Radiusserver gegen LDAP authentifizieren lassen

Allgemein

Die­ser Ein­trag basiert auf die­ser Ori­gi­nal­an­lei­tung. fre­e­ra­di­us ist ein Authen­ti­fi­zie­rungs­ser­ver, der nach außen das Radi­us­pro­to­koll bereit­stellt. Über die­ses Pro­to­koll kann man sich z.B. an einem WLAN anmel­den, ohne die Zugangs­da­ten für OpenLDAP oder jede belie­bi­ge ande­re Authen­ti­fi­zie­rungs­quel­le zu ken­nen und ver­tei­len zu müs­sen. Wenn ein zen­tra­ler Ver­zeich­nis­dienst kon­fi­gu­riert ist, wer­den z.B. sehr ein­fach Din­ge mög­lich wie ein kreis­wei­tes WLAN. In den Schu­len muss dann ledig­lich ein neu­es WLAN-Netz kon­fi­gu­riert wer­den, wel­ches gegen unse­ren zen­tra­len Radi­us authen­ti­fi­ziert und schon kann ich als Leh­rer der Schu­le A im Netz der Schu­le B z.B. bei Fort­bil­dung das WLAN nut­zen.

Radiusschema in OpenLDAP integrieren

Damit die Authen­ti­fi­zie­rung über Radi­us mit alle denk­ba­ren Funk­tio­nen klappt, soll­te man ein neu­es Sche­ma zu OpenLDAP hin­zu­fü­gen. Es funk­tio­niert auch ohne, nur kommt man bei spä­te­ren Erwei­te­rungs­w­üb­schen schnell an Gren­zen. Hier ist ein Sche­ma bereits vor­be­rei­tet (freeradius_schema.ldif), wel­ches fre­e­ra­di­us als Text­da­tei mit­bringt. Es lässt sich direkt über die Kon­so­le in cn=config ein­spie­len.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
dn: cn=freeradius,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: freeradius
olcAttributeTypes: {0}( 1.3.6.1.4.1.3317.4.3.1.1 NAME 'radiusArapFeatures' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-
 VALUE )
olcAttributeTypes: {1}( 1.3.6.1.4.1.3317.4.3.1.2 NAME 'radiusArapSecurity' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-
 VALUE )
olcAttributeTypes: {2}( 1.3.6.1.4.1.3317.4.3.1.3 NAME 'radiusArapZoneAccess' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {3}( 1.3.6.1.4.1.3317.4.3.1.44 NAME 'radiusAuthType' DESC '
 checkItem: Auth-Type' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115
 .121.1.26 SINGLE-VALUE )
olcAttributeTypes: {4}( 1.3.6.1.4.1.3317.4.3.1.4 NAME 'radiusCallbackId' DESC 
 'replyItem: Callback-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {5}( 1.3.6.1.4.1.3317.4.3.1.5 NAME 'radiusCallbackNumber' D
 ESC 'replyItem: Callback-Number' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {6}( 1.3.6.1.4.1.3317.4.3.1.6 NAME 'radiusCalledStationId' 
 DESC 'checkItem: Called-Station-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.
 1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {7}( 1.3.6.1.4.1.3317.4.3.1.7 NAME 'radiusCallingStationId'
  DESC 'checkItem: Calling-Station-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {8}( 1.3.6.1.4.1.3317.4.3.1.8 NAME 'radiusClass' DESC 'repl
 yItem: Class' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.2
 6 )
olcAttributeTypes: {9}( 1.3.6.1.4.1.3317.4.3.1.45 NAME 'radiusClientIPAddress'
  DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SIN
 GLE-VALUE )
olcAttributeTypes: {10}( 1.3.6.1.4.1.3317.4.3.1.9 NAME 'radiusFilterId' DESC '
 replyItem: Filter-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115
 .121.1.26 )
olcAttributeTypes: {11}( 1.3.6.1.4.1.3317.4.3.1.10 NAME 'radiusFramedAppleTalk
 Link' DESC 'replyItem: Framed-AppleTalk-Link' EQUALITY caseIgnoreIA5Match SYN
 TAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {12}( 1.3.6.1.4.1.3317.4.3.1.11 NAME 'radiusFramedAppleTalk
 Network' DESC 'replyItem: Framed-AppleTalk-Network' EQUALITY caseIgnoreIA5Mat
 ch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {13}( 1.3.6.1.4.1.3317.4.3.1.12 NAME 'radiusFramedAppleTalk
 Zone' DESC 'replyItem: Framed-AppleTalk-Zone' EQUALITY caseIgnoreIA5Match SYN
 TAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {14}( 1.3.6.1.4.1.3317.4.3.1.13 NAME 'radiusFramedCompressi
 on' DESC 'replyItem: Framed-Compression' EQUALITY caseIgnoreIA5Match SYNTAX 1
 .3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {15}( 1.3.6.1.4.1.3317.4.3.1.14 NAME 'radiusFramedIPAddress
 ' DESC 'replyItem: Framed-IP-Address' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {16}( 1.3.6.1.4.1.3317.4.3.1.15 NAME 'radiusFramedIPNetmask
 ' DESC 'replyItem: Framed-IP-Netmask' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {17}( 1.3.6.1.4.1.3317.4.3.1.16 NAME 'radiusFramedIPXNetwor
 k' DESC 'replyItem: Framed-IPX-Network' EQUALITY caseIgnoreIA5Match SYNTAX 1.
 3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {18}( 1.3.6.1.4.1.3317.4.3.1.17 NAME 'radiusFramedMTU' DESC
  'replyItem: Framed-MTU' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {19}( 1.3.6.1.4.1.3317.4.3.1.18 NAME 'radiusFramedProtocol'
  DESC 'replyItem: Framed-Protocol' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1
 .4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {20}( 1.3.6.1.4.1.3317.4.3.1.19 NAME 'radiusFramedRoute' DE
 SC 'replyItem: Framed-Route' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 )
olcAttributeTypes: {21}( 1.3.6.1.4.1.3317.4.3.1.20 NAME 'radiusFramedRouting' 
 DESC 'replyItem: Framed-Routing' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {22}( 1.3.6.1.4.1.3317.4.3.1.46 NAME 'radiusGroupName' DESC
  '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {23}( 1.3.6.1.4.1.3317.4.3.1.47 NAME 'radiusHint' DESC '' E
 QUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE 
 )
olcAttributeTypes: {24}( 1.3.6.1.4.1.3317.4.3.1.48 NAME 'radiusHuntgroupName' 
 DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {25}( 1.3.6.1.4.1.3317.4.3.1.21 NAME 'radiusIdleTimeout' DE
 SC 'replyItem: Idle-Timeout' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {26}( 1.3.6.1.4.1.3317.4.3.1.22 NAME 'radiusLoginIPHost' DE
 SC 'replyItem: Login-IP-Host' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.
 1466.115.121.1.26 )
olcAttributeTypes: {27}( 1.3.6.1.4.1.3317.4.3.1.23 NAME 'radiusLoginLATGroup' 
 DESC 'replyItem: Login-LAT-Group' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.
 4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {28}( 1.3.6.1.4.1.3317.4.3.1.24 NAME 'radiusLoginLATNode' D
 ESC 'replyItem: Login-LAT-Node' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {29}( 1.3.6.1.4.1.3317.4.3.1.25 NAME 'radiusLoginLATPort' D
 ESC 'replyItem: Login-LAT-Port' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {30}( 1.3.6.1.4.1.3317.4.3.1.26 NAME 'radiusLoginLATService
 ' DESC 'replyItem: Login-LAT-Service' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {31}( 1.3.6.1.4.1.3317.4.3.1.27 NAME 'radiusLoginService' D
 ESC 'replyItem: Login-Service' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {32}( 1.3.6.1.4.1.3317.4.3.1.28 NAME 'radiusLoginTCPPort' D
 ESC 'replyItem: Login-TCP-Port' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {33}( 1.3.6.1.4.1.3317.4.3.1.29 NAME 'radiusPasswordRetry' 
 DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SING
 LE-VALUE )
olcAttributeTypes: {34}( 1.3.6.1.4.1.3317.4.3.1.30 NAME 'radiusPortLimit' DESC
  'replyItem: Port-Limit' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {35}( 1.3.6.1.4.1.3317.4.3.1.49 NAME 'radiusProfileDn' DESC
  '' EQUALITY distinguishedNameMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 SING
 LE-VALUE )
olcAttributeTypes: {36}( 1.3.6.1.4.1.3317.4.3.1.31 NAME 'radiusPrompt' DESC ''
  EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALU
 E )
olcAttributeTypes: {37}( 1.3.6.1.4.1.3317.4.3.1.50 NAME 'radiusProxyToRealm' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {38}( 1.3.6.1.4.1.3317.4.3.1.51 NAME 'radiusReplicateToReal
 m' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 S
 INGLE-VALUE )
olcAttributeTypes: {39}( 1.3.6.1.4.1.3317.4.3.1.52 NAME 'radiusRealm' DESC '' 
 EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE
  )
olcAttributeTypes: {40}( 1.3.6.1.4.1.3317.4.3.1.32 NAME 'radiusServiceType' DE
 SC 'replyItem: Service-Type' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {41}( 1.3.6.1.4.1.3317.4.3.1.33 NAME 'radiusSessionTimeout'
  DESC 'replyItem: Session-Timeout' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1
 .4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {42}( 1.3.6.1.4.1.3317.4.3.1.34 NAME 'radiusTerminationActi
 on' DESC 'replyItem: Termination-Action' EQUALITY caseIgnoreIA5Match SYNTAX 1
 .3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {43}( 1.3.6.1.4.1.3317.4.3.1.35 NAME 'radiusTunnelAssignmen
 tId' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
  )
olcAttributeTypes: {44}( 1.3.6.1.4.1.3317.4.3.1.36 NAME 'radiusTunnelMediumTyp
 e' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {45}( 1.3.6.1.4.1.3317.4.3.1.37 NAME 'radiusTunnelPassword'
  DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SIN
 GLE-VALUE )
olcAttributeTypes: {46}( 1.3.6.1.4.1.3317.4.3.1.38 NAME 'radiusTunnelPreferenc
 e' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {47}( 1.3.6.1.4.1.3317.4.3.1.39 NAME 'radiusTunnelPrivateGr
 oupId' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {48}( 1.3.6.1.4.1.3317.4.3.1.40 NAME 'radiusTunnelServerEnd
 point' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {49}( 1.3.6.1.4.1.3317.4.3.1.41 NAME 'radiusTunnelType' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {50}( 1.3.6.1.4.1.3317.4.3.1.42 NAME 'radiusVSA' DESC '' EQ
 UALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {51}( 1.3.6.1.4.1.3317.4.3.1.43 NAME 'radiusTunnelClientEnd
 point' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {52}( 1.3.6.1.4.1.3317.4.3.1.53 NAME 'radiusSimultaneousUse
 ' DESC 'checkItem: Simultaneous-Use' SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SIN
 GLE-VALUE )
olcAttributeTypes: {53}( 1.3.6.1.4.1.3317.4.3.1.54 NAME 'radiusLoginTime' DESC
  '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-V
 ALUE )
olcAttributeTypes: {54}( 1.3.6.1.4.1.3317.4.3.1.55 NAME 'radiusUserCategory' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {55}( 1.3.6.1.4.1.3317.4.3.1.56 NAME 'radiusStripUserName' 
 DESC '' SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {56}( 1.3.6.1.4.1.3317.4.3.1.57 NAME 'dialupAccess' DESC ''
  EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALU
 E )
olcAttributeTypes: {57}( 1.3.6.1.4.1.3317.4.3.1.58 NAME 'radiusExpiration' DES
 C 'checkItem: Expiration' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466
 .115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {58}( 1.3.6.1.4.1.3317.4.3.1.59 NAME 'radiusCheckItem' DESC
  'checkItem: $GENERIC$' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.26 )
olcAttributeTypes: {59}( 1.3.6.1.4.1.3317.4.3.1.60 NAME 'radiusReplyItem' DESC
  'replyItem: $GENERIC$' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.26 )
olcAttributeTypes: {60}( 1.3.6.1.4.1.3317.4.3.1.61 NAME 'radiusNASIpAddress' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {61}( 1.3.6.1.4.1.3317.4.3.1.62 NAME 'radiusReplyMessage' D
 ESC 'replyItem: Reply-Message' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.26 )
olcObjectClasses: {0}( 1.3.6.1.4.1.3317.4.3.2.1 NAME 'radiusprofile' DESC '' S
 UP top AUXILIARY MUST cn MAY ( radiusArapFeatures $ radiusArapSecurity $ radi
 usArapZoneAccess $ radiusAuthType $ radiusCallbackId $ radiusCallbackNumber $
  radiusCalledStationId $ radiusCallingStationId $ radiusClass $ radiusClientI
 PAddress $ radiusFilterId $ radiusFramedAppleTalkLink $ radiusFramedAppleTalk
 Network $ radiusFramedAppleTalkZone $ radiusFramedCompression $ radiusFramedI
 PAddress $ radiusFramedIPNetmask $ radiusFramedIPXNetwork $ radiusFramedMTU $
  radiusFramedProtocol $ radiusCheckItem $ radiusReplyItem $ radiusFramedRoute
  $ radiusFramedRouting $ radiusIdleTimeout $ radiusGroupName $ radiusHint $ r
 adiusHuntgroupName $ radiusLoginIPHost $ radiusLoginLATGroup $ radiusLoginLAT
 Node $ radiusLoginLATPort $ radiusLoginLATService $ radiusLoginService $ radi
 usLoginTCPPort $ radiusLoginTime $ radiusPasswordRetry $ radiusPortLimit $ ra
 diusPrompt $ radiusProxyToRealm $ radiusRealm $ radiusReplicateToRealm $ radi
 usServiceType $ radiusSessionTimeout $ radiusStripUserName $ radiusTerminatio
 nAction $ radiusTunnelClientEndpoint $ radiusProfileDn $ radiusSimultaneousUs
 e $ radiusTunnelAssignmentId $ radiusTunnelMediumType $ radiusTunnelPassword 
 $ radiusTunnelPreference $ radiusTunnelPrivateGroupId $ radiusTunnelServerEnd
 point $ radiusTunnelType $ radiusUserCategory $ radiusVSA $ radiusExpiration 
 $ dialupAccess $ radiusNASIpAddress $ radiusReplyMessage ) )
olcObjectClasses: {1}( 1.3.6.1.4.1.3317.4.3.2.2 NAME 'radiusObjectProfile' DES
 C 'A Container Objectclass to be used for creating radius profile object' SUP
  top STRUCTURAL MUST cn MAY ( uid $ userPassword $ description ) )

Ein­ge­spielt wird es mit:

1
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f freeradius_schema.ldif

Die Objekt­de­fi­ni­tio­nen geben durch ihren Namen schon einen Hin­weis dar­auf, was noch alles mög­lich ist. Inter­net­pro­vi­der set­zen des­we­gen oft genau auf die­ses Pro­to­koll.

Freeradius für die Nutzung von LDAP konfigurieren

Falls noch nicht gesche­hen, muss fre­e­ra­di­us zunächst instal­liert wer­den. Bei Debi­an und sei­nen Deri­va­ten tut es ein Ein­zei­ler:

1
apt-get install freeradius

Jetzt sind eini­ge Kon­fi­gu­ra­ti­ons­da­tei­en zu bear­bei­ten:

/etc/freeradius/modules/ldap
1
2
3
4
5
6
7
8
server = "localhost"
identity = "cn=admin,dc=domain,dc=tld"
password = <secret>
basedn = "ou=test,dc=domain,dc=tld"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
base_filter = "(objectclass=radiusprofile)"
access_attr = "dialupAccess"
password_attribute = userPassword

dc=domain,dc=tld ist natür­lich an den eige­nen LDAP anzu­pas­sen. Der Bin­du­ser unter „iden­ti­ty” muss Lese­zu­griff auf Attri­bu­te des Radi­us-Sche­mas haben. Die­se müs­sen in der Regel extra gewährt / kon­fi­gu­riert wer­den, eigent­lich soll­te man das nicht so ger­ne über den Haupt­ad­min des Bau­mes lösen.

/etc/freeradius/sites-enabled/default & /etc/freeradius/sites-enabled/inner-tunnel

Vor fol­gen­de Zei­len in bei­den Datei­en die Kom­men­tar­zei­chen ent­fer­nen (Abschnitt aut­ho­ri­ze / authen­ti­ca­te):

1
2
3
4
ldap
Auth-Type LDAP {
   ldap
}

Jetzt kann man bei­de Diens­te neu star­ten:

1
2
service slapd restart
service freeradius restart

Testen des Einstellungen

Nun kann man über­prü­fen, ob das Log­in gegen LDAP funk­tio­niert:

1
radtest "test_ldap_user" "test_ldap_passwort" localhost 18120 "secret"

secret fin­det man in /etc/freeradius/clients.conf in der Sek­ti­on „local­host”. Wenn man von wei­te­ren IPs aus authen­ti­fi­zie­ren möch­te, muss man ein­fach für jeden Rech­ner einen neu­en Block anle­gen. Vor­kon­fi­gu­riert ist bei Debi­an und Deri­va­ten für local­host „testing123”. Wenn alles klappt, soll­te die Aus­ga­be etwa so aus­se­hen:

1
2
3
4
5
6
7
Sending Access-Request of id 213 to 127.0.0.1 port 1812
	User-Name = "<test_ldap_user>"
	User-Password = "<test_ldap_passwort>"
	NAS-IP-Address = 127.0.0.1
	NAS-Port = 18120
	Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=213, length=20

Wich­tig ist das Access-Accept packet am Schluss. Klappt es aus irgend­wel­chen Grün­den nicht, gibt es ein Access-Reject packet.

Hardwareempfehlungen

Ich emp­feh­le meist kei­ne Hard­ware. Ich habe eine Idee, was ein Schul­netz­werk kön­nen soll­te und for­mu­lie­re Anfor­de­run­gen, die dann Fach­leu­te umzu­set­zen haben. Lei­der set­zen sich dabei in den Aus­schrei­bun­gen oft Fir­men mit ent­spre­chen­dem Ver­triebs­ap­pa­rat durch — die ihr Zeug dann zu Prei­sen ver­ti­ckern, die die Kos­ten eben­die­ses Ver­triebs­ap­pa­ra­tes dann wie­der ein­spie­len müs­sen. In Fir­men ist das rela­tiv egal, weil dort ande­re Mög­lich­kei­ten für steu­er­li­che Abschrei­bun­gen bestehen. Wenn man dann den 600,- Euro Acces­s­point gegen das mit offe­ner Firm­ware ver­se­he­ne halb so teu­re Gerät legt und misst, ist der preis­li­che Abstand doch oft wesent­lich grö­ßer als der tech­ni­sche. Der 600-Euro-Acces­s­point mit sei­nem Cloud­con­trol­ler kos­tet dann oft zusätz­lich jähr­li­che Lizenz­ge­büh­ren — da muss man schon sehr genau rech­nen. Das ist nur ein Bei­spiel.

Oft habe ich mit Schu­len zu tun, die mög­lichst schnell ein Ergeb­nis und Ver­bes­se­run­gen sehen wol­len und das durch z.B. För­der­ver­ein finan­zie­ren. Auch wenn wir hier in der Regi­on par­al­lel einen Medi­en­ent­wick­lungs­plan vor­an­trei­ben, drängt dann oft die Zeit. Wenn ich bei knap­pen Bud­get in sol­chen Kon­tex­ten Emp­feh­lun­gen aus­spre­che, muss ich schau­en, wie viel päd­ago­gi­scher Mehr­wert mit der Sum­me mög­lich ist, die mir genannt wird.

Über die Jah­re lan­de ich dabei immer wie­der bei bestimm­ten Gerä­ten, die sich dar­über­hin­aus auch pro­blem­los in eine gro­ße Lösung eines Medi­en­ent­wick­lungs­pla­nes inte­grie­ren las­sen. Dabei han­delt es sich vor­wie­gend um Netz­in­fra­struk­tur­ge­rä­te wie Swit­che, Acces­s­points oder Ser­ver, teil­wei­se aber auch um End­ge­rä­te. Ich prä­sen­tie­re hier ein­mal eine klei­ne Aus­wahl:

1. WLAN-Kom­po­nen­ten

Cis­co WAP321 (Acces­s­point)

Der Cis­co WAP321 ( ca. 180,- Euro) und sein grö­ße­rer Bru­der, der WAP371 (ca. 240,- Euro), wer­den wahr­schein­lich von Link­sys in Lizenz für Cis­co gebaut ( lang­jäh­ri­ge Admins hören da die Alarm­glo­cken ). Sie haben fast alles, was man sich im schu­li­schen Bereich wünscht, z.B.:

  • VLANs + Mul­tiS­SID (sepa­rier­ba­re Net­ze für Lehr­kräf­te, Schü­ler, Gäs­te usw.)
  • Dual­band (2 und 5 Ghz)
  • eine hohe Reich­wei­te
  • eine dyna­mi­sche Anpas­sung der Funk­leis­tung
  • der WAP371 beherrscht zusätz­lich den neu­en ac-WLAN-Stan­dard
  • Spe­zi­fi­zie­rung für 32 Gerä­te (mehr ist im schu­li­schen Umfeld oft auch nicht sinn­voll)
  • Spei­sung über das Netz­werk­ka­bel (PoE)

Die Beson­der­heit der Gerä­te ist ihre Clus­ter­fä­hig­keit: Man kann acht APs zu einem Clus­ter zusam­men­schlie­ßen. Egal auf wel­chen Gerät ich Ände­run­gen vor­neh­me — die­se Ein­stel­lun­gen wer­den von allen Gerä­ten des Clus­ters über­nom­men. Wenn eine Schu­le mit maxi­mal acht Gerä­ten abzu­de­cken ist (z.B. eine zwei­zü­gi­ge Grund­schu­le), kön­nen die Cis­cos je nach Gebäu­de­to­po­lo­gie eine gute, kos­ten­güns­ti­ge Wahl sein.

Benö­tigt wird zu Spei­sung ein PoE-fähi­ger Switch oder ein Injek­tor (Switch wür­de ich vor­zie­hen). Bei Nach­rüs­tung z.B.: Net­ge­ar GS108P (ver­sorgt vier APs). Die gesam­te Serie ist sta­bil ver­ar­bei­tet.

Ubi­qui­ti Net­works (WLAN Sys­tem)

Ubi­qui­ti ist eine soli­de, con­trol­ler­ba­sier­te WLAN-Lösung zu mode­ra­ten Prei­sen. Genau wie bei den Cis­cos (s.o.) kann man meh­re­re Gerä­te an einer Stel­le kon­fi­gu­rie­ren. Der Con­trol­ler ist in Soft­ware rea­li­siert, aber unli­mi­tiert was die Anzahl der ver­walt­ba­ren Gerä­te angeht und für Linux sowie Win­dows ver­füg­bar. Die Soft­ware wird nur für die Kon­fi­gu­ra­ti­on benö­tigt, nicht für den Betrieb, d.h. die APs ver­ges­sen ihre Ein­stel­lun­gen nicht, wenn der Con­trol­ler oder die Inter­net­ver­bin­dung zu ihm aus­fällt. Ubi­qui­ti ist damit sehr gut auch für grö­ße­re Schu­len erwei­ter­bar, jedoch völ­lig unge­eig­net, wenn meh­re­re Stand­or­te zen­tral gema­na­ged wer­den müs­sen (Schul­trä­ger­lö­sung). Die Acces­s­points kom­men in der Regel mit einem pas­sen­den Injek­tor, kön­nen aber auch über PoE+-fähige Swit­che ver­sorgt wer­den (PoE+ ist wich­tig). Durch den Ver­zicht auf teu­res Mar­ke­ting und den Ein­satz von Linux­firm­ware sowie den frei­en Con­trol­ler spart man viel Geld mit dem Nach­teil nur stand­ort­wei­se zen­tral mana­gen zu kön­nen. Preis für die Acces­s­points: 60–250 Euro.

2. Switch

Zyxel GS1910-24

Es gibt kei­nen mir bekann­ten Switch am Markt, der ein der­art abar­tig gutes Preis-/Leis­tungs­ver­hält­nis bie­tet. Er kos­tet ca. 110,- Euro. Fea­tures:

  • kann zwei 10GB-fähi­ge opti­sche Trans­cei­ver auf­neh­men (Glas­fa­ser)
  • ist voll gema­na­ged (eige­ne Ober­flä­che, kann in ver­schie­de­ne vir­tu­el­le Swit­che auf­ge­teilt wer­den, z.B. Verwaltung/pädagogisches Netz — ide­al für klei­ne Grund­schu­len)
  • ist lüft­ler­los und damit auch für Räu­me mit Publi­kums­ver­kehr geeig­net

Die Kis­te kann mit den HPs, die ich im Ein­satz habe, voll mit­hal­ten. Zum Ver­gleich:

  • 10 GB-Ver­bin­dung mit HP-Hard­ware: 9000,- Euro (inkl. Swit­che)
  • 10 GB-Ver­bin­dung mit Zyxel-Hard­ware: weit unter 1000,- Euro (inkl. Swit­che)

Wenn das Ding in fünf Jah­ren aus­fällt, ist es fast egal, dass die HPs als deut­lich robus­ter gel­ten.

3. Gebraucht­wa­re

Es kom­men zur­zeit mas­sig her­vor­ra­gen­de Gebraucht­ge­rä­te auf den Markt. Die­se brin­gen einen i5-Pro­zes­sor der ers­ten Gene­ra­ti­on mit, haben 4GB RAM, sind mit Win­dows 7 Pro­fes­sio­nal aus­ge­stat­tet und viel bes­ser ver­ar­bei­tet als gän­gi­ge Con­su­m­er­wa­re der heu­ti­gen 600-Euro-Klas­se.  Zu Prei­sen ab 250,- für Note­books (inkl. neu­em Akku) und ca. 200,- Euro für Desk­tops erhält man Gerä­te, die alles wich­ti­ge im Netz mit­ma­chen, ver­nünf­ti­ge BIOS-Fea­tures auf­wei­sen (z.B. WOL), das ver­schüt­te­te Getränk auf der Tas­ta­tur ver­tra­gen und, und, und … Für Video­schnitt und CAD wür­de ich natür­lich ande­re Gerä­te kau­fen.

Nutzungsvereinbarung WLAN (Beispiel)

Ich habe kürz­lich eine Demo­nut­zungs­ver­ein­ba­rung für die Nut­zung des WLAN mit eige­nen Gerä­ten (BYOD) an Schu­len ent­wor­fen. Sie basiert auf die­sem Text, hat aber nicht mehr viel mit ihm gemein. Ich habe ver­sucht, mög­lichst ver­ständ­lich und schü­ler­be­zo­gen zu for­mu­lie­ren. Im Prin­zip steht da nichts „Böses” drin, was man nicht auch in gän­gi­gen Mobil­funk­ver­trä­gen wie­der­fin­det. Es ist ein Platz­hal­ter <Die Schu­le> zum Ein­set­zen des eige­nen Schul­na­mens vor­han­den, den man durch Suchen&Ersetzen an die eige­ne Schu­le anpas­sen kann. Wie immer gilt:

Jede Art von Doku­men­ten mit recht­li­cher Wir­kung sind immer durch einen Juris­ten über­prü­fen zu las­sen. Das gilt umso mehr, als dass jedes Bun­des­land über eige­ne Daten­schutz­richt­li­ni­en ver­fügt!

… dem­nach wer­de ich in jedem Fall die­se Nut­zungs­ver­ein­ba­rung noch unse­rem Team vom Lan­des­da­ten­schutz­be­auf­trag­ten vor­le­gen. Inhalt­lich kann man dazu das ein oder ande­re sagen. Der kon­kre­ten Schu­le ging es dar­um, die Nut­zung von mit­ge­brach­ten Lap­tops und Tablet-PCs zu gestat­ten. Han­dys sind expli­zit nicht gewünscht. Aber da kann man ja die jewei­li­ge For­mu­lie­rung auf die eige­ne Schu­le zuschnei­den.

Not­wen­dig ist so eine Nut­zungs­ver­ein­ba­rung aus mei­ner Sicht vor allem wegen Din­gen wie „Stö­rer­haf­tung”, aber natür­lich auch aus Daten­schutz­grün­den. Sol­che Rege­lun­gen sind wie immer völ­lig unnö­tig, so lan­ge nichts pas­siert. Das ist so wie mit Ers­te-Hil­fe-Kur­sen und Sicher­heits­be­leh­run­gen.

Im Wort­laut:

Nut­zungs­ver­ein­ba­rung

über die Nut­zung des haus­in­ter­nen Inter­net­zu­gangs über WLAN

 

Vor­be­mer­kung:

Wenn wir dir als Schu­le unse­ren Netz­zu­gang zur Ver­fü­gung stel­len, möch­ten wir von dir fair behan­delt wer­den. Außer­dem müs­sen wir als Schu­le sicher­stel­len, dass nicht wir haf­ten, wenn mit unse­rem Netz­zu­gang Din­ge gesche­hen, die nicht legal sind.

Von z.B. einer Sper­rung oder Stö­rung unse­rer Inter­net­ver­bin­dung wären näm­lich vie­le Men­schen betrof­fen. Wenn wir dir Netz­zu­gang gewäh­ren, müs­sen wir dir also ver­trau­en und uns auf dich ver­las­sen kön­nen. Daher bekommst du die­se Mög­lich­keit nur, wenn du dich mit den Inhal­ten die­ser Nut­zungs­ver­ein­ba­rung ein­ver­stan­den erklärst. Falls du etwas nicht ver­stehst oder Fra­gen hast, dann wen­de dich ein­fach an uns.

 1. Gestat­tung der unent­gelt­li­chen Mit­be­nut­zung

<Die Schu­le> betreibt einen Inter­net­zu­gang über WLAN. Sie gestat­tet dir Mit­be­nut­zung des WLAN-Zugangs zum Inter­net, solan­ge du die­ser Schu­le ange­hörst. Die Mit­be­nut­zung kos­tet dich nichts, kann dir aber jeder­zeit wie­der unter­sagt wer­den, wenn du z.B. gegen die­se Nut­zungs­ver­ein­ba­rung ver­stößt. Das Schü­ler­netz steht dir nur an aus­ge­wähl­ten Orten zur Ver­fü­gung.

Du darfst nicht dei­nen Freun­den oder Bekann­ten die Nut­zung des WLANs über dei­ne Gerä­te gestat­ten. Das ist auch in dei­nem Inter­es­se, da du für alle Hand­lun­gen, die über dei­ne Zugangs­da­ten vor­ge­nom­men wer­den, ver­ant­wort­lich bist.

<Die Schu­le> ist jeder­zeit berech­tigt, den Betrieb des WLANs ganz, teil­wei­se oder zeit­wei­se ein­zu­stel­len, wei­te­re Mit­nut­zer zuzu­las­sen und den Zugang der berech­tig­ten Per­so­nen ganz, teil­wei­se oder zeit­wei­se zu beschrän­ken oder aus­zu­schlie­ßen.

<Die Schu­le> behält sich ins­be­son­de­re vor, nach eige­nem Ermes­sen und jeder­zeit den Zugang auf bestimm­te Sei­ten oder Diens­te über das WLAN zu sper­ren (z.B. gewalt­ver­herr­li­chen­de, por­no­gra­phi­sche oder kos­ten­pflich­ti­ge Sei­ten).

 2. Zugangs­da­ten

Sämt­li­che Zugangs­da­ten (Benut­zer­na­me sowie Pass­wort) sind nur zu dei­nem per­sön­li­chen Gebrauch bestimmt und dür­fen in kei­nem Fall an ande­re Per­so­nen wei­ter­ge­ge­ben wer­den. Du ver­pflich­test dich, dei­ne Zugangs­da­ten geheim zu hal­ten. <Die Schu­le> hat jeder­zeit das Recht, Zugangs­codes zu ändern.

3. Art der Nut­zung

Du darfst das WLAN nur zu schu­li­schen Zwe­cken mit Gerä­ten nut­zen, die min­des­tens über einen 7 Zoll gro­ßen Bild­schirm oder Touch­screen ver­fü­gen. Eine Nut­zung mit dei­nem Han­dy ist außer­halb des Unter­richts nicht gestat­tet, da wir dann nicht über­prü­fen, inwie­weit du ggf. gegen das an unse­rer Schu­le grund­sätz­li­che Han­dy­ver­bot ver­stößt. Im Unter­richt darfst du nach Anwei­sung durch dei­ne Lehr­kraft von die­ser Rege­lung abwei­chen.

 4. Hin­wei­se, Gefah­ren der WLAN-Nut­zung

<Die Schu­le> weist dich dar­auf hin, dass der unter Nut­zung des WLANs her­ge­stell­te Daten­ver­kehr unver­schlüs­selt erfolgt. Die Daten kön­nen daher mög­li­cher­wei­se von Drit­ten ein­ge­se­hen wer­den. Das WLAN ermög­licht nur den Zugang zum Inter­net. Die abge­ru­fe­nen Inhal­te unter­lie­gen kei­ner Über­prü­fung durch <Die Schu­le>, ins­be­son­de­re nicht dar­auf­hin, ob sie Schad­soft­ware ent­hal­ten. Die Nut­zung des WLANs erfolgt auf eige­ne Gefahr und auf dein eige­nes Risi­ko. <Die Schu­le> weist aus­drück­lich dar­auf hin, dass die Gefahr besteht, dass Schad­soft­ware (z.B. Viren, Tro­ja­ner, Wür­mer, etc.) bei der Nut­zung des WLANs auf dein End­ge­rät gelangt.

 5. Ver­ant­wort­lich­keit und Frei­stel­lung von Ansprü­chen

Für die über das WLAN über­mit­tel­ten Daten, die dar­über in Anspruch genom­me­nen kos­ten­pflich­ti­gen Dienst­leis­tun­gen und getä­tig­ten Rechts­ge­schäf­te bist du selbst ver­ant­wort­lich. Du bist ver­pflich­tet, bei Nut­zung des WLANs das gel­ten­de Recht ein­zu­hal­ten. Du wirst ins­be­son­de­re:

  • das WLAN weder zum Abruf noch zur Ver­brei­tung von sit­ten- oder rechts­wid­ri­gen Inhal­ten nut­zen
  • kei­ne urhe­ber­recht­lich geschütz­ten Güter wider­recht­lich ver­viel­fäl­ti­gen, ver­brei­ten oder zugäng­lich machen
  • die gel­ten­den Jugend­schutz­vor­schrif­ten beach­ten
  • kei­ne beläs­ti­gen­den, ver­leum­de­ri­schen oder bedro­hen den Inhal­te ver­sen­den oder ver­brei­ten
  • das WLAN nicht zur Ver­sen­dung von Mas­sen-Nach­rich­ten (Spam) und / oder ande­ren For­men unzu­läs­si­ger Wer­bung nut­zen.

Erkennst du oder muss du erken­nen, dass eine sol­che Rechts­ver­let­zung und / oder ein sol­cher Ver­stoß vor­liegt oder droht, weist du die Ver­ant­wort­li­chen der <Die Schu­le> auf die­sen Umstand hin.

6. Doku­men­ta­ti­on der Nut­zung

Die Nut­zung des WLAN durch die Benut­zer wird durch die IT der <Die Schu­le> auto­ma­tisch mit fol­gen­den Daten doku­men­tiert

  1. Nut­zer­ken­nung

  2. Ein­log­da­tum und -zeit

  3. auf­ge­ru­fe­ne Inter­net­diens­te bzw. -sei­ten

Die­se Daten wer­den nur für eine Dau­er von maxi­mal drei Mona­ten gespei­chert. Danach erfolgt eine auto­ma­ti­sche Löschung. Eine Her­aus­ga­be dei­ner Daten an Drit­te (z.B. Straf­ver­fol­gungs­be­hör­den) erfolgt nur gemäß der gel­ten­den Rechts­la­ge.

Wir, <Die Schu­le>, brau­chen die­se Daten, um bei Rechts­ver­stö­ßen über unse­ren Inter­net­zu­gang die ver­ur­sa­chen­de Per­son ermit­teln zu las­sen. Wir wer­den von uns aus kei­ne anlass­lo­se Prü­fung oder sys­te­ma­ti­sche Aus­wer­tung die­ser Daten vor­neh­men.

Schü­le­rin­nen und Schü­ler:

Ich erken­ne die Nut­zungs­ver­ein­ba­rung an.

_______________________________________________________ (Ort, Datum, Unter­schrift)

Ein­wil­li­gung in die Daten­spei­che­rung;

Ich habe ver­stan­den, wel­che Daten <Die Schu­le> dabei über mich zu wel­chem Zweck spei­chert und stim­me die­ser Spei­che­rung zu. Ich kann die Zustim­mung form­los und schrift­lich jeder­zeit wider­ru­fen. (Aller­dings sind wir dann gezwun­gen, dei­nen Zugang wie­der zu deak­ti­vie­ren.)

_______________________________________________________ (Ort, Datum, Unter­schrift)

Zusätz­lich: Erzie­hungs­be­rech­tig­te bei Schü­le­rin­nen und Schü­lern unter 18 Jah­ren

Ich erken­ne die Nut­zungs­be­din­gun­gen an.

_______________________________________________________ (Ort, Datum, Unter­schrift)

Ein­wil­li­gung in die Daten­spei­che­rung;

Ich habe ver­stan­den, wel­che Daten <Die Schu­le> dabei über mein Kind zu wel­chem Zweck spei­chert und stim­me die­ser Spei­che­rung zu. Ich kann die Zustim­mung jeder­zeit mit der Fol­ge der Deak­ti­vie­rung des WLAN-Zugan­ges für mein Kind form­los und schrift­lich wider­ru­fen.

_______________________________________________________ (Ort, Datum, Unter­schrift)

Quel­len:

[1] http://www.erfolgreiche-gastgeber.de

[2] DTV-Nut­zungs­ver­ein­ba­rung „WLAN

Für die­sen Bei­trag gilt nicht die auf riecken.de übli­che BY-NC-SA-Lizenz, da der Text (vgl. Quel­len) stel­len­wei­se For­mu­lie­rung aus frei ver­füg­ba­ren Quel­len auf­greift, die lei­der nicht unter einer CC-Lizenz ste­hen.

BYOD — Gedankensplitter

Die Situa­ti­on:

  • es gibt Han­dys an Schu­len, die von SuS mit­ge­bracht wer­den
  • die Han­dys unter­schei­den sich stark in ihrer Funk­tio­na­li­tät und Ver­trags­mo­da­li­tä­ten ent­spre­chend des sozia­len Sta­tus der Eltern­häu­ser
  • nicht alle SuS ver­fü­gen über ein Han­dy, wel­ches inter­net­fä­hig ist
  • in der Regel ist die Ver­wen­dung auf dem Schul­ge­län­de per Haus­ord­nung unter­sagt
  • die Regel wird nicht ein­ge­hal­ten und ist kaum durch­zu­set­zen
  • es lan­den Fotos, Film­do­ku­men­te usw. aus der Schu­le in sozia­len Netz­wer­ken
  • bei Cyber­mo­bing spie­len digi­ta­le End­ge­rä­te eine Schlüs­sel­rol­le
  • das schu­li­sche WLAN steht SuS in der Regel nicht offen

Per­sön­li­che Gedan­ken:

Die posi­ti­ven Aspek­te der Ver­wen­dung von Han­dys im Unter­richt sind nicht nach­ge­wie­sen. Jubel­schreie und Erfolgs­mel­dun­gen im Inter­net zei­gen kei­ne Pro­duk­te im Ver­gleich zu Pro­duk­ten klas­si­scher Ler­nar­ran­ge­ments, son­dern besit­zen in der Regel einen tech­no­iden Fokus, z.B. den „Bild­schirmin­halt des iPads an einen Bea­mer über­tra­gen”, App­emp­feh­lun­gen, Admi­nis­tra­ti­ons­er­leich­te­run­gen, Datei­ex­port aus dem Tablet (Sei­ten­hieb: der ohne exter­ne Diens­te nicht fun­kio­niert). Es gibt ers­te, zöger­li­che Vor­rei­ter auf die­sem Gebiet. Ich mei­ne aber zu erken­nen, dass wesent­li­che Effek­te nicht mit iDin­gens, son­dern in der Kom­bi­na­tio­nen von iDin­gens mit kol­la­bo­ra­ti­ven Web2.0-Tools erzielt wer­den. Fin­de ich alles wich­tig und gut — es hat aber nichts, bzw. für mich noch viel zu wenig mit Unterichts­qua­li­tät zu tun.

Die Zukunft

  • mobi­le End­ge­rä­te wer­den in der Gesell­schaft mehr und mehr zur Selbst­ver­ständ­lich­keit wer­den
  • andro­id­be­trie­be­ne Gerä­te ermög­li­chen den Bau güns­ti­ge­rer Devices und damit den Zugang von mehr Men­schen zur digi­ta­len Welt
  • für mich ist es eine Fra­ge der Zeit, bis ein gene­rel­les Han­dy­ver­bot an Schu­len von Ver­wal­tungs­ge­rich­ten kas­siert wird (sogar in Bay­ern). Das wird über (Großstadt-)Elternrechte lau­fen.

Reak­ti­ons­op­tio­nen

Man kann sagen: „Das ist alles so schreck­lich. Wir reden nie mehr mit­ein­an­der, son­dern kom­mu­ni­zie­ren bald nur noch über Face­book & Co. Ich als Leh­rer bin bald Frei­wild und muss mich immer und über­all fil­men und foto­gra­fie­ren las­sen. Die Welt is schlecht” - das kann man alles sagen. Ori­gi­nal­zi­tat aus dm Leh­rer­zim­mer ges­tern: „Du kannst den Pira­ten ja nicht nahe­ste­hen, du redest ja noch mit uns.

Ich habe auf dem letz­ten Modul mei­nes Trai­ner-Trai­nings etwas erprobt. Die Grund­idee besteht dar­in, zu sagen: „Ja. Es gibt Han­dys. Ja. Die Ver­brei­tung die­ser Gerä­te wird zuneh­men. Ja. Wir wer­den das Zeug bald nicht mehr ver­bie­ten dür­fen.”

Ich möch­te ger­ne einen Ver­trag mit Schü­lern, Eltern und Lehr­kräf­ten erar­bei­ten, der wesent­li­che Din­ge der Nut­zung digi­ta­ler End­ge­rä­te an der Schu­le regelt und in einer Art „Fest­akt” von allen Betei­lig­ten Gre­mi­en unter­schrie­ben wird. Wer an der Schu­le ein Gerät ein­schal­tet, erkennt damit den Ver­trag an. So ein Ver­trag kann:

  1. Regeln, wann und wie die Nut­zung digi­ta­ler Gerä­te erwünscht ist
  2. Wel­che Kon­se­quen­zen bei Fehl­ver­hal­ten ein­tre­ten (SuS könn­ten bei der Art der Kon­se­quenz natür­lich mit­be­stim­men)
  3. Über­le­gun­gen dazu anstel­len, inwie­weit sol­che Gerä­te dann auch in der Schu­le ver­si­chert sind, wenn sie als „Unter­richts­mit­tel” zuge­las­sen wer­den
  4. In der Ver­hand­lungs­pha­se ein Bewusst­sein für die Ängs­te und Chan­cen schaf­fen, die mit die­sen Gerä­ten ver­bun­den sind.
  5. Eine päd­ago­gi­sche und kei­ne recht­li­che Dis­kus­si­ons­grund­la­ge im Fal­le von Grenz­über­schrei­tun­gen ermög­li­chen
  6. Bis­her demo­kra­ti­sche gemein­te Struk­tu­ren real­de­mo­kra­tisch an Schul­ent­wick­lung betei­li­gen — des­we­gen soll­te es schon ernst gemeint und kein Fei­gen­blatt zum Trans­port der aus­schließ­li­chen Bedürf­nis­se von Lehr­kräf­ten sein
  7. Ein­bli­cke in poli­ti­sche Arbeit geben
  8. Die Schu­le in der Öffent­lich­keit als „modern” daste­hen las­sen
  9. […]

Nein, ein sol­cher Ver­trag ist nicht recht­lich bin­dend. Aber dar­um geht es ja auch gar nicht. Es geht dar­um, mit einem nicht durch­setz­ba­ren, recht­li­chen Rah­men päd­ago­gisch umzu­ge­hen. Ich wür­de da auch kei­nen Juris­ten her­an­las­sen.

Ich selbst…

… baue ja ein WLAN für unse­re Schu­le auf. Ich habe das Glück, über eine Schul­ser­ver­lö­sung zu ver­fü­gen, mit der ich Schrit­te gehen kann zwi­schen: „Kei­ner darf!” und „Jeder darf sofort alles!”. Das Bedürf­nis nach einem offe­nen WLAN mag für den moder­nen Web2.0-Lehrer zwar indi­vi­du­ell groß sein — wenn das Sys­tem aber ggf. eigen­mäch­ti­ge „Öff­nun­gen” im Fal­le von Miss­brauch nicht auf­fan­gen kann, ist u.U. Erde für Jah­re ver­brannt. Ich habe vor, fol­gen­de Schrit­te zu gehen:

  1. Offe­nes WLAN für Lehr­kräf­te und Schul­ge­rä­te in mög­lichst allen Gebäu­de­tei­len
  2. Zugriff auf das Intra­net der Schu­le für Schü­ler mit Anmel­dung an einem Hot­spot
  3. Frei­ga­be weni­ger aus­ge­wähl­ter Sei­ten für Schü­ler
  4. Prin­zi­pi­el­le Frei­schal­tung des Inter­net in bestimm­ten Gebäu­de­tei­len für SuS. Dabei kann die Lehr­kraft bestim­men, wel­cher Schü­ler­ac­ces­s­point ein- oder abge­schal­tet wird.
  5. Einen Ver­trag aus­han­deln
  6. Das WLAN gene­rell öff­nen

WLAN-Planungen in der Schule

Plant man ein WLAN in der Schu­le, so hat man meh­re­re Mög­lich­kei­ten. Dabei set­ze ich ein­mal vor­aus, dass grund­sätz­li­che Funk­tio­nen, z.B. eine zen­tra­le War­tung (alle Acces­s­points zeit­ge­steu­ert deaktivieren/aktivieren, Gast­log­ins über z.B. Hot­spot­fä­hig­keit, mög­li­cher Auf­bau eines Mesh­net­zes — das ist übri­gens die Zukunft — usw.) umge­setzt wer­den. Außer­dem kal­ku­lie­re ich, dass irgend­wann zwi­schen 200–300 Gerä­te in die­sem Netz­werk gleich­zei­tig aktiv, d.h. nicht nur ange­mel­det sind.

Der Wunsch

Man lässt eine Fir­ma anrü­cken, die über ent­spre­chen­de Mess­tech­nik ver­fügt, um die gesam­te Schu­le aus­zu­leuch­ten. Auf die­se Wei­se ist rela­tiv schnell klar, wo wel­che Acces­s­points gesetzt wer­den müs­sen, um eine gute Abde­ckung zu errei­chen. Je nach Ergeb­nis des Mess­pro­to­kolls sind ggf. wei­te­re Instal­la­ti­ons­ar­bei­ten not­wen­dig. Nicht über­all lie­gen die erfor­der­li­chen Netz­werk­ka­bel und ggf. zusätz­li­che Strom­ver­sor­gun­gen. Ich bin übri­gens kein Freund von PoE-Lösun­gen, d.h. der Acces­s­point wird über das Netz­werk­ka­bel mit Strom ver­sorgt, da die dafür erfor­der­li­chen Swit­che nicht güns­tig sind und man sich eine mög­li­che Feh­ler­quel­le mehr auf das Netz­werk­ka­bel bringt. Ein schö­nes Nym-Kabel trans­por­tiert bis zu 3600 Watt und taugt dann auch für die Ver­sor­gung von Bea­mern, App­leTV oder sowas… Ein gute Fir­ma wird dann Busi­ness­ac­ces­s­points von Cis­co, Lan­com , Zyxel, Net­ge­ar usw. set­zen. Die Ein­stiegs­klas­se fängt bei sol­chen Gerä­ten um die 300–400 Euro je Gerät an — dafür neh­men sie aber auch wirk­lich 90–100 Cli­ents in ihre Funk­zel­le auf und hal­ten.

Je nach Grö­ße der Schu­le ist man recht flott bei 20–30.000 Euro — für ein gro­ßes Schul­zen­trum kön­nen es auch 50.000 Euro sein. Dafür hat man etwas Anstän­di­ges, um das man sich weder bei der Pla­nung noch bei der spä­te­ren War­tung groß­ar­tig küm­mern muss.Wenn man auf eine gute Doku­men­ta­ti­on ach­tet, kann man ggf. sogar die Fir­ma wech­seln, falls irgend­wann irgend­et­was nicht passt.

Die Rea­li­tät

  • Es gibt jen­seits grö­ße­rer Tech­no­lo­gie­zen­tren kaum Fir­men, die über ein ent­spre­chen­des Know-How ver­fü­gen, poten­ti­ell weit über 100 Gerä­te per WLAN zu ver­sor­gen. Sie ein­zu­flie­gen nützt nichts, da man immer noch Part­ner vor Ort für die War­tung braucht. Die Kos­ten für War­tungs­ver­trä­ge mit SLAs über­nimmt kaum ein Schul­trä­ger, weil das sei­ne finan­zi­el­le Mög­lich­kei­ten weit über­schrei­tet.
  • Ab 20.000 Euro Inves­ti­ti­ons­kos­ten — teil­wei­se deut­lich dar­un­ter — muss man schon sehr gut begrün­den, wenn man so etwas gebaut haben möch­te. Zwi­schen Antrag und Rea­li­sie­rung wer­den Jah­re mit Tech­no­lo­gie­sprün­gen lie­gen, die die vor­lie­gen­de Pla­nung bald über­ho­len.
  • Extern geplan­te Net­ze sind auf Zeit geplan­te Net­ze. Sie wer­den irgend­wann selbst von Tech­no­lo­gie­sprün­gen über­holt wer­den
  • Bei der Netz­werk­pla­nung sind oft meh­re­re Gewer­ke betei­ligt: Elek­tri­ker, Netz­werk­fir­men, Hard­ware­fir­men — oft passt hin­ter­her nix mehr zusam­men, kei­ner ist’s gewe­sen und Schuld hat immer der ande­re. Da es dann kei­ne Doku gibt, ver­ge­hen oft Stun­den, bis ein­fachs­te Pro­ble­me gelöst wer­den kön­nen — das fängt schon bei Pass­wör­tern für Kon­fi­gu­ra­ti­ons­ober­flä­chen an.
  • Als tech­nisch Ahnungs­lo­ser wird man die Zeit, die man sonst mit Bas­te­lei (und Lern­zu­wachs) ver­bracht hät­te, mit Tele­fo­nie­ren, Mah­nen, Hin­ter­her­lau­fen, Schimp­fen und Genervt­sein ver­brin­gen.

Unbe­ding­te Vor­aus­set­zung beim Auf­bau eines sol­chen Net­zes durch eine Fir­ma ist exter­ne Bera­tung. Die pro­jek­tiert ggf. auch kon­kre­te Pflich­ten­hef­te für die ein­zel­nen Gewer­ke und koor­di­niert wäh­rend der Bau­pha­se. Natür­lich sind da ent­spre­chen­de Stun­den­sät­ze zu kal­ku­lie­ren — aber das machen auch vie­le Haus­bau­er m.E. falsch: Der exter­ne Gut­ach­ter wird gespart, weil das Gut­ach­ten 3000–4000 Euro kos­tet. Bei einer ange­nom­me­nen Bau­sum­me von 200.000 Euro für ein EFH ist die­ser Betrag aber eher gering und spart unter Umstän­den durch Ver­mei­dung von Pla­nungs­feh­lern Nach­bes­se­run­gen, die schnell ein Viel­fa­ches der Kos­ten für einen Gut­ach­ter betra­gen.

Der Prag­ma­tis­mus

Der Prag­ma­tis­mus — vor allem der finan­zi­el­le — besteht dar­in, Din­ge selbst zu tun, die man selbst tun kann. Dazu gehö­ren nicht:

  • das Ver­le­gen von 230V-Lei­tun­gen und Set­zen von Steck­do­sen
  • das Durch­boh­ren von (Brandschutz-)Wänden zur Ver­le­gung von Netz­werk­ka­beln
  • die gemein­sa­me Ver­le­gun­gen von Netz­werk­ka­beln und 230V-Lei­tun­gen in einem Kanal (es gibt aber Kabel­ka­nä­le mit Trenn­steg)

Vie­le Haus­meis­ter sind aber gelern­te Elek­tri­ker und wis­sen über die VDE-Nor­men Bescheid. Sie dür­fen in der Regel nicht selbst aktiv wer­den, kön­nen aber Arbei­ten von Fir­men kon­trol­lie­ren. Din­ge, die man selbst tun kann, beschrän­ken sich also dar­auf, bereits vor­han­de­ne Instal­la­tio­nen zu nut­zen. Ab Netz­werk- oder Steck­do­se darf man mit einem fer­tig gekauf­ten Gerät han­tie­ren.

Kern mei­nes Han­tie­rens ist für mich zur­zeit die kos­ten­lo­se Rou­ter­dis­tri­bu­ti­on DD-WRT. Es han­delt sich um eine weit­ge­hend freie Firm­ware, also eine Art Betriebs­sys­tem für Rou­ter. Es wer­den unzäh­li­ge Model­le unter­stützt. Hier kann man schau­en, ob die vor­han­de­ne Hard­ware dazu­ge­hört. Das Schö­ne ist, dass DD-WRT auf jedem Rou­ter gleich aus­sieht — die Bedie­nung hängt also nicht mehr vom Typ des Rou­ters ab. Mit DD-WRT erhal­ten vie­le güns­ti­ge Rou­ter Funk­tio­nen, von denen wesent­lich teu­re­re Busi­ness-Acces­s­points träu­men — ich zäh­le hier mal die offen­sicht­lichs­ten auf:

  • an den Switch eines modi­fi­zier­ten Rou­ters kön­ne wei­ter Rou­ter ange­steckt wer­den (wei­te­rer WLAN-Aus­bau)
  • der Rou­ter kann als Acces­s­point, als Repea­ter oder als Bridge kon­fi­gu­riert wer­den — das ist gera­de in schlecht aus­ge­bau­ten Alt­bau­ten von ful­mi­nan­ter Bedeu­tung
  • Man kann eine Hot­spot­funk­tio­na­li­tät wie an Unis oder Hotels rea­li­sie­ren (der IServ bringt übri­ges fast alles dafür schon mit)
  • Vie­le Rou­ter kön­nen mit DD-WRT zeit­ge­steu­ert wer­den, d.h. das WLAN ist z.B. nachts oder an Wochen­en­den inak­tiv
  • usw.

DD-WRT ist sehr gut in Eng­lisch doku­men­tiert — auch deutsch­spra­chi­ge Foren gibt es. Für Linu­xer ist es auch kein Pro­blem, eine Zeit­steue­rung für das WLAN zu inte­grie­ren. DD-WRT bringt eine Kon­so­le mit, über die man via Script den WLAN-Chip ein und aus­schal­ten kann. Ich habe dafür einen Cron­job auf unse­rem IServ erstellt, der das per Key-Auth auf fast jedem Rou­ter bei uns in der Schu­le erle­digt. Oder man kann den WLAN-Schlüs­sel für die gesam­te Schu­le zen­tral per Kon­so­le set­zen… Ich hal­te bei­des für einen Sicher­heits­ge­winn.

Ich habe zur­zeit zwei Gerä­te­ty­pen mit DD-WRT hier im Schul­netz im Ein­satz: Den Link­sys WRT54GL als Para­de­ver­tre­ter von Sta­bi­li­tät und Robust­heit und den TP-Link TL-WR1043ND, den man mehr als „jun­gen Wil­den” bezeich­nen kann. Bei­de wer­den von DD-WRT gut unter­stützt, beim TP-Link muss man die Zeit­steue­rung per Kon­so­le nach­rüs­ten, wäh­rend sie beim WRT54G über die Ober­flä­che ein­ge­stellt wer­den kann. Bei­de fun­ken nur m 2,4Ghz-Band — die nächs­ten Rou­ter bei mir wer­den auf jeden Fall dual­band­fä­hig sein, also auch 5Ghz unter­stüt­zen. Der TP-Link funkt auch im N-Modus und erreicht hier übli­che Über­tra­gungs­ge­schwin­dig­kei­ten von 65–107Mbit/s, wäh­rend der Link­sys auf maxi­mal 54Mbit/s kommt (G-Stan­dard).

Kon­fi­gu­ra­ti­ons­tipps:

  1. Web­ober­flä­che nur per HTTPS zugäng­lich machen und auch die Sta­tus­sei­te von DD-WRT mit einem Pass­wort schüt­zen
  2. SSH-Zugriff nur über Key-Auth
  3. Alle Rou­ter einer Schu­le soll­ten unter einer ein­heit­lich SSID sen­den — dann klappt sogar „Han­do­ver”, bzw. man merkt nicht, dass man kurz­zei­tig beim AP-Wech­sel kei­ne IP hat. Ich kann fast durch das gan­ze Schul­ge­bäu­de lau­fen ohne die WLAN-Ver­bin­dung zu ver­lie­ren. Zudem ver­mei­den man bei uner­fah­re­nen Nut­zern, dass sie meh­re­re Netz­wer­ke ein­rich­ten müs­sen. Ist ein AP über­las­tet, sucht sich das Gerät zudem in der Regel einen ande­ren — wesent­lich(!) weni­ger Fra­gen von Benut­zern…
  4. N-Rou­ter soll­ten nur die AES-Ver­schlüs­se­lung zulas­sen, da TKIP nur für WLAN-G spe­zi­fi­ziert ist und man so nicht die N-typi­schen hohen Daten­ra­ten erhält
  5. Die Rou­ter soll­ten ihre exter­ne IP nach Mög­lich­keit per DHCP bekom­men, weil ich so zen­tral am DHCP-Ser­ver bestim­men kann, wer wel­che IP erhält
  6. Ein extrem wich­ti­ger Hel­fer beim Set­zen der Acces­s­points ist ein Han­dy mit einem WLAN-Ana­ly­zer. Den gibt es für alle gän­gi­gen Mobil­platt­for­men.

Ande­res The­ma: Ist das mei­ne Auf­ga­be?

Nein. Aber wenn ich möch­te, dass mobi­les Ler­nen mög­lich wird, kann ich ent­we­der:

  • dar­auf war­ten, dass sich die uner­müd­li­cher For­de­rer poli­tisch durch­set­zen, so dass der Schul­trä­ger zum Han­deln gezwun­gen wird. Lei­der sehe ich wenig Einig­keit dar­über, was denn der Stan­dard sein soll oder in wel­chem Bereich er sich bewegt.
  • heu­te etwas tun, um die bestehen­de Situa­ti­on kon­kret zu ver­bes­sern. Dazu bedarf es nichts außer der Bereit­schaft in die­sem tech­ni­schen Bereich zu ler­nen — das Wis­sen dazu ist im Netz.
  • bei­des kom­bi­nie­ren

Rea­li­tät ist, dass sich ein­zel­ne Leh­rer zur­zeit aus Not selbst etwas bas­teln, z.B. mit dem mit­ge­brach­ten Hot­spot. Das kann ich auch und habe es lang so gemacht. Es nützt dem Sys­tem Schu­le m.E. aber über­haupt nichts. Die Abhän­gig­kei­ten wer­den nur ande­re. Daten müs­sen irgend­wo lie­gen, um aus­ge­tauscht zu wer­den. Eine Schul­cloud fin­de ich sym­pa­thi­scher als Web2.0-Dienste oder im bes­te Fall ange­mie­te­ten Webs­pace.