vergütung und sind oft an unternehmensinterne Kommunikationsrichtlinien gebunden. Keine gute Voraussetzung für Neutralität.

Wer löst es wie?

An vielen Stellen passt für mich der strukturelle Rahmen nicht. Hier ist Politik gefordert, an neuralgischen Punkten Klarheit zu schaffen, etwa mindestens dafür zu sorgen, dass es für Anbieter und Schulen klare Checklisten oder rechtssichere Musterverträge gibt, wie datenschutzkonform gearbeitet werden kann.

Ich fürchte bloß, dass von dieser Seite nicht viel zu erwarten und das genau diese Leerstelle ursächlich für das ist, was oft als „Lobbyismus an Schulen“ beklagt wird.

Was soll denn ein Anbieter anderes machen, als subversive, kreative Wege zu finden, um an die potentiell lukrative Kundengruppe zu kommen, die sich in den Schulen findet?

Ein neutrales Beratungssystem als Schnittstelle zwischen Anbietern und Schule kann auch viel bewegen. Ich merke bloß bei mir selbst immer wieder, wie sehr ich private Vorlieben und Abneigungen bestimmten Produkten und Dienstleistungen gegenüber aktiv bekämpfen muss, um wirklich neutral zu bleiben oder eben in Fällen, wo ich das einfach nicht bin, einfach an Personen abzugeben, die in dem Bereich versierter oder ggf. auch schlicht begeisterter sind.

Ich könnte mir vorstellen und meine, es auf Twitter auch immer wieder mitzubekommen, dass es Kollegen gibt, die auch wie ich genau damit ringen oder den inneren Konflikt zugunsten einer Präferenz auch schon ganz entschieden haben.

Fazit

Für mich ist Lobbyismus primär in den Strukturen von Schule bereits angelegt. Wenn man dafür sensibilisieren möchte, sehe ich den Ball bei der Kultuspolitik. Ich habe viel Verständnis dafür, wie Anbieter zurzeit agieren (müssen) und Hochachtung vor vielen, die ich kennen lernen durfte, die sich trotzdem mit Herzblut und Verbesserungswillen als Partner von Schule verstehen – und so auch agieren, aber natürlich gerne auch mal die teuerste Lösung verkaufen, die dann zwar super läuft, aber von der Dimensionierung und der Kosteneffizienz in meinen Augen nicht unbedingt immer das Optimum darstellt.

Aus der Schule, Gesellschaft Anbieter, Auswahl, Kooperation, Lernplattform, Lobbyismus, Partnerschaft, Preis, Produkt, Schule, Wirtschaft

Social Messenger sind der Untergang

18. Februar 2016 Maik Riecken 3 Kommentare

Gestern bin ich wieder mit der vollen Bandbreite der Hilflosigkeit gegenüber den Eigendynamiken konfrontiert worden, die entstehen, wenn sich jüngere Schülerinnen und Schüler auf WhatsApp bewegen.

Beleidigungen
veränderte Bilder unliebsamer Mitschüler
Enthauptungsvideos
[…]
„Ich kann nichts dafür“-Behauptungen (In der Schülervorstellungswelt kann man sich ja schließlich nicht dagegen wehren, in WhatsApp-Gruppen aufgenommen zu werden)

Diese Dinge scheinen sich nach meinen Beobachtungen vor alle in den jüngeren Klassenstufen der Sekundarstufe I zu häufen. Die reflexartigen Reaktionen auf Vorkommnisse sehen zunächst so aus:

„Handy wegnehmen. Die dürfen WhatsApp erst ab 16 nutzen!“
„Handy verbieten. Die können damit nicht umgehen!“
„Medienpädagogen einladen, der denen das mal sagt!“
„Eltern in die Pflicht nehmen. Die sind unverantwortlich, Kindern ein Smartphone zu kaufen!“
„Nun sag‘ mal Maik, was soll ich denn jetzt machen? Du bist doch Medienfuzzi. Alles Scheiße mit diesem Digitalzeugs!“

Handeln wir das mal alles in der Kürze ab, die es sachlogisch verdient:

Zu 1.)

Netter Versuch. Das Handy gehört uns nicht und umfasst den Privatbereich der SuS. Das ist so auf der Ebene wie: „Ich verbiete dir, nicht altersgerechte Filme in deiner Freizeit zu schauen!“

Zu 2.)

Netter Versuch. Das Handy gehört uns nicht und umfasst den Privatbereich der SuS. Das ist so auf der Ebene wie: „Ich verbiete dir, dich in deiner Freizeit mit Hannes und Tim zu treffen. Die haben einen schlechten Einfluss auf dich!“

Zu 3.)

Netter Versuch. Und bequem. Dann macht der das halt (wenn er dann mal Zeit hat). Ich nenne sowas medienpädagogisches Feigenblatt: „Wir haben was getan – wir haben jemanden eingeladen! Wenn dann keiner kommt, tja, können wir auch nichts dafür!“

Zu 4.)

Völlig richtig. Wenig bis so gar nicht realistisch. Eltern halten das mit dem Handy oft so: Wir kaufen dir eines. Wir kennen uns damit eh nicht aus. Das Erstaunen ist dann riesig, wenn dann mit dem Gerät Dinge geschehen, die unschön sind. Dann ist das Internet schuld. Oder wahlweise die Schule, die ja nichts dagegen macht. Mein Bild: Sie schicken ein vierjähriges Kind mit dem Rad bei Dunkelheit quer durch die Stadt und sind dann völlig überrascht, wenn es umgenietet wird. Dieser Scheißverkehr ist dann schuld!“ (sonst müsste man sich ja selbst seiner Verantwortung stellen …)

Zu 5.)

Die Situation ist sehr komplex. Das System der Beteiligten und der Ursachen auch. Wer hier ein einfache Antwort erwartet, verkennt die Komplexität völlig. Bestenfalls verlagert er das Problem schlicht vordergründig aus dem Wahrnehmungsbereich von Schule. Leider wird das immer wieder in die Schule zurückschwappen. mit dem Unterschied, dass man dann noch sehr viel weniger über die Vorgänge in der „Parallelwelt“ weiß,

Maik, du Klugscheißer, ich will Lösungen!

Lösung 1:

Wo Verbote nicht greifen, komme ich um Verhandlungen und pädagogische Vereinbarungen nicht herum. Es gibt an Schulen Gremien, die die einzelnen Gruppen vertreten. Es gibt eine Schüler- und eine Elternvertretung. Wenn ich zieloffen hier zu Vereinbarungen komme, die den Handygebrauch innerhalb der Schule regeln, habe ich eine größere Chance, dass diese Vereinbarungen eingehalten und durch demokratisch verhandelte Sanktionen notfalls auch durchgesetzt werden. Zusätzlich ist das u.U. eine Chance, Demokratie praktisch zu leben und es ist eine Chance, insbesondere Eltern und Schülern auf Augenhöhe zu begegnen. Diese Gremien müssen ja ihrem „Wahlvolk“ Entscheidungen vermitteln. Und insbesondere Eltern können ja schon mehr als Kaffee und Kuchen bei Veranstaltungen zu spenden. Diese Idee scheitert oft an dem dafür notwendigen Paradigmenwechsel: Schule ist ja von ihrem Wesen her hierarchisch organisiert.

Lösung 2:

Wo in der Gesellschaft bekommen SuS vorgelebt, wie man z.B. soziale Medien sinnvoll und reflektiert nutzt? Wo in Schule bekommen SuS gezeigt, welche Potentiale für das eigene Lernen in Socialmedia steckt? Wenn ich Schulen Portallösungen mit zarten Socialmediafunktionen empfehle, kommt sehr oft: „Aber diesen Chat, den müssen wir dringend abschalten, da passiert nur Mist, wer soll das kontrollieren!“ Wenn da „Mist“ passiert, ist das m.E. ein Geschenk, weil es in einem geschützten Raum entsteht und pädagogisch aufgearbeitet werden kann. Wir brauchen mehr solchen „Mist“, der auf Systemen von Schulen geschieht, weil wir ihm dort ohne irgendwelchen Anzeigen und richterlichen Anordnungen begegnen können – die Daten haben wir ja selbst und idealerweise auch klare Regelungen, wann diese von wem wie eingesetzt werden dürfen.

Lösung 3:

Kein Unterricht über Medien, sondern Unterricht mit Medien. Das erfordert ein schulweites Medienkonzept und es wird erstaunen, wie viel sich sogar ganz ohne WLAN und Tablets in diesem Bereich machen lässt. Überraschenderweise sind bestimmte Werte und Lebenserfahrungen auch in Zeiten von Socialmedia noch gültig.

Leider wird die Umsetzung dieser Erkenntnis genau wie damals der Buchdruck eine Alphabetisierung erfordern und zwar vor allem eine digitale Alphabetisierung von Lehrkräften. Und das Lesen fällt manchem leichter und manchem schwerer. Wenn ich aber an den Potentialen und Möglichkeiten teilhaben möchte und wenn ich handlungsfähig sein will, komme ich nicht darum herum, lernen zu müssen. NIcht nur wegen der SuS, sondern vor allem aus Egoismus: Digitaler Analphabetismus führt direkt in die Anhängigkeit von anderen und in die Unsouveränität.

Aus der Schule, Gesellschaft Handy, Lösung, Schule, Umgang, Verbot, WhatsApp

Radiusserver gegen LDAP authentifizieren lassen

9. Januar 2016 Maik Riecken Ein Kommentar

Allgemein

Dieser Eintrag basiert auf dieser Originalanleitung. freeradius ist ein Authentifizierungsserver, der nach außen das Radiusprotokoll bereitstellt. Über dieses Protokoll kann man sich z.B. an einem WLAN anmelden, ohne die Zugangsdaten für OpenLDAP oder jede beliebige andere Authentifizierungsquelle zu kennen und verteilen zu müssen. Wenn ein zentraler Verzeichnisdienst konfiguriert ist, werden z.B. sehr einfach Dinge möglich wie ein kreisweites WLAN. In den Schulen muss dann lediglich ein neues WLAN-Netz konfiguriert werden, welches gegen unseren zentralen Radius authentifiziert und schon kann ich als Lehrer der Schule A im Netz der Schule B z.B. bei Fortbildung das WLAN nutzen.

Radiusschema in OpenLDAP integrieren

Damit die Authentifizierung über Radius mit alle denkbaren Funktionen klappt, sollte man ein neues Schema zu OpenLDAP hinzufügen. Es funktioniert auch ohne, nur kommt man bei späteren Erweiterungswübschen schnell an Grenzen. Hier ist ein Schema bereits vorbereitet (freeradius_schema.ldif), welches freeradius als Textdatei mitbringt. Es lässt sich direkt über die Konsole in cn=config einspielen.

dn: cn=freeradius,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: freeradius
olcAttributeTypes: {0}( 1.3.6.1.4.1.3317.4.3.1.1 NAME 'radiusArapFeatures' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-
 VALUE )
olcAttributeTypes: {1}( 1.3.6.1.4.1.3317.4.3.1.2 NAME 'radiusArapSecurity' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-
 VALUE )
olcAttributeTypes: {2}( 1.3.6.1.4.1.3317.4.3.1.3 NAME 'radiusArapZoneAccess' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {3}( 1.3.6.1.4.1.3317.4.3.1.44 NAME 'radiusAuthType' DESC '
 checkItem: Auth-Type' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115
 .121.1.26 SINGLE-VALUE )
olcAttributeTypes: {4}( 1.3.6.1.4.1.3317.4.3.1.4 NAME 'radiusCallbackId' DESC 
 'replyItem: Callback-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {5}( 1.3.6.1.4.1.3317.4.3.1.5 NAME 'radiusCallbackNumber' D
 ESC 'replyItem: Callback-Number' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {6}( 1.3.6.1.4.1.3317.4.3.1.6 NAME 'radiusCalledStationId' 
 DESC 'checkItem: Called-Station-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.
 1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {7}( 1.3.6.1.4.1.3317.4.3.1.7 NAME 'radiusCallingStationId'
  DESC 'checkItem: Calling-Station-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {8}( 1.3.6.1.4.1.3317.4.3.1.8 NAME 'radiusClass' DESC 'repl
 yItem: Class' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.2
 6 )
olcAttributeTypes: {9}( 1.3.6.1.4.1.3317.4.3.1.45 NAME 'radiusClientIPAddress'
  DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SIN
 GLE-VALUE )
olcAttributeTypes: {10}( 1.3.6.1.4.1.3317.4.3.1.9 NAME 'radiusFilterId' DESC '
 replyItem: Filter-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115
 .121.1.26 )
olcAttributeTypes: {11}( 1.3.6.1.4.1.3317.4.3.1.10 NAME 'radiusFramedAppleTalk
 Link' DESC 'replyItem: Framed-AppleTalk-Link' EQUALITY caseIgnoreIA5Match SYN
 TAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {12}( 1.3.6.1.4.1.3317.4.3.1.11 NAME 'radiusFramedAppleTalk
 Network' DESC 'replyItem: Framed-AppleTalk-Network' EQUALITY caseIgnoreIA5Mat
 ch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {13}( 1.3.6.1.4.1.3317.4.3.1.12 NAME 'radiusFramedAppleTalk
 Zone' DESC 'replyItem: Framed-AppleTalk-Zone' EQUALITY caseIgnoreIA5Match SYN
 TAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {14}( 1.3.6.1.4.1.3317.4.3.1.13 NAME 'radiusFramedCompressi
 on' DESC 'replyItem: Framed-Compression' EQUALITY caseIgnoreIA5Match SYNTAX 1
 .3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {15}( 1.3.6.1.4.1.3317.4.3.1.14 NAME 'radiusFramedIPAddress
 ' DESC 'replyItem: Framed-IP-Address' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {16}( 1.3.6.1.4.1.3317.4.3.1.15 NAME 'radiusFramedIPNetmask
 ' DESC 'replyItem: Framed-IP-Netmask' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {17}( 1.3.6.1.4.1.3317.4.3.1.16 NAME 'radiusFramedIPXNetwor
 k' DESC 'replyItem: Framed-IPX-Network' EQUALITY caseIgnoreIA5Match SYNTAX 1.
 3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {18}( 1.3.6.1.4.1.3317.4.3.1.17 NAME 'radiusFramedMTU' DESC
  'replyItem: Framed-MTU' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {19}( 1.3.6.1.4.1.3317.4.3.1.18 NAME 'radiusFramedProtocol'
  DESC 'replyItem: Framed-Protocol' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1
 .4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {20}( 1.3.6.1.4.1.3317.4.3.1.19 NAME 'radiusFramedRoute' DE
 SC 'replyItem: Framed-Route' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 )
olcAttributeTypes: {21}( 1.3.6.1.4.1.3317.4.3.1.20 NAME 'radiusFramedRouting' 
 DESC 'replyItem: Framed-Routing' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {22}( 1.3.6.1.4.1.3317.4.3.1.46 NAME 'radiusGroupName' DESC
  '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {23}( 1.3.6.1.4.1.3317.4.3.1.47 NAME 'radiusHint' DESC '' E
 QUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE 
 )
olcAttributeTypes: {24}( 1.3.6.1.4.1.3317.4.3.1.48 NAME 'radiusHuntgroupName' 
 DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {25}( 1.3.6.1.4.1.3317.4.3.1.21 NAME 'radiusIdleTimeout' DE
 SC 'replyItem: Idle-Timeout' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {26}( 1.3.6.1.4.1.3317.4.3.1.22 NAME 'radiusLoginIPHost' DE
 SC 'replyItem: Login-IP-Host' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.
 1466.115.121.1.26 )
olcAttributeTypes: {27}( 1.3.6.1.4.1.3317.4.3.1.23 NAME 'radiusLoginLATGroup' 
 DESC 'replyItem: Login-LAT-Group' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.
 4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {28}( 1.3.6.1.4.1.3317.4.3.1.24 NAME 'radiusLoginLATNode' D
 ESC 'replyItem: Login-LAT-Node' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {29}( 1.3.6.1.4.1.3317.4.3.1.25 NAME 'radiusLoginLATPort' D
 ESC 'replyItem: Login-LAT-Port' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {30}( 1.3.6.1.4.1.3317.4.3.1.26 NAME 'radiusLoginLATService
 ' DESC 'replyItem: Login-LAT-Service' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {31}( 1.3.6.1.4.1.3317.4.3.1.27 NAME 'radiusLoginService' D
 ESC 'replyItem: Login-Service' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {32}( 1.3.6.1.4.1.3317.4.3.1.28 NAME 'radiusLoginTCPPort' D
 ESC 'replyItem: Login-TCP-Port' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {33}( 1.3.6.1.4.1.3317.4.3.1.29 NAME 'radiusPasswordRetry' 
 DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SING
 LE-VALUE )
olcAttributeTypes: {34}( 1.3.6.1.4.1.3317.4.3.1.30 NAME 'radiusPortLimit' DESC
  'replyItem: Port-Limit' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {35}( 1.3.6.1.4.1.3317.4.3.1.49 NAME 'radiusProfileDn' DESC
  '' EQUALITY distinguishedNameMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 SING
 LE-VALUE )
olcAttributeTypes: {36}( 1.3.6.1.4.1.3317.4.3.1.31 NAME 'radiusPrompt' DESC ''
  EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALU
 E )
olcAttributeTypes: {37}( 1.3.6.1.4.1.3317.4.3.1.50 NAME 'radiusProxyToRealm' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {38}( 1.3.6.1.4.1.3317.4.3.1.51 NAME 'radiusReplicateToReal
 m' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 S
 INGLE-VALUE )
olcAttributeTypes: {39}( 1.3.6.1.4.1.3317.4.3.1.52 NAME 'radiusRealm' DESC '' 
 EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE
  )
olcAttributeTypes: {40}( 1.3.6.1.4.1.3317.4.3.1.32 NAME 'radiusServiceType' DE
 SC 'replyItem: Service-Type' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {41}( 1.3.6.1.4.1.3317.4.3.1.33 NAME 'radiusSessionTimeout'
  DESC 'replyItem: Session-Timeout' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1
 .4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {42}( 1.3.6.1.4.1.3317.4.3.1.34 NAME 'radiusTerminationActi
 on' DESC 'replyItem: Termination-Action' EQUALITY caseIgnoreIA5Match SYNTAX 1
 .3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {43}( 1.3.6.1.4.1.3317.4.3.1.35 NAME 'radiusTunnelAssignmen
 tId' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
  )
olcAttributeTypes: {44}( 1.3.6.1.4.1.3317.4.3.1.36 NAME 'radiusTunnelMediumTyp
 e' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {45}( 1.3.6.1.4.1.3317.4.3.1.37 NAME 'radiusTunnelPassword'
  DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SIN
 GLE-VALUE )
olcAttributeTypes: {46}( 1.3.6.1.4.1.3317.4.3.1.38 NAME 'radiusTunnelPreferenc
 e' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {47}( 1.3.6.1.4.1.3317.4.3.1.39 NAME 'radiusTunnelPrivateGr
 oupId' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {48}( 1.3.6.1.4.1.3317.4.3.1.40 NAME 'radiusTunnelServerEnd
 point' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {49}( 1.3.6.1.4.1.3317.4.3.1.41 NAME 'radiusTunnelType' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {50}( 1.3.6.1.4.1.3317.4.3.1.42 NAME 'radiusVSA' DESC '' EQ
 UALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {51}( 1.3.6.1.4.1.3317.4.3.1.43 NAME 'radiusTunnelClientEnd
 point' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {52}( 1.3.6.1.4.1.3317.4.3.1.53 NAME 'radiusSimultaneousUse
 ' DESC 'checkItem: Simultaneous-Use' SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SIN
 GLE-VALUE )
olcAttributeTypes: {53}( 1.3.6.1.4.1.3317.4.3.1.54 NAME 'radiusLoginTime' DESC
  '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-V
 ALUE )
olcAttributeTypes: {54}( 1.3.6.1.4.1.3317.4.3.1.55 NAME 'radiusUserCategory' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {55}( 1.3.6.1.4.1.3317.4.3.1.56 NAME 'radiusStripUserName' 
 DESC '' SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {56}( 1.3.6.1.4.1.3317.4.3.1.57 NAME 'dialupAccess' DESC ''
  EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALU
 E )
olcAttributeTypes: {57}( 1.3.6.1.4.1.3317.4.3.1.58 NAME 'radiusExpiration' DES
 C 'checkItem: Expiration' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466
 .115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {58}( 1.3.6.1.4.1.3317.4.3.1.59 NAME 'radiusCheckItem' DESC
  'checkItem: $GENERIC$' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.26 )
olcAttributeTypes: {59}( 1.3.6.1.4.1.3317.4.3.1.60 NAME 'radiusReplyItem' DESC
  'replyItem: $GENERIC$' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.26 )
olcAttributeTypes: {60}( 1.3.6.1.4.1.3317.4.3.1.61 NAME 'radiusNASIpAddress' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {61}( 1.3.6.1.4.1.3317.4.3.1.62 NAME 'radiusReplyMessage' D
 ESC 'replyItem: Reply-Message' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.26 )
olcObjectClasses: {0}( 1.3.6.1.4.1.3317.4.3.2.1 NAME 'radiusprofile' DESC '' S
 UP top AUXILIARY MUST cn MAY ( radiusArapFeatures $ radiusArapSecurity $ radi
 usArapZoneAccess $ radiusAuthType $ radiusCallbackId $ radiusCallbackNumber $
  radiusCalledStationId $ radiusCallingStationId $ radiusClass $ radiusClientI
 PAddress $ radiusFilterId $ radiusFramedAppleTalkLink $ radiusFramedAppleTalk
 Network $ radiusFramedAppleTalkZone $ radiusFramedCompression $ radiusFramedI
 PAddress $ radiusFramedIPNetmask $ radiusFramedIPXNetwork $ radiusFramedMTU $
  radiusFramedProtocol $ radiusCheckItem $ radiusReplyItem $ radiusFramedRoute
  $ radiusFramedRouting $ radiusIdleTimeout $ radiusGroupName $ radiusHint $ r
 adiusHuntgroupName $ radiusLoginIPHost $ radiusLoginLATGroup $ radiusLoginLAT
 Node $ radiusLoginLATPort $ radiusLoginLATService $ radiusLoginService $ radi
 usLoginTCPPort $ radiusLoginTime $ radiusPasswordRetry $ radiusPortLimit $ ra
 diusPrompt $ radiusProxyToRealm $ radiusRealm $ radiusReplicateToRealm $ radi
 usServiceType $ radiusSessionTimeout $ radiusStripUserName $ radiusTerminatio
 nAction $ radiusTunnelClientEndpoint $ radiusProfileDn $ radiusSimultaneousUs
 e $ radiusTunnelAssignmentId $ radiusTunnelMediumType $ radiusTunnelPassword 
 $ radiusTunnelPreference $ radiusTunnelPrivateGroupId $ radiusTunnelServerEnd
 point $ radiusTunnelType $ radiusUserCategory $ radiusVSA $ radiusExpiration 
 $ dialupAccess $ radiusNASIpAddress $ radiusReplyMessage ) )
olcObjectClasses: {1}( 1.3.6.1.4.1.3317.4.3.2.2 NAME 'radiusObjectProfile' DES
 C 'A Container Objectclass to be used for creating radius profile object' SUP
  top STRUCTURAL MUST cn MAY ( uid $ userPassword $ description ) )

Eingespielt wird es mit:

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f freeradius_schema.ldif

Die Objektdefinitionen geben durch ihren Namen schon einen Hinweis darauf, was noch alles möglich ist. Internetprovider setzen deswegen oft genau auf dieses Protokoll.

Freeradius für die Nutzung von LDAP konfigurieren

Falls noch nicht geschehen, muss freeradius zunächst installiert werden. Bei Debian und seinen Derivaten tut es ein Einzeiler:

1	apt-get install freeradius

Jetzt sind einige Konfigurationsdateien zu bearbeiten:

/etc/freeradius/modules/ldap

server = "localhost"
identity = "cn=admin,dc=domain,dc=tld"
password = <secret>
basedn = "ou=test,dc=domain,dc=tld"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
base_filter = "(objectclass=radiusprofile)"
access_attr = "dialupAccess"
password_attribute = userPassword

dc=domain,dc=tld ist natürlich an den eigenen LDAP anzupassen. Der Binduser unter „identity“ muss Lesezugriff auf Attribute des Radius-Schemas haben. Diese müssen in der Regel extra gewährt / konfiguriert werden, eigentlich sollte man das nicht so gerne über den Hauptadmin des Baumes lösen.

/etc/freeradius/sites-enabled/default & /etc/freeradius/sites-enabled/inner-tunnel

Vor folgende Zeilen in beiden Dateien die Kommentarzeichen entfernen (Abschnitt authorize / authenticate):

ldap
Auth-Type LDAP {
   ldap
}

Jetzt kann man beide Dienste neu starten:

1 2	service slapd restart service freeradius restart

Testen des Einstellungen

Nun kann man überprüfen, ob das Login gegen LDAP funktioniert:

1	radtest "test_ldap_user" "test_ldap_passwort" localhost 18120 "secret"

secret findet man in /etc/freeradius/clients.conf in der Sektion „localhost“. Wenn man von weiteren IPs aus authentifizieren möchte, muss man einfach für jeden Rechner einen neuen Block anlegen. Vorkonfiguriert ist bei Debian und Derivaten für localhost „testing123“. Wenn alles klappt, sollte die Ausgabe etwa so aussehen:

Sending Access-Request of id 213 to 127.0.0.1 port 1812
	User-Name = "<test_ldap_user>"
	User-Password = "<test_ldap_passwort>"
	NAS-IP-Address = 127.0.0.1
	NAS-Port = 18120
	Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=213, length=20

Wichtig ist das Access-Accept packet am Schluss. Klappt es aus irgendwelchen Gründen nicht, gibt es ein Access-Reject packet.

Linux Authentifizierung, Einrichtung, freeradius, openldap, WLAN

OpenLDAP ab 2.4 installieren und einrichten

8. Januar 2016 Maik Riecken 8 Kommentare

Vorweg

Mir ist keine Quelle im Netz bekannt, die die Einrichtung von OpenLDAP wirklich umfassend darstellt – schon gar nicht auf Deutsch. Diese Informationen hier sind aus allen möglichen Ecken zusammengeklaubt – selbst die meisten Bücher zu OpenLDAP empfinde ich als sehr wenig hilfreich.

Grundinstallation

Hinweis: domain.tld muss man natürlich immer an den eigenen openLDAP anpassen.

Zuerst installieren wir die Binaries, in Debian und seinen Abkömmlingen (Ubuntu, Mint etc.) z.B. so:

1	apt-get install slapd ldap-utils

Die Installationsroutine von Debian legt dabei nur eine sehr rudimentäre Konfiguration an, sodass etwas Nacharbeit vonnöten ist. Bei anderen Distributionen kenne ich mich nicht so gut aus. Ein

1	dpkg-reconfigure slapd

ermöglicht uns hier die Eingabe einer korrekten Basis-DN (auf die muss unser SSL-Zertifikat ausgestellt sein), meist sowas wie

dc=domain, dc=tld

und zusätzlich definieren wir dabei ein Rootpasswort für den LDAP-User

cn=admin,dc=domain,dc=de

Handling von OpenLDAP

Ab Debian Squeeze speichert der OpenLDAP-Server seine Konfiguration in einem internen LDAP-Baum und nicht mehr in einem Konfigurationsfile. Das macht die Pflege auf den ersten Blick erheblich aufwändiger, weil man an diesen Baum in der Standardkonfiguration nur umständlich über Konsolentools herankommt. Zudem kann eine fehlerhafte Datenbank dazu führen, dass der OpenLDAP nach einer Konfigurationsänderung gar nicht mehr hochkommt.
Nur der Rootbenutzer des Systems kommt immer auch direkt an die Daten. Man kann sich die bestehenden Inhalt nur als root anzeigen lassen mit:

1	ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config"

Neue Einträge können über *.ldif-Files hinzugefügt werden:

1	ldapmodify/ldapadd -Y EXTERNAL -H ldapi:/// -f

Hinweis zu Ubuntu 14.04 LTS

Der Installer setzt den Accountnamen für den Benutzer mit Zugriff auf den cn=config-Baum standardmäßig auf: cn=admin,dc=domain,dc=tld. Dann macht man Befolgen dieser Anleitung ein langes Gesicht. Um das auf den Standard zu ändern, benötigt man nur für Ubuntu 14.04 LTS noch eine kleine Änderung (change_admin.ldif):

dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,cn=config

Obligatorisch:

1	ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f change_admin.ldif

Sicherheit

OpenLDAP-Verbindungen per TLS absichern

Vorweg: Hier kann ganz viel schiefgehen, obwohl ich dieses Kapitel mit am wichtigsten finde. Wenn OpenLDAP aus irgendwelchen Gründen die Zertifikatfiles nicht frisst, kann man mit der Konfiguration von vorne beginnen oder man hat vorher ein Backup der alten Datenbank gemacht. Deswegen überspringe ich diesen Schritt gerne und binde den OpenLDAP einfach nicht an öffentlich erreichbare Netzwerkdevices. Wenn man das machen muss, führt aus Datenschutzgründen aber kein Weg an dieser Prozedur hier vorbei. LDAP ist genau wie FTP ein Klartextprotokoll, dass ohne Transportverschlüsselung auf dem gesamten Datenweg offenliegt und gerade in WLAN-Umgebungen sehr leicht belauscht werden kann.
Generell gibt es zwei Möglichkeiten, wie man an kostenlose Zertifikate kommen kann. Wosign oder StartSSL. Es gibt diverse Tutorials im Netz zur Nutzung dieser Dienste. Von Letsencrypt würde ich im Kontext von OpenLDAP eher abraten. StartSSL und WoSign sind mittlerweile Geschichte. Wenn es kostenlos sein soll, führt kein Weg an letsencrypt vorbei. Man muss dann dafür sorgen, dass OpenLDAP nach jedem Certupdate neu gestartet wird, also alle drei Monate mindestens.

Man hat am Ende des Zertifizierungsprozesses in der Regel drei Dateien vorliegen:

domain.tld-crt.pem (enthält das Zertifikat)
domain.tld-key.pem (enthält den privaten Schlüssel)
ca_chain.pem (enthält die Zertifizierungschain der CA)

domain.tld ist dabei der Wurzelbaum des openLDAP. Ich habe die Dateien nach /etc/ldap/ssl gelegt. Besser aufhoben sind sie in /etc/ssl/cert – dann muss slapd Leserechte dort bekommen.

Folgende Datei (tls_ldap.ldif) anlegen:

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ldap/ssl/ca_chain.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ldap/ssl/domain.tld-key.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/ssl/domain.tld-crt.pem

… und über die Konsole einspielen:

1	ldapadd -Y EXTERNAL -H ldapi:/// -f tls_ldap.ldif

oder auch

1	ldapmodify -Y EXTERNAL -H ldapi:/// -f tls_ldap.ldif

Ich bin zusätzlich ein Freund davon, sichere Verbindungen zu erzwingen. Clients, die das nicht wollen oder können, sollen bitte draußenbleiben.

Folgende Datei (force_tls.ldif) anlegen:

dn: olcDatabase={1}hdb,cn=config
changetype:  modify
add: olcSecurity
olcSecurity: tls=1

Und wieder einspielen:

1	ldapadd -Y EXTERNAL -H ldapi:/// -f force_tls.ldif

oder auch

1	ldapmodify -Y EXTERNAL -H ldapi:/// -f force_tls.ldif

Jetzt noch in /etc/default/slapd nachschauen, ob die Services stimmen (ldaps über Port 639 gilt als veraltet und sollte nicht mehr verwendet werden). In der Regel steht da so etwas:

1	SLAPD_SERVICES="ldap://0.0.0.0:389/ ldapi:///"

Wenn man mehrere NICs besitzt, kann man natürlich statt 0.0.0.0 auch die IP einer spezifischen Netzwerkkarte angeben oder den OpenLDAP nur an localhost (127.0.0.1) binden.

Ein

1	service slapd restart

bringt Aufklärung, ob das Ganze funktioniert hat. Theoretisch ist das nicht notwendig, da OpenLDAP durch das neue Verfahren ohne Konfigurationsdatei quasi live im Betrieb gepatcht wird. Jetzt sollte der OpenLDAP Verbindungen von außen nur noch verschlüsselt akzeptieren. Von der Konsole aus ( ldapi:/// ) klappt das nach wie vor auch normal. Wir vertrauen uns ja schon selbst.

Bruteforce erschweren

Ein offener LDAP-Server ist anfällig für brute-force Attacken – zumal gerade im Schulbereich viele unsichere Passwörter im Umlauf sein dürften. Durch das ppolicy.schema kann man z.B. nach einigen fehlgeschlagenen Logins den Account für eine Weile automatisch sperren. openLDAP bringt das dafür notwendige Schema in /etc/ldap/schema/ppolicy.ldif schon mit.

dn: cn=ppolicy,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: ppolicy
olcAttributeTypes: {0}( 1.3.6.1.4.1.42.2.27.8.1.1 NAME 'pwdAttribute' EQUALITY
  objectIdentifierMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.38 )
olcAttributeTypes: {1}( 1.3.6.1.4.1.42.2.27.8.1.2 NAME 'pwdMinAge' EQUALITY in
 tegerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {2}( 1.3.6.1.4.1.42.2.27.8.1.3 NAME 'pwdMaxAge' EQUALITY in
 tegerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {3}( 1.3.6.1.4.1.42.2.27.8.1.4 NAME 'pwdInHistory' EQUALITY
  integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {4}( 1.3.6.1.4.1.42.2.27.8.1.5 NAME 'pwdCheckQuality' EQUAL
 ITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {5}( 1.3.6.1.4.1.42.2.27.8.1.6 NAME 'pwdMinLength' EQUALITY
  integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {6}( 1.3.6.1.4.1.42.2.27.8.1.7 NAME 'pwdExpireWarning' EQUA
 LITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {7}( 1.3.6.1.4.1.42.2.27.8.1.8 NAME 'pwdGraceAuthNLimit' EQ
 UALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {8}( 1.3.6.1.4.1.42.2.27.8.1.9 NAME 'pwdLockout' EQUALITY b
 ooleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {9}( 1.3.6.1.4.1.42.2.27.8.1.10 NAME 'pwdLockoutDuration' E
 QUALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {10}( 1.3.6.1.4.1.42.2.27.8.1.11 NAME 'pwdMaxFailure' EQUAL
 ITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {11}( 1.3.6.1.4.1.42.2.27.8.1.12 NAME 'pwdFailureCountInter
 val' EQUALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE
 )
olcAttributeTypes: {12}( 1.3.6.1.4.1.42.2.27.8.1.13 NAME 'pwdMustChange' EQUAL
 ITY booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {13}( 1.3.6.1.4.1.42.2.27.8.1.14 NAME 'pwdAllowUserChange'
 EQUALITY booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {14}( 1.3.6.1.4.1.42.2.27.8.1.15 NAME 'pwdSafeModify' EQUAL
 ITY booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {15}( 1.3.6.1.4.1.4754.1.99.1 NAME 'pwdCheckModule' DESC 'L
 oadable module that instantiates "check_password() function' EQUALITY caseExa
 ctIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcObjectClasses: {0}( 1.3.6.1.4.1.4754.2.99.1 NAME 'pwdPolicyChecker' SUP top
  AUXILIARY MAY pwdCheckModule )
olcObjectClasses: {1}( 1.3.6.1.4.1.42.2.27.8.2.1 NAME 'pwdPolicy' SUP top AUXI
 LIARY MUST pwdAttribute MAY ( pwdMinAge $ pwdMaxAge $ pwdInHistory $ pwdCheck
 Quality $ pwdMinLength $ pwdExpireWarning $ pwdGraceAuthNLimit $ pwdLockout $
  pwdLockoutDuration $ pwdMaxFailure $ pwdFailureCountInterval $ pwdMustChange
  $ pwdAllowUserChange $ pwdSafeModify ) )

Eingespielt wird das Schema mit:

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f ppolicy.ldif

Das Schema ppolicy.ldif selbst definiert nur Objekte für das entsprechende Modul, was jetzt noch geladen werden muss, wofür wir eine Datei policy_module.ldif mit folgendem Inhalt anlegen:

dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: ppolicy.la

Und das alte Spiel:

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f policy_module.ldif

Jetzt brauchen wir noch eine Ablage (policy_context.ldif) für die verschiedenen Regelsätze:

dn: ou=policies,dc=domain,dc=tld
objectClass: organizationalUnit
objectClass: top
ou: policies

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f policy_context.ldif

Und als nächstes eine Default-Policy (default_policy.ldif):

dn: cn=default,ou=policies,dc=domain,dc=tld
objectClass: top
objectClass: device
objectClass: pwdPolicy
cn: default
pwdAttribute: 2.5.4.35
pwdMaxAge: 15552000
pwdInHistory: 3
pwdMinLength: 6
pwdMaxFailure: 3
pwdLockout: TRUE
pwdLockoutDuration: 1800
pwdGraceAuthNLimit: 3
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: TRUE

In diesen Beispiel wird nach drei fehlgeschlagenen Loginversuchen ( pwdMaxFailure: 3 ) das Login für 1800 Sekunden ( pwdLockoutDuration: 1800 ) gesperrt. Das sollte klebrig genug sein.

Muss ich es noch schreiben?

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f default_policy.ldif

Da OpenLDAP ja so fluffig und intuitiv ist, brauchen wir jetzt noch ein Overlay (policy_overlay.ldif), dass dem OpenLDAP sagt, dass statt des normalen Loginhandlings jetzt immer auch die Default-Policy gelten soll:

dn: olcOverlay=ppolicy,olcDatabase={1}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=default,ou=policies,dc=domain,dc=tld
olcPPolicyHashCleartext: TRUE
olcPPolicyUseLockout: TRUE

Ihr wisst, was jetzt kommt:

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f policy_overlay.ldif

Damit hätten wir grundsätzlich verschlüsselte Verbindungen erzwungen und zusätzlich Bruteforce-Angriffe erschwert. Bleibt noch eines zu tun:

Anonymous-Bind verbieten

Standardmäßig erlaubt openLDAP einen sogenannte anonymous bind, d.h. man erhält lesend Zugriff auch ohne die Eingabe eines Passwortes. Diese lesende Zugriff ist sehr eingeschränkt, z.B. gibt es keinen Zugriff auf bestimmte Objektklassen oder gar Passworthashes. Mir ist die Vorstellung trotzdem nicht geheuer, dass sich u.a. Nutzernamen auf diesem Weg auslesen lassen. Daher verwende ich für den lesenden Zugriff einen separaten User, der sich mit Passwort authentifizieren muss, ansonsten aber nicht mehr Rechte als beim anonymous bind hat. Deswegen unterbinden wir das mit einer neuen Datei noanonymous.ldif:

dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
 
dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc

Und jetzt kommt etwas anderes, weil wir einen bereits bestehenden Datenbankeintrag aktualisieren:

1	ldapmodify -Y EXTERNAL -H ldapi:/// -f noanonymous.ldif

Nach dem Einspielen der letzten Änderung hat man ohne Authentifizierung auch über die Konsole keinen Zugriff mehr auf den Hauptbaum des OpenLDAP (dc=domain, dc=tld) – die war bisher auch sowas wie „anonym“ aus Sicht des LDAP. Man muss dann ausweichen auf eine andere Befehlszeile (cn=config ist davon nicht betroffen):

1	ldapadd -x -D cn=admin,dc=domain,dc=tld -W -f

Danach wird man zur Eingabe des Adminpasswortes aufgefordert und kann so den Hauptbaum beschreiben und verändern.

Optionale Arbeiten

Performancetuning

Diese Datei ( index.ldif )

dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: cn pres,sub,eq
-
add: olcDbIndex
olcDbIndex: sn pres,sub,eq
-
add: olcDbIndex
olcDbIndex: uid pres,sub,eq
-
add: olcDbIndex
olcDbIndex: displayName pres,sub,eq
-
add: olcDbIndex
olcDbIndex: default sub
-
add: olcDbIndex
olcDbIndex: uidNumber eq
-
add: olcDbIndex
olcDbIndex: gidNumber eq
-
add: olcDbIndex
olcDbIndex: mail,givenName eq,subinitial
-
add: olcDbIndex
olcDbIndex: dc eq

einspielen mit

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f index.ldif

Benutzer für die Administration von cn=config einrichten

Wenn man sauch den cn=config-Baum auch über komfortablere Frontends wie phpldapadmin oder LAM verwalten möchte, muss man das Objekt cn=admin, cn=config noch um weitere Einträge ergänzen. Zunächst erzeugen wir uns über die Konsole ein Passwort:

1	slappasswd -h {SSHA}

Wir erhalten einen Hash zurück, den wir in die Zwischenablage kopieren. Jetzt erstellten wir ein ldif-File (manager.ldif):

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}
 
# auskommentieren, wenn wir den Zugriff von root  auf cn=config 
# ohne Passwort sperren wollen. Sollte als Fallback besser erhalten bleiben
 
#dn: olcDatabase={0}config,cn=config
#changetype: modify
#delete: olcAccess

1	ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f manager.ldif

Wenn wir jetzt in phpldapadmin (ab Version 1.2.2) oder lam als Base-DN cn=config verwenden und als Login cn=admin, cn=config, können wir cn=config auch grafisch verwalten.

Quelle: https://wiki.debian.org/PhpLdapAdmin

War doch ganz einfach oder?

OpenLDAP ist extrem sperrig, aber eine hervorragende Authentifizierungsmöglichkeit, da im Gegensatz zu Datenbanksystemen die Struktur hochgradig standardisiert sowie mustergültig objektorientiert ist und sich OpenLDAP so recht schnell in beliebige Anwendungen integrieren lässt – fast alle ernstzunehmenden Onlinetools unterstützen die Authentifizierung über LDAP. OpenLDAP diente nicht umsonst nicht als Vorlage für die LDAP-Funktionen von Samba4 – weil es eben so sperrig ist.

Linux Absicherung, Anleitung, Debian, Einrichtung, Konfiguration, openldap, Policy, TLS

Bastard Operator from Hell (BOFH)

5. September 2015 Maik Riecken Kommentar hinterlassen

Als Administrator schwelgt man hin und wieder in Allmachtsfantasien. Wenn man seine User soweit erzogen hat, dass sie die vage Möglichkeit verwerfen, der Administrator sei fehlbar und stattdessen de Fehler bei sich selbst suchen, hat man einiges erreicht. Man ist Zauberer, genial und die User wundern sich, wie ein einzelner Mensch so viel hinbekommen kann. Aber es ist keine Zauberei – es ist informatische Grundbildung, bzw. basiert darauf.

Diese Situation ist eine ihrer Struktur nach autoritäre und basiert auf Wissens- und Kompetenzunterschieden. Diese Struktur ist sehr, sehr gefährlich und nicht umsonst hat auch an Schulen der Gesetzgeber Instanzen ersonnen, die die Arbeit von Administratoren kontrollieren sollten – z.B. Datenschutzbeauftragte oder Schulleitungen. Wahrscheinlicher scheint mir, das viele Administratoren an Schulen im Prinzip Stakeholder in ideellen Machtpositionen sind, deren Einfluss in den nächsten Jahren expandieren wird. Auch das ist ein Problem. Vor allem auch für die Schulentwicklung, für die ich ohne IT-gestützte Verfahren keinen Freiraum sehe.

Ich arbeite daher in meinem Landkreis mit an einem Projekt, dieses Problem zu entschärfen durch Strukturen, die nicht auf dem Prinzip der ideellen Macht basieren. Ich arbeite im Prinzip mit daran, mich selbst in der Funktion eines Administrator abzuschaffen.

Wenn ich sehr böse wäre, könnte ich vielleicht versucht sein, folgende Dinge zu tun (in jeder Geschichte sind Fehler eingebaut).

Akt 1:

Das Ende der Sommerferien naht. Ich habe keinen Bock auf Unterricht. Mal überlegen. Ach, da gibt es ja die Schulbuchausleihe, die mittlerweile komplett IT-gestützt arbeitet. Ohne Bücher kein Unterricht. Klickediklickediklack – einfach mal ein MySQL-Statement, welches die Datenbank von der Konsole aus zerfetzt. Hihi.

Der Anruf dauert nicht lange: „Wir können überhaupt keine Daten mehr abrufen und verwalten! – Die SuS brauchen ihre Bücher, dringend“ Ich so: „Oh. Da hat wohl die Festplatte einen ihrer Schreibfehler gemacht, die statistisch ja immer auftreten. Da reicht ja schon ein Meson aus dem Weltall.“ Sie so: „Aha, UND JETZT?“ Ich: „Oach, ich rufe mal den Chef an, damit der mich für zwei Tage freistellt, damit ich das wieder flicken kann, das ist ja schon integral für die Schule.“

Zwei Tage später habe ich den neuen Egoshooter durch und spiele dann innerhalb von fünf Minuten eine der Sicherungen ein. Natürlich wird mir für meinen Einsatz auf der nächsten Dienstversammlung überschwänglich gedankt. Man, ich sah aber auch echt gerädert nach den zwei durchgezockten Nächten aus.

Akt 2:

Boah, was geht mir der Koordinator da auf den Sack mit seiner Penetranz, was das Ausfüllen dieser idiotischen Kurshefte angeht. Na, dann wollen wir mal seine Pension etwas kürzen. Sein häusliches WLAN strahlt in klarer Winternacht recht weit in die Natur. Mal schnell einen kleine Raspi mit Akku vor seinem Haus in die Botanik geworfen und den WLAN-Schlüssel bruteforcen. Langweilig. Dauert nicht mal zwei Tage. Jetzt noch die MAC-Adresse seines Rechners abfischen, ein wenig MAC-Spoofing und schon habe ich seine IP, unter der ich dann mal einschlägiges Material auf den Schulserver in seinen Account lade – das mit dem Passwort war nicht weiter schwierig, weil er den Datei- und Mailaustausch über unverschlüsselte Verbindungen abwickelt.

Mit betretener Miene klopfe ich zwei Tage später beim Chef. Das Monitoring hätte routinemäßig die Dateigrößen überprüft und sei dabei auf eine HD-Datei gestoßen, die … Dauerte keine Woche, dann saß der Knabe beim Dienstherrn. Sprach sich natürlich auch im Ort herum. Hat sich dann irgendwann versetzen lassen. Die Ehe hat es wohl überlebt.

Akt 3:

Die haben da so ein Bezahlterminal geliefert und in der Mensa aufgestellt. War erst nicht in meinem Netz, bis dann rauskam, dass einige SuS das Ding zum Surfen nutzten. Jetzt steht das Ding in meinem VLAN und mein Chip zum Bezahlen des Mittagessens ist ja chronisch leer. Mal ein wenig Wireshark laufen lassen – hm, eine verschlüsselte Verbindung. Oach, ich knalle dem Gerät einfach den Rootkey meiner eigenen CA rein und kann so die Kommunikation mit Man-in-the-middle aufbrechen. Was an einigen Schweizer Schulen zum Filtern des Internetverkehrs für SuS genutzt wird, kann ja nicht so böse sein. So. Der Marvin lädt gerade seinen Chip auf. Dank der dilletantischen Umsetzung des Sessionmanagements kann ich das Geld etwas umleiten. Jetzt aber schnell abmampfen, bevor Marvins Eltern merken, dass der Bankeinzug nicht zur Aufladung des Chips führte.

Die Geschichten machen aber klar, was ein gewiefter Autodidakt im Prinzip tun könnte. Die Opfer sind dem ohne informatisches Grundwissen wehrlos ausgesetzt. Besonders bitter finde ich die zweite Geschichte. Ein Anwalt müsste versuchen, die „Beweise“ zu entkräften und es steht die Aussage einer „kompetenten Person“ und es stehen Logdateien dagegen – zudem müsste man erst auf die Idee kommen, wie dieser Angriff funktioniert (es ist übrigens wahrscheinlich viel leichter, das über das Handy des Opfers zu machen). Außerdem hätte unser Administrator wahrscheinlich sogar auch Zeit, seine Taten noch weiter zu verschleiern.

Ich bin der Meinung, dass wir informatische Grundbildung flächendeckend benötigen.

„Ich muss doch auch nicht verstehen, wie der Motor eines Autos funktioniert, um von A nach B zu kommen!“

Das Argument halte ich für falsch. Autofahren betrifft einen Teilbereich der Mobilität – das Digitale bestimmt mittlerweile extrem viele Lebensbereich.

„Die Stundenpläne sind doch jetzt schon total voll. Welches Fach soll denn dafür entfallen?“

Keines. Um es mit Gunter Dueck zu sagen: „Dafür muss nichts weichen, das müssen wir jetzt eben auch noch machen!“, weil

Wissen und Kompetenzen in diesem Bereich Standortfaktoren für jede Region in Deutschland sein werden.
Wissen und Kompetenzen in diesem Bereich wichtig für die Teilhabe an demokratischen Prozessen sein werden – warum lehnen Informatiker z.B. elektronische Wahlen vehement oft ab?
Informelle Selbstbestimmung als Grundrecht ohne Wissen und Kompetenzen in diesem Bereich ein Witz ist.

Ich finde, das reicht auch schon an Begründung.

Noch ein Seitenhieb: Medienkompetenz erscheint offenbar einigen Playern als Ersatz oder Möglichkeit, erstmal „realistisch“ zu beginnen. Ich halte Kompetenzen ohne solide Wissensgrundlage für weitgehend sinnbefreit – Gespräche mit Ausbildungsbetrieben und Verwaltungen bestärken mich in dieser Annahme.

Gesellschaft Administrator, Begründung, Fach, Informatik, Notwendigkeit

« 1 2 3 4 5 … 10 »