Radiusserver gegen LDAP authentifizieren lassen

Allgemein

Dieser Eintrag basiert auf dieser Originalanleitung. freeradius ist ein Authentifizierungsserver, der nach außen das Radiusprotokoll bereitstellt. Über dieses Protokoll kann man sich z.B. an einem WLAN anmelden, ohne die Zugangsdaten für OpenLDAP oder jede beliebige andere Authentifizierungsquelle zu kennen und verteilen zu müssen. Wenn ein zentraler Verzeichnisdienst konfiguriert ist, werden z.B. sehr einfach Dinge möglich wie ein kreisweites WLAN. In den Schulen muss dann lediglich ein neues WLAN-Netz konfiguriert werden, welches gegen unseren zentralen Radius authentifiziert und schon kann ich als Lehrer der Schule A im Netz der Schule B z.B. bei Fortbildung das WLAN nutzen.

Radiusschema in OpenLDAP integrieren

Damit die Authentifizierung über Radius mit alle denkbaren Funktionen klappt, sollte man ein neues Schema zu OpenLDAP hinzufügen. Es funktioniert auch ohne, nur kommt man bei späteren Erweiterungswübschen schnell an Grenzen. Hier ist ein Schema bereits vorbereitet (freeradius_schema.ldif), welches freeradius als Textdatei mitbringt. Es lässt sich direkt über die Konsole in cn=config einspielen.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
dn: cn=freeradius,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: freeradius
olcAttributeTypes: {0}( 1.3.6.1.4.1.3317.4.3.1.1 NAME 'radiusArapFeatures' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-
 VALUE )
olcAttributeTypes: {1}( 1.3.6.1.4.1.3317.4.3.1.2 NAME 'radiusArapSecurity' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-
 VALUE )
olcAttributeTypes: {2}( 1.3.6.1.4.1.3317.4.3.1.3 NAME 'radiusArapZoneAccess' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {3}( 1.3.6.1.4.1.3317.4.3.1.44 NAME 'radiusAuthType' DESC '
 checkItem: Auth-Type' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115
 .121.1.26 SINGLE-VALUE )
olcAttributeTypes: {4}( 1.3.6.1.4.1.3317.4.3.1.4 NAME 'radiusCallbackId' DESC 
 'replyItem: Callback-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {5}( 1.3.6.1.4.1.3317.4.3.1.5 NAME 'radiusCallbackNumber' D
 ESC 'replyItem: Callback-Number' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {6}( 1.3.6.1.4.1.3317.4.3.1.6 NAME 'radiusCalledStationId' 
 DESC 'checkItem: Called-Station-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.
 1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {7}( 1.3.6.1.4.1.3317.4.3.1.7 NAME 'radiusCallingStationId'
  DESC 'checkItem: Calling-Station-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {8}( 1.3.6.1.4.1.3317.4.3.1.8 NAME 'radiusClass' DESC 'repl
 yItem: Class' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.2
 6 )
olcAttributeTypes: {9}( 1.3.6.1.4.1.3317.4.3.1.45 NAME 'radiusClientIPAddress'
  DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SIN
 GLE-VALUE )
olcAttributeTypes: {10}( 1.3.6.1.4.1.3317.4.3.1.9 NAME 'radiusFilterId' DESC '
 replyItem: Filter-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115
 .121.1.26 )
olcAttributeTypes: {11}( 1.3.6.1.4.1.3317.4.3.1.10 NAME 'radiusFramedAppleTalk
 Link' DESC 'replyItem: Framed-AppleTalk-Link' EQUALITY caseIgnoreIA5Match SYN
 TAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {12}( 1.3.6.1.4.1.3317.4.3.1.11 NAME 'radiusFramedAppleTalk
 Network' DESC 'replyItem: Framed-AppleTalk-Network' EQUALITY caseIgnoreIA5Mat
 ch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {13}( 1.3.6.1.4.1.3317.4.3.1.12 NAME 'radiusFramedAppleTalk
 Zone' DESC 'replyItem: Framed-AppleTalk-Zone' EQUALITY caseIgnoreIA5Match SYN
 TAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {14}( 1.3.6.1.4.1.3317.4.3.1.13 NAME 'radiusFramedCompressi
 on' DESC 'replyItem: Framed-Compression' EQUALITY caseIgnoreIA5Match SYNTAX 1
 .3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {15}( 1.3.6.1.4.1.3317.4.3.1.14 NAME 'radiusFramedIPAddress
 ' DESC 'replyItem: Framed-IP-Address' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {16}( 1.3.6.1.4.1.3317.4.3.1.15 NAME 'radiusFramedIPNetmask
 ' DESC 'replyItem: Framed-IP-Netmask' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {17}( 1.3.6.1.4.1.3317.4.3.1.16 NAME 'radiusFramedIPXNetwor
 k' DESC 'replyItem: Framed-IPX-Network' EQUALITY caseIgnoreIA5Match SYNTAX 1.
 3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {18}( 1.3.6.1.4.1.3317.4.3.1.17 NAME 'radiusFramedMTU' DESC
  'replyItem: Framed-MTU' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {19}( 1.3.6.1.4.1.3317.4.3.1.18 NAME 'radiusFramedProtocol'
  DESC 'replyItem: Framed-Protocol' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1
 .4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {20}( 1.3.6.1.4.1.3317.4.3.1.19 NAME 'radiusFramedRoute' DE
 SC 'replyItem: Framed-Route' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 )
olcAttributeTypes: {21}( 1.3.6.1.4.1.3317.4.3.1.20 NAME 'radiusFramedRouting' 
 DESC 'replyItem: Framed-Routing' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {22}( 1.3.6.1.4.1.3317.4.3.1.46 NAME 'radiusGroupName' DESC
  '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {23}( 1.3.6.1.4.1.3317.4.3.1.47 NAME 'radiusHint' DESC '' E
 QUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE 
 )
olcAttributeTypes: {24}( 1.3.6.1.4.1.3317.4.3.1.48 NAME 'radiusHuntgroupName' 
 DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {25}( 1.3.6.1.4.1.3317.4.3.1.21 NAME 'radiusIdleTimeout' DE
 SC 'replyItem: Idle-Timeout' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {26}( 1.3.6.1.4.1.3317.4.3.1.22 NAME 'radiusLoginIPHost' DE
 SC 'replyItem: Login-IP-Host' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.
 1466.115.121.1.26 )
olcAttributeTypes: {27}( 1.3.6.1.4.1.3317.4.3.1.23 NAME 'radiusLoginLATGroup' 
 DESC 'replyItem: Login-LAT-Group' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.
 4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {28}( 1.3.6.1.4.1.3317.4.3.1.24 NAME 'radiusLoginLATNode' D
 ESC 'replyItem: Login-LAT-Node' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {29}( 1.3.6.1.4.1.3317.4.3.1.25 NAME 'radiusLoginLATPort' D
 ESC 'replyItem: Login-LAT-Port' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {30}( 1.3.6.1.4.1.3317.4.3.1.26 NAME 'radiusLoginLATService
 ' DESC 'replyItem: Login-LAT-Service' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {31}( 1.3.6.1.4.1.3317.4.3.1.27 NAME 'radiusLoginService' D
 ESC 'replyItem: Login-Service' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {32}( 1.3.6.1.4.1.3317.4.3.1.28 NAME 'radiusLoginTCPPort' D
 ESC 'replyItem: Login-TCP-Port' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {33}( 1.3.6.1.4.1.3317.4.3.1.29 NAME 'radiusPasswordRetry' 
 DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SING
 LE-VALUE )
olcAttributeTypes: {34}( 1.3.6.1.4.1.3317.4.3.1.30 NAME 'radiusPortLimit' DESC
  'replyItem: Port-Limit' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {35}( 1.3.6.1.4.1.3317.4.3.1.49 NAME 'radiusProfileDn' DESC
  '' EQUALITY distinguishedNameMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 SING
 LE-VALUE )
olcAttributeTypes: {36}( 1.3.6.1.4.1.3317.4.3.1.31 NAME 'radiusPrompt' DESC ''
  EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALU
 E )
olcAttributeTypes: {37}( 1.3.6.1.4.1.3317.4.3.1.50 NAME 'radiusProxyToRealm' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {38}( 1.3.6.1.4.1.3317.4.3.1.51 NAME 'radiusReplicateToReal
 m' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 S
 INGLE-VALUE )
olcAttributeTypes: {39}( 1.3.6.1.4.1.3317.4.3.1.52 NAME 'radiusRealm' DESC '' 
 EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE
  )
olcAttributeTypes: {40}( 1.3.6.1.4.1.3317.4.3.1.32 NAME 'radiusServiceType' DE
 SC 'replyItem: Service-Type' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {41}( 1.3.6.1.4.1.3317.4.3.1.33 NAME 'radiusSessionTimeout'
  DESC 'replyItem: Session-Timeout' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1
 .4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {42}( 1.3.6.1.4.1.3317.4.3.1.34 NAME 'radiusTerminationActi
 on' DESC 'replyItem: Termination-Action' EQUALITY caseIgnoreIA5Match SYNTAX 1
 .3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {43}( 1.3.6.1.4.1.3317.4.3.1.35 NAME 'radiusTunnelAssignmen
 tId' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
  )
olcAttributeTypes: {44}( 1.3.6.1.4.1.3317.4.3.1.36 NAME 'radiusTunnelMediumTyp
 e' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {45}( 1.3.6.1.4.1.3317.4.3.1.37 NAME 'radiusTunnelPassword'
  DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SIN
 GLE-VALUE )
olcAttributeTypes: {46}( 1.3.6.1.4.1.3317.4.3.1.38 NAME 'radiusTunnelPreferenc
 e' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {47}( 1.3.6.1.4.1.3317.4.3.1.39 NAME 'radiusTunnelPrivateGr
 oupId' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {48}( 1.3.6.1.4.1.3317.4.3.1.40 NAME 'radiusTunnelServerEnd
 point' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {49}( 1.3.6.1.4.1.3317.4.3.1.41 NAME 'radiusTunnelType' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {50}( 1.3.6.1.4.1.3317.4.3.1.42 NAME 'radiusVSA' DESC '' EQ
 UALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {51}( 1.3.6.1.4.1.3317.4.3.1.43 NAME 'radiusTunnelClientEnd
 point' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {52}( 1.3.6.1.4.1.3317.4.3.1.53 NAME 'radiusSimultaneousUse
 ' DESC 'checkItem: Simultaneous-Use' SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SIN
 GLE-VALUE )
olcAttributeTypes: {53}( 1.3.6.1.4.1.3317.4.3.1.54 NAME 'radiusLoginTime' DESC
  '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-V
 ALUE )
olcAttributeTypes: {54}( 1.3.6.1.4.1.3317.4.3.1.55 NAME 'radiusUserCategory' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {55}( 1.3.6.1.4.1.3317.4.3.1.56 NAME 'radiusStripUserName' 
 DESC '' SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {56}( 1.3.6.1.4.1.3317.4.3.1.57 NAME 'dialupAccess' DESC ''
  EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALU
 E )
olcAttributeTypes: {57}( 1.3.6.1.4.1.3317.4.3.1.58 NAME 'radiusExpiration' DES
 C 'checkItem: Expiration' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466
 .115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {58}( 1.3.6.1.4.1.3317.4.3.1.59 NAME 'radiusCheckItem' DESC
  'checkItem: $GENERIC$' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.26 )
olcAttributeTypes: {59}( 1.3.6.1.4.1.3317.4.3.1.60 NAME 'radiusReplyItem' DESC
  'replyItem: $GENERIC$' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.26 )
olcAttributeTypes: {60}( 1.3.6.1.4.1.3317.4.3.1.61 NAME 'radiusNASIpAddress' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {61}( 1.3.6.1.4.1.3317.4.3.1.62 NAME 'radiusReplyMessage' D
 ESC 'replyItem: Reply-Message' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.26 )
olcObjectClasses: {0}( 1.3.6.1.4.1.3317.4.3.2.1 NAME 'radiusprofile' DESC '' S
 UP top AUXILIARY MUST cn MAY ( radiusArapFeatures $ radiusArapSecurity $ radi
 usArapZoneAccess $ radiusAuthType $ radiusCallbackId $ radiusCallbackNumber $
  radiusCalledStationId $ radiusCallingStationId $ radiusClass $ radiusClientI
 PAddress $ radiusFilterId $ radiusFramedAppleTalkLink $ radiusFramedAppleTalk
 Network $ radiusFramedAppleTalkZone $ radiusFramedCompression $ radiusFramedI
 PAddress $ radiusFramedIPNetmask $ radiusFramedIPXNetwork $ radiusFramedMTU $
  radiusFramedProtocol $ radiusCheckItem $ radiusReplyItem $ radiusFramedRoute
  $ radiusFramedRouting $ radiusIdleTimeout $ radiusGroupName $ radiusHint $ r
 adiusHuntgroupName $ radiusLoginIPHost $ radiusLoginLATGroup $ radiusLoginLAT
 Node $ radiusLoginLATPort $ radiusLoginLATService $ radiusLoginService $ radi
 usLoginTCPPort $ radiusLoginTime $ radiusPasswordRetry $ radiusPortLimit $ ra
 diusPrompt $ radiusProxyToRealm $ radiusRealm $ radiusReplicateToRealm $ radi
 usServiceType $ radiusSessionTimeout $ radiusStripUserName $ radiusTerminatio
 nAction $ radiusTunnelClientEndpoint $ radiusProfileDn $ radiusSimultaneousUs
 e $ radiusTunnelAssignmentId $ radiusTunnelMediumType $ radiusTunnelPassword 
 $ radiusTunnelPreference $ radiusTunnelPrivateGroupId $ radiusTunnelServerEnd
 point $ radiusTunnelType $ radiusUserCategory $ radiusVSA $ radiusExpiration 
 $ dialupAccess $ radiusNASIpAddress $ radiusReplyMessage ) )
olcObjectClasses: {1}( 1.3.6.1.4.1.3317.4.3.2.2 NAME 'radiusObjectProfile' DES
 C 'A Container Objectclass to be used for creating radius profile object' SUP
  top STRUCTURAL MUST cn MAY ( uid $ userPassword $ description ) )

Eingespielt wird es mit:

1
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f freeradius_schema.ldif

Die Objektdefinitionen geben durch ihren Namen schon einen Hinweis darauf, was noch alles möglich ist. Internetprovider setzen deswegen oft genau auf dieses Protokoll.

Freeradius für die Nutzung von LDAP konfigurieren

Falls noch nicht geschehen, muss freeradius zunächst installiert werden. Bei Debian und seinen Derivaten tut es ein Einzeiler:

1
apt-get install freeradius

Jetzt sind einige Konfigurationsdateien zu bearbeiten:

/etc/freeradius/modules/ldap
1
2
3
4
5
6
7
8
server = "localhost"
identity = "cn=admin,dc=domain,dc=tld"
password = <secret>
basedn = "ou=test,dc=domain,dc=tld"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
base_filter = "(objectclass=radiusprofile)"
access_attr = "dialupAccess"
password_attribute = userPassword

dc=domain,dc=tld ist natürlich an den eigenen LDAP anzupassen. Der Binduser unter „identity“ muss Lesezugriff auf Attribute des Radius-Schemas haben. Diese müssen in der Regel extra gewährt / konfiguriert werden, eigentlich sollte man das nicht so gerne über den Hauptadmin des Baumes lösen.

/etc/freeradius/sites-enabled/default & /etc/freeradius/sites-enabled/inner-tunnel

Vor folgende Zeilen in beiden Dateien die Kommentarzeichen entfernen (Abschnitt authorize / authenticate):

1
2
3
4
ldap
Auth-Type LDAP {
   ldap
}

Jetzt kann man beide Dienste neu starten:

1
2
service slapd restart
service freeradius restart

Testen des Einstellungen

Nun kann man überprüfen, ob das Login gegen LDAP funktioniert:

1
radtest "test_ldap_user" "test_ldap_passwort" localhost 18120 "secret"

secret findet man in /etc/freeradius/clients.conf in der Sektion „localhost“. Wenn man von weiteren IPs aus authentifizieren möchte, muss man einfach für jeden Rechner einen neuen Block anlegen. Vorkonfiguriert ist bei Debian und Derivaten für localhost „testing123“. Wenn alles klappt, sollte die Ausgabe etwa so aussehen:

1
2
3
4
5
6
7
Sending Access-Request of id 213 to 127.0.0.1 port 1812
	User-Name = "<test_ldap_user>"
	User-Password = "<test_ldap_passwort>"
	NAS-IP-Address = 127.0.0.1
	NAS-Port = 18120
	Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=213, length=20

Wichtig ist das Access-Accept packet am Schluss. Klappt es aus irgendwelchen Gründen nicht, gibt es ein Access-Reject packet.

Hardwareempfehlungen

Ich empfehle meist keine Hardware. Ich habe eine Idee, was ein Schulnetzwerk können sollte und formuliere Anforderungen, die dann Fachleute umzusetzen haben. Leider setzen sich dabei in den Ausschreibungen oft Firmen mit entsprechendem Vertriebsapparat durch – die ihr Zeug dann zu Preisen vertickern, die die Kosten ebendieses Vertriebsapparates dann wieder einspielen müssen. In Firmen ist das relativ egal, weil dort andere Möglichkeiten für steuerliche Abschreibungen bestehen. Wenn man dann den 600,- Euro Accesspoint gegen das mit offener Firmware versehene halb so teure Gerät legt und misst, ist der preisliche Abstand doch oft wesentlich größer als der technische. Der 600-Euro-Accesspoint mit seinem Cloudcontroller kostet dann oft zusätzlich jährliche Lizenzgebühren – da muss man schon sehr genau rechnen. Das ist nur ein Beispiel.

Oft habe ich mit Schulen zu tun, die möglichst schnell ein Ergebnis und Verbesserungen sehen wollen und das durch z.B. Förderverein finanzieren. Auch wenn wir hier in der Region parallel einen Medienentwicklungsplan vorantreiben, drängt dann oft die Zeit. Wenn ich bei knappen Budget in solchen Kontexten Empfehlungen ausspreche, muss ich schauen, wie viel pädagogischer Mehrwert mit der Summe möglich ist, die mir genannt wird.

Über die Jahre lande ich dabei immer wieder bei bestimmten Geräten, die sich darüberhinaus auch problemlos in eine große Lösung eines Medienentwicklungsplanes integrieren lassen. Dabei handelt es sich vorwiegend um Netzinfrastrukturgeräte wie Switche, Accesspoints oder Server, teilweise aber auch um Endgeräte. Ich präsentiere hier einmal eine kleine Auswahl:

1. WLAN-Komponenten

Cisco WAP321 (Accesspoint)

Der Cisco WAP321 ( ca. 180,- Euro) und sein größerer Bruder, der WAP371 (ca. 240,- Euro), werden wahrscheinlich von Linksys in Lizenz für Cisco gebaut ( langjährige Admins hören da die Alarmglocken ). Sie haben fast alles, was man sich im schulischen Bereich wünscht, z.B.:

  • VLANs + MultiSSID (separierbare Netze für Lehrkräfte, Schüler, Gäste usw.)
  • Dualband (2 und 5 Ghz)
  • eine hohe Reichweite
  • eine dynamische Anpassung der Funkleistung
  • der WAP371 beherrscht zusätzlich den neuen ac-WLAN-Standard
  • Spezifizierung für 32 Geräte (mehr ist im schulischen Umfeld oft auch nicht sinnvoll)
  • Speisung über das Netzwerkkabel (PoE)

Die Besonderheit der Geräte ist ihre Clusterfähigkeit: Man kann acht APs zu einem Cluster zusammenschließen. Egal auf welchen Gerät ich Änderungen vornehme – diese Einstellungen werden von allen Geräten des Clusters übernommen. Wenn eine Schule mit maximal acht Geräten abzudecken ist (z.B. eine zweizügige Grundschule), können die Ciscos je nach Gebäudetopologie eine gute, kostengünstige Wahl sein.

Benötigt wird zu Speisung ein PoE-fähiger Switch oder ein Injektor (Switch würde ich vorziehen). Bei Nachrüstung z.B.: Netgear GS108P (versorgt vier APs). Die gesamte Serie ist stabil verarbeitet.

Ubiquiti Networks (WLAN System)

Ubiquiti ist eine solide, controllerbasierte WLAN-Lösung zu moderaten Preisen. Genau wie bei den Ciscos (s.o.) kann man mehrere Geräte an einer Stelle konfigurieren. Der Controller ist in Software realisiert, aber unlimitiert was die Anzahl der verwaltbaren Geräte angeht und für Linux sowie Windows verfügbar. Die Software wird nur für die Konfiguration benötigt, nicht für den Betrieb, d.h. die APs vergessen ihre Einstellungen nicht, wenn der Controller oder die Internetverbindung zu ihm ausfällt. Ubiquiti ist damit sehr gut auch für größere Schulen erweiterbar, jedoch völlig ungeeignet, wenn mehrere Standorte zentral gemanaged werden müssen (Schulträgerlösung). Die Accesspoints kommen in der Regel mit einem passenden Injektor, können aber auch über PoE+-fähige Switche versorgt werden (PoE+ ist wichtig). Durch den Verzicht auf teures Marketing und den Einsatz von Linuxfirmware sowie den freien Controller spart man viel Geld mit dem Nachteil nur standortweise zentral managen zu können. Preis für die Accesspoints: 60-250 Euro.

2. Switch

Zyxel GS1910-24

Es gibt keinen mir bekannten Switch am Markt, der ein derart abartig gutes Preis-/Leistungsverhältnis bietet. Er kostet ca. 110,- Euro. Features:

  • kann zwei 10GB-fähige optische Transceiver aufnehmen (Glasfaser)
  • ist voll gemanaged (eigene Oberfläche, kann in verschiedene virtuelle Switche aufgeteilt werden, z.B. Verwaltung/pädagogisches Netz – ideal für kleine Grundschulen)
  • ist lüftlerlos und damit auch für Räume mit Publikumsverkehr geeignet

Die Kiste kann mit den HPs, die ich im Einsatz habe, voll mithalten. Zum Vergleich:

  • 10 GB-Verbindung mit HP-Hardware: 9000,- Euro (inkl. Switche)
  • 10 GB-Verbindung mit Zyxel-Hardware: weit unter 1000,- Euro (inkl. Switche)

Wenn das Ding in fünf Jahren ausfällt, ist es fast egal, dass die HPs als deutlich robuster gelten.

3. Gebrauchtware

Es kommen zurzeit massig hervorragende Gebrauchtgeräte auf den Markt. Diese bringen einen i5-Prozessor der ersten Generation mit, haben 4GB RAM, sind mit Windows 7 Professional ausgestattet und viel besser verarbeitet als gängige Consumerware der heutigen 600-Euro-Klasse.  Zu Preisen ab 250,- für Notebooks (inkl. neuem Akku) und ca. 200,- Euro für Desktops erhält man Geräte, die alles wichtige im Netz mitmachen, vernünftige BIOS-Features aufweisen (z.B. WOL), das verschüttete Getränk auf der Tastatur vertragen und, und, und … Für Videoschnitt und CAD würde ich natürlich andere Geräte kaufen.

Nutzungsvereinbarung WLAN (Beispiel)

Ich habe kürzlich eine Demonutzungsvereinbarung für die Nutzung des WLAN mit eigenen Geräten (BYOD) an Schulen entworfen. Sie basiert auf diesem Text, hat aber nicht mehr viel mit ihm gemein. Ich habe versucht, möglichst verständlich und schülerbezogen zu formulieren. Im Prinzip steht da nichts „Böses“ drin, was man nicht auch in gängigen Mobilfunkverträgen wiederfindet. Es ist ein Platzhalter <Die Schule> zum Einsetzen des eigenen Schulnamens vorhanden, den man durch Suchen&Ersetzen an die eigene Schule anpassen kann. Wie immer gilt:

Jede Art von Dokumenten mit rechtlicher Wirkung sind immer durch einen Juristen überprüfen zu lassen. Das gilt umso mehr, als dass jedes Bundesland über eigene Datenschutzrichtlinien verfügt!

… demnach werde ich in jedem Fall diese Nutzungsvereinbarung noch unserem Team vom Landesdatenschutzbeauftragten vorlegen. Inhaltlich kann man dazu das ein oder andere sagen. Der konkreten Schule ging es darum, die Nutzung von mitgebrachten Laptops und Tablet-PCs zu gestatten. Handys sind explizit nicht gewünscht. Aber da kann man ja die jeweilige Formulierung auf die eigene Schule zuschneiden.

Notwendig ist so eine Nutzungsvereinbarung aus meiner Sicht vor allem wegen Dingen wie „Störerhaftung„, aber natürlich auch aus Datenschutzgründen. Solche Regelungen sind wie immer völlig unnötig, so lange nichts passiert. Das ist so wie mit Erste-Hilfe-Kursen und Sicherheitsbelehrungen.

Im Wortlaut:

Nutzungsvereinbarung

über die Nutzung des hausinternen Internetzugangs über WLAN

 

Vorbemerkung:

Wenn wir dir als Schule unseren Netzzugang zur Verfügung stellen, möchten wir von dir fair behandelt werden. Außerdem müssen wir als Schule sicherstellen, dass nicht wir haften, wenn mit unserem Netzzugang Dinge geschehen, die nicht legal sind.

Von z.B. einer Sperrung oder Störung unserer Internetverbindung wären nämlich viele Menschen betroffen. Wenn wir dir Netzzugang gewähren, müssen wir dir also vertrauen und uns auf dich verlassen können. Daher bekommst du diese Möglichkeit nur, wenn du dich mit den Inhalten dieser Nutzungsvereinbarung einverstanden erklärst. Falls du etwas nicht verstehst oder Fragen hast, dann wende dich einfach an uns.

 1. Gestattung der unentgeltlichen Mitbenutzung

<Die Schule> betreibt einen Internetzugang über WLAN. Sie gestattet dir Mitbenutzung des WLAN-Zugangs zum Internet, solange du dieser Schule angehörst. Die Mitbenutzung kostet dich nichts, kann dir aber jederzeit wieder untersagt werden, wenn du z.B. gegen diese Nutzungsvereinbarung verstößt. Das Schülernetz steht dir nur an ausgewählten Orten zur Verfügung.

Du darfst nicht deinen Freunden oder Bekannten die Nutzung des WLANs über deine Geräte gestatten. Das ist auch in deinem Interesse, da du für alle Handlungen, die über deine Zugangsdaten vorgenommen werden, verantwortlich bist.

<Die Schule> ist jederzeit berechtigt, den Betrieb des WLANs ganz, teilweise oder zeitweise einzustellen, weitere Mitnutzer zuzulassen und den Zugang der berechtigten Personen ganz, teilweise oder zeitweise zu beschränken oder auszuschließen.

<Die Schule> behält sich insbesondere vor, nach eigenem Ermessen und jederzeit den Zugang auf bestimmte Seiten oder Dienste über das WLAN zu sperren (z.B. gewaltverherrlichende, pornographische oder kostenpflichtige Seiten).

 2. Zugangsdaten

Sämtliche Zugangsdaten (Benutzername sowie Passwort) sind nur zu deinem persönlichen Gebrauch bestimmt und dürfen in keinem Fall an andere Personen weitergegeben werden. Du verpflichtest dich, deine Zugangsdaten geheim zu halten. <Die Schule> hat jederzeit das Recht, Zugangscodes zu ändern.

3. Art der Nutzung

Du darfst das WLAN nur zu schulischen Zwecken mit Geräten nutzen, die mindestens über einen 7 Zoll großen Bildschirm oder Touchscreen verfügen. Eine Nutzung mit deinem Handy ist außerhalb des Unterrichts nicht gestattet, da wir dann nicht überprüfen, inwieweit du ggf. gegen das an unserer Schule grundsätzliche Handyverbot verstößt. Im Unterricht darfst du nach Anweisung durch deine Lehrkraft von dieser Regelung abweichen.

 4. Hinweise, Gefahren der WLAN-Nutzung

<Die Schule> weist dich darauf hin, dass der unter Nutzung des WLANs hergestellte Datenverkehr unverschlüsselt erfolgt. Die Daten können daher möglicherweise von Dritten eingesehen werden. Das WLAN ermöglicht nur den Zugang zum Internet. Die abgerufenen Inhalte unterliegen keiner Überprüfung durch <Die Schule>, insbesondere nicht daraufhin, ob sie Schadsoftware enthalten. Die Nutzung des WLANs erfolgt auf eigene Gefahr und auf dein eigenes Risiko. <Die Schule> weist ausdrücklich darauf hin, dass die Gefahr besteht, dass Schadsoftware (z.B. Viren, Trojaner, Würmer, etc.) bei der Nutzung des WLANs auf dein Endgerät gelangt.

 5. Verantwortlichkeit und Freistellung von Ansprüchen

Für die über das WLAN übermittelten Daten, die darüber in Anspruch genommenen kostenpflichtigen Dienstleistungen und getätigten Rechtsgeschäfte bist du selbst verantwortlich. Du bist verpflichtet, bei Nutzung des WLANs das geltende Recht einzuhalten. Du wirst insbesondere:

  • das WLAN weder zum Abruf noch zur Verbreitung von sitten- oder rechtswidrigen Inhalten nutzen
  • keine urheberrechtlich geschützten Güter widerrechtlich vervielfältigen, verbreiten oder zugänglich machen
  • die geltenden Jugendschutzvorschriften beachten
  • keine belästigenden, verleumderischen oder bedrohen den Inhalte versenden oder verbreiten
  • das WLAN nicht zur Versendung von Massen-Nachrichten (Spam) und / oder anderen Formen unzulässiger Werbung nutzen.

Erkennst du oder muss du erkennen, dass eine solche Rechtsverletzung und / oder ein solcher Verstoß vorliegt oder droht, weist du die Verantwortlichen der <Die Schule> auf diesen Umstand hin.

6. Dokumentation der Nutzung

Die Nutzung des WLAN durch die Benutzer wird durch die IT der <Die Schule> automatisch mit folgenden Daten dokumentiert

  1. Nutzerkennung

  2. Einlogdatum und -zeit

  3. aufgerufene Internetdienste bzw. -seiten

Diese Daten werden nur für eine Dauer von maximal drei Monaten gespeichert. Danach erfolgt eine automatische Löschung. Eine Herausgabe deiner Daten an Dritte (z.B. Strafverfolgungsbehörden) erfolgt nur gemäß der geltenden Rechtslage.

Wir, <Die Schule>, brauchen diese Daten, um bei Rechtsverstößen über unseren Internetzugang die verursachende Person ermitteln zu lassen. Wir werden von uns aus keine anlasslose Prüfung oder systematische Auswertung dieser Daten vornehmen.

Schülerinnen und Schüler:

Ich erkenne die Nutzungsvereinbarung an.

_______________________________________________________ (Ort, Datum, Unterschrift)

Einwilligung in die Datenspeicherung;

Ich habe verstanden, welche Daten <Die Schule> dabei über mich zu welchem Zweck speichert und stimme dieser Speicherung zu. Ich kann die Zustimmung formlos und schriftlich jederzeit widerrufen. (Allerdings sind wir dann gezwungen, deinen Zugang wieder zu deaktivieren.)

_______________________________________________________ (Ort, Datum, Unterschrift)

Zusätzlich: Erziehungsberechtigte bei Schülerinnen und Schülern unter 18 Jahren

Ich erkenne die Nutzungsbedingungen an.

_______________________________________________________ (Ort, Datum, Unterschrift)

Einwilligung in die Datenspeicherung;

Ich habe verstanden, welche Daten <Die Schule> dabei über mein Kind zu welchem Zweck speichert und stimme dieser Speicherung zu. Ich kann die Zustimmung jederzeit mit der Folge der Deaktivierung des WLAN-Zuganges für mein Kind formlos und schriftlich widerrufen.

_______________________________________________________ (Ort, Datum, Unterschrift)

Quellen:

[1] http://www.erfolgreiche-gastgeber.de

[2] DTV-Nutzungsvereinbarung „WLAN“

Für diesen Beitrag gilt nicht die auf riecken.de übliche BY-NC-SA-Lizenz, da der Text (vgl. Quellen) stellenweise Formulierung aus frei verfügbaren Quellen aufgreift, die leider nicht unter einer CC-Lizenz stehen.

BYOD – Gedankensplitter

Die Situation:

  • es gibt Handys an Schulen, die von SuS mitgebracht werden
  • die Handys unterscheiden sich stark in ihrer Funktionalität und Vertragsmodalitäten entsprechend des sozialen Status der Elternhäuser
  • nicht alle SuS verfügen über ein Handy, welches internetfähig ist
  • in der Regel ist die Verwendung auf dem Schulgelände per Hausordnung untersagt
  • die Regel wird nicht eingehalten und ist kaum durchzusetzen
  • es landen Fotos, Filmdokumente usw. aus der Schule in sozialen Netzwerken
  • bei Cybermobing spielen digitale Endgeräte eine Schlüsselrolle
  • das schulische WLAN steht SuS in der Regel nicht offen

Persönliche Gedanken:

Die positiven Aspekte der Verwendung von Handys im Unterricht sind nicht nachgewiesen. Jubelschreie und Erfolgsmeldungen im Internet zeigen keine Produkte im Vergleich zu Produkten klassischer Lernarrangements, sondern besitzen in der Regel einen technoiden Fokus, z.B. den „Bildschirminhalt des iPads an einen Beamer übertragen“, Appempfehlungen, Administrationserleichterungen, Dateiexport aus dem Tablet (Seitenhieb: der ohne externe Dienste nicht funkioniert). Es gibt erste, zögerliche Vorreiter auf diesem Gebiet. Ich meine aber zu erkennen, dass wesentliche Effekte nicht mit iDingens, sondern in der Kombinationen von iDingens mit kollaborativen Web2.0-Tools erzielt werden. Finde ich alles wichtig und gut – es hat aber nichts, bzw. für mich noch viel zu wenig mit Unterichtsqualität zu tun.

Die Zukunft

  • mobile Endgeräte werden in der Gesellschaft mehr und mehr zur Selbstverständlichkeit werden
  • androidbetriebene Geräte ermöglichen den Bau günstigerer Devices und damit den Zugang von mehr Menschen zur digitalen Welt
  • für mich ist es eine Frage der Zeit, bis ein generelles Handyverbot an Schulen von Verwaltungsgerichten kassiert wird (sogar in Bayern). Das wird über (Großstadt-)Elternrechte laufen.

Reaktionsoptionen

Man kann sagen: „Das ist alles so schrecklich. Wir reden nie mehr miteinander, sondern kommunizieren bald nur noch über Facebook & Co. Ich als Lehrer bin bald Freiwild und muss mich immer und überall filmen und fotografieren lassen. Die Welt is schlecht“ – das kann man alles sagen. Originalzitat aus dm Lehrerzimmer gestern: „Du kannst den Piraten ja nicht nahestehen, du redest ja noch mit uns.

Ich habe auf dem letzten Modul meines Trainer-Trainings etwas erprobt. Die Grundidee besteht darin, zu sagen: „Ja. Es gibt Handys. Ja. Die Verbreitung dieser Geräte wird zunehmen. Ja. Wir werden das Zeug bald nicht mehr verbieten dürfen.“

Ich möchte gerne einen Vertrag mit Schülern, Eltern und Lehrkräften erarbeiten, der wesentliche Dinge der Nutzung digitaler Endgeräte an der Schule regelt und in einer Art „Festakt“ von allen Beteiligten Gremien unterschrieben wird. Wer an der Schule ein Gerät einschaltet, erkennt damit den Vertrag an. So ein Vertrag kann:

  1. Regeln, wann und wie die Nutzung digitaler Geräte erwünscht ist
  2. Welche Konsequenzen bei Fehlverhalten eintreten (SuS könnten bei der Art der Konsequenz natürlich mitbestimmen)
  3. Überlegungen dazu anstellen, inwieweit solche Geräte dann auch in der Schule versichert sind, wenn sie als „Unterrichtsmittel“ zugelassen werden
  4. In der Verhandlungsphase ein Bewusstsein für die Ängste und Chancen schaffen, die mit diesen Geräten verbunden sind.
  5. Eine pädagogische und keine rechtliche Diskussionsgrundlage im Falle von Grenzüberschreitungen ermöglichen
  6. Bisher demokratische gemeinte Strukturen realdemokratisch an Schulentwicklung beteiligen – deswegen sollte es schon ernst gemeint und kein Feigenblatt zum Transport der ausschließlichen Bedürfnisse von Lehrkräften sein
  7. Einblicke in politische Arbeit geben
  8. Die Schule in der Öffentlichkeit als „modern“ dastehen lassen
  9. […]

Nein, ein solcher Vertrag ist nicht rechtlich bindend. Aber darum geht es ja auch gar nicht. Es geht darum, mit einem nicht durchsetzbaren, rechtlichen Rahmen pädagogisch umzugehen. Ich würde da auch keinen Juristen heranlassen.

Ich selbst…

… baue ja ein WLAN für unsere Schule auf. Ich habe das Glück, über eine Schulserverlösung zu verfügen, mit der ich Schritte gehen kann zwischen: „Keiner darf!“ und „Jeder darf sofort alles!“. Das Bedürfnis nach einem offenen WLAN mag für den modernen Web2.0-Lehrer zwar individuell groß sein – wenn das System aber ggf. eigenmächtige „Öffnungen“ im Falle von Missbrauch nicht auffangen kann, ist u.U. Erde für Jahre verbrannt. Ich habe vor, folgende Schritte zu gehen:

  1. Offenes WLAN für Lehrkräfte und Schulgeräte in möglichst allen Gebäudeteilen
  2. Zugriff auf das Intranet der Schule für Schüler mit Anmeldung an einem Hotspot
  3. Freigabe weniger ausgewählter Seiten für Schüler
  4. Prinzipielle Freischaltung des Internet in bestimmten Gebäudeteilen für SuS. Dabei kann die Lehrkraft bestimmen, welcher Schüleraccesspoint ein- oder abgeschaltet wird.
  5. Einen Vertrag aushandeln
  6. Das WLAN generell öffnen

WLAN-Planungen in der Schule

Plant man ein WLAN in der Schule, so hat man mehrere Möglichkeiten. Dabei setze ich einmal voraus, dass grundsätzliche Funktionen, z.B. eine zentrale Wartung (alle Accesspoints zeitgesteuert deaktivieren/aktivieren, Gastlogins über z.B. Hotspotfähigkeit, möglicher Aufbau eines Meshnetzes – das ist übrigens die Zukunft – usw.) umgesetzt werden. Außerdem kalkuliere ich, dass irgendwann zwischen 200-300 Geräte in diesem Netzwerk gleichzeitig aktiv, d.h. nicht nur angemeldet sind.

Der Wunsch

Man lässt eine Firma anrücken, die über entsprechende Messtechnik verfügt, um die gesamte Schule auszuleuchten. Auf diese Weise ist relativ schnell klar, wo welche Accesspoints gesetzt werden müssen, um eine gute Abdeckung zu erreichen. Je nach Ergebnis des Messprotokolls sind ggf. weitere Installationsarbeiten notwendig. Nicht überall liegen die erforderlichen Netzwerkkabel und ggf. zusätzliche Stromversorgungen. Ich bin übrigens kein Freund von PoE-Lösungen, d.h. der Accesspoint wird über das Netzwerkkabel mit Strom versorgt, da die dafür erforderlichen Switche nicht günstig sind und man sich eine mögliche Fehlerquelle mehr auf das Netzwerkkabel bringt. Ein schönes Nym-Kabel transportiert bis zu 3600 Watt und taugt dann auch für die Versorgung von Beamern, AppleTV oder sowas… Ein gute Firma wird dann Businessaccesspoints von Cisco, Lancom , Zyxel, Netgear usw. setzen. Die Einstiegsklasse fängt bei solchen Geräten um die 300-400 Euro je Gerät an – dafür nehmen sie aber auch wirklich 90-100 Clients in ihre Funkzelle auf und halten.

Je nach Größe der Schule ist man recht flott bei 20-30.000 Euro – für ein großes Schulzentrum können es auch 50.000 Euro sein. Dafür hat man etwas Anständiges, um das man sich weder bei der Planung noch bei der späteren Wartung großartig kümmern muss.Wenn man auf eine gute Dokumentation achtet, kann man ggf. sogar die Firma wechseln, falls irgendwann irgendetwas nicht passt.

Die Realität

  • Es gibt jenseits größerer Technologiezentren kaum Firmen, die über ein entsprechendes Know-How verfügen, potentiell weit über 100 Geräte per WLAN zu versorgen. Sie einzufliegen nützt nichts, da man immer noch Partner vor Ort für die Wartung braucht. Die Kosten für Wartungsverträge mit SLAs übernimmt kaum ein Schulträger, weil das seine finanzielle Möglichkeiten weit überschreitet.
  • Ab 20.000 Euro Investitionskosten – teilweise deutlich darunter – muss man schon sehr gut begründen, wenn man so etwas gebaut haben möchte. Zwischen Antrag und Realisierung werden Jahre mit Technologiesprüngen liegen, die die vorliegende Planung bald überholen.
  • Extern geplante Netze sind auf Zeit geplante Netze. Sie werden irgendwann selbst von Technologiesprüngen überholt werden
  • Bei der Netzwerkplanung sind oft mehrere Gewerke beteiligt: Elektriker, Netzwerkfirmen, Hardwarefirmen – oft passt hinterher nix mehr zusammen, keiner ist’s gewesen und Schuld hat immer der andere. Da es dann keine Doku gibt, vergehen oft Stunden, bis einfachste Probleme gelöst werden können – das fängt schon bei Passwörtern für Konfigurationsoberflächen an.
  • Als technisch Ahnungsloser wird man die Zeit, die man sonst mit Bastelei (und Lernzuwachs) verbracht hätte, mit Telefonieren, Mahnen, Hinterherlaufen, Schimpfen und Genervtsein verbringen.

Unbedingte Voraussetzung beim Aufbau eines solchen Netzes durch eine Firma ist externe Beratung. Die projektiert ggf. auch konkrete Pflichtenhefte für die einzelnen Gewerke und koordiniert während der Bauphase. Natürlich sind da entsprechende Stundensätze zu kalkulieren – aber das machen auch viele Hausbauer m.E. falsch: Der externe Gutachter wird gespart, weil das Gutachten 3000-4000 Euro kostet. Bei einer angenommenen Bausumme von 200.000 Euro für ein EFH ist dieser Betrag aber eher gering und spart unter Umständen durch Vermeidung von Planungsfehlern Nachbesserungen, die schnell ein Vielfaches der Kosten für einen Gutachter betragen.

Der Pragmatismus

Der Pragmatismus – vor allem der finanzielle – besteht darin, Dinge selbst zu tun, die man selbst tun kann. Dazu gehören nicht:

  • das Verlegen von 230V-Leitungen und Setzen von Steckdosen
  • das Durchbohren von (Brandschutz-)Wänden zur Verlegung von Netzwerkkabeln
  • die gemeinsame Verlegungen von Netzwerkkabeln und 230V-Leitungen in einem Kanal (es gibt aber Kabelkanäle mit Trennsteg)

Viele Hausmeister sind aber gelernte Elektriker und wissen über die VDE-Normen Bescheid. Sie dürfen in der Regel nicht selbst aktiv werden, können aber Arbeiten von Firmen kontrollieren. Dinge, die man selbst tun kann, beschränken sich also darauf, bereits vorhandene Installationen zu nutzen. Ab Netzwerk- oder Steckdose darf man mit einem fertig gekauften Gerät hantieren.

Kern meines Hantierens ist für mich zurzeit die kostenlose Routerdistribution DD-WRT. Es handelt sich um eine weitgehend freie Firmware, also eine Art Betriebssystem für Router. Es werden unzählige Modelle unterstützt. Hier kann man schauen, ob die vorhandene Hardware dazugehört. Das Schöne ist, dass DD-WRT auf jedem Router gleich aussieht – die Bedienung hängt also nicht mehr vom Typ des Routers ab. Mit DD-WRT erhalten viele günstige Router Funktionen, von denen wesentlich teurere Business-Accesspoints träumen – ich zähle hier mal die offensichtlichsten auf:

  • an den Switch eines modifizierten Routers könne weiter Router angesteckt werden (weiterer WLAN-Ausbau)
  • der Router kann als Accesspoint, als Repeater oder als Bridge konfiguriert werden – das ist gerade in schlecht ausgebauten Altbauten von fulminanter Bedeutung
  • Man kann eine Hotspotfunktionalität wie an Unis oder Hotels realisieren (der IServ bringt übriges fast alles dafür schon mit)
  • Viele Router können mit DD-WRT zeitgesteuert werden, d.h. das WLAN ist z.B. nachts oder an Wochenenden inaktiv
  • usw.

DD-WRT ist sehr gut in Englisch dokumentiert – auch deutschsprachige Foren gibt es. Für Linuxer ist es auch kein Problem, eine Zeitsteuerung für das WLAN zu integrieren. DD-WRT bringt eine Konsole mit, über die man via Script den WLAN-Chip ein und ausschalten kann. Ich habe dafür einen Cronjob auf unserem IServ erstellt, der das per Key-Auth auf fast jedem Router bei uns in der Schule erledigt. Oder man kann den WLAN-Schlüssel für die gesamte Schule zentral per Konsole setzen… Ich halte beides für einen Sicherheitsgewinn.

Ich habe zurzeit zwei Gerätetypen mit DD-WRT hier im Schulnetz im Einsatz: Den Linksys WRT54GL als Paradevertreter von Stabilität und Robustheit und den TP-Link TL-WR1043ND, den man mehr als „jungen Wilden“ bezeichnen kann. Beide werden von DD-WRT gut unterstützt, beim TP-Link muss man die Zeitsteuerung per Konsole nachrüsten, während sie beim WRT54G über die Oberfläche eingestellt werden kann. Beide funken nur m 2,4Ghz-Band – die nächsten Router bei mir werden auf jeden Fall dualbandfähig sein, also auch 5Ghz unterstützen. Der TP-Link funkt auch im N-Modus und erreicht hier übliche Übertragungsgeschwindigkeiten von 65-107Mbit/s, während der Linksys auf maximal 54Mbit/s kommt (G-Standard).

Konfigurationstipps:

  1. Weboberfläche nur per HTTPS zugänglich machen und auch die Statusseite von DD-WRT mit einem Passwort schützen
  2. SSH-Zugriff nur über Key-Auth
  3. Alle Router einer Schule sollten unter einer einheitlich SSID senden – dann klappt sogar „Handover“, bzw. man merkt nicht, dass man kurzzeitig beim AP-Wechsel keine IP hat. Ich kann fast durch das ganze Schulgebäude laufen ohne die WLAN-Verbindung zu verlieren. Zudem vermeiden man bei unerfahrenen Nutzern, dass sie mehrere Netzwerke einrichten müssen. Ist ein AP überlastet, sucht sich das Gerät zudem in der Regel einen anderen – wesentlich(!) weniger Fragen von Benutzern…
  4. N-Router sollten nur die AES-Verschlüsselung zulassen, da TKIP nur für WLAN-G spezifiziert ist und man so nicht die N-typischen hohen Datenraten erhält
  5. Die Router sollten ihre externe IP nach Möglichkeit per DHCP bekommen, weil ich so zentral am DHCP-Server bestimmen kann, wer welche IP erhält
  6. Ein extrem wichtiger Helfer beim Setzen der Accesspoints ist ein Handy mit einem WLAN-Analyzer. Den gibt es für alle gängigen Mobilplattformen.

Anderes Thema: Ist das meine Aufgabe?

Nein. Aber wenn ich möchte, dass mobiles Lernen möglich wird, kann ich entweder:

  • darauf warten, dass sich die unermüdlicher Forderer politisch durchsetzen, so dass der Schulträger zum Handeln gezwungen wird. Leider sehe ich wenig Einigkeit darüber, was denn der Standard sein soll oder in welchem Bereich er sich bewegt.
  • heute etwas tun, um die bestehende Situation konkret zu verbessern. Dazu bedarf es nichts außer der Bereitschaft in diesem technischen Bereich zu lernen – das Wissen dazu ist im Netz.
  • beides kombinieren

Realität ist, dass sich einzelne Lehrer zurzeit aus Not selbst etwas basteln, z.B. mit dem mitgebrachten Hotspot. Das kann ich auch und habe es lang so gemacht. Es nützt dem System Schule m.E. aber überhaupt nichts. Die Abhängigkeiten werden nur andere. Daten müssen irgendwo liegen, um ausgetauscht zu werden. Eine Schulcloud finde ich sympathischer als Web2.0-Dienste oder im beste Fall angemieteten Webspace.