riecken.de

Radiusserver gegen LDAP authentifizieren lassen

9. Januar 2016 Maik Riecken Ein Kommentar

Allgemein

Dieser Eintrag basiert auf dieser Originalanleitung. freeradius ist ein Authentifizierungsserver, der nach außen das Radiusprotokoll bereitstellt. Über dieses Protokoll kann man sich z.B. an einem WLAN anmelden, ohne die Zugangsdaten für OpenLDAP oder jede beliebige andere Authentifizierungsquelle zu kennen und verteilen zu müssen. Wenn ein zentraler Verzeichnisdienst konfiguriert ist, werden z.B. sehr einfach Dinge möglich wie ein kreisweites WLAN. In den Schulen muss dann lediglich ein neues WLAN-Netz konfiguriert werden, welches gegen unseren zentralen Radius authentifiziert und schon kann ich als Lehrer der Schule A im Netz der Schule B z.B. bei Fortbildung das WLAN nutzen.

Radiusschema in OpenLDAP integrieren

Damit die Authentifizierung über Radius mit alle denkbaren Funktionen klappt, sollte man ein neues Schema zu OpenLDAP hinzufügen. Es funktioniert auch ohne, nur kommt man bei späteren Erweiterungswübschen schnell an Grenzen. Hier ist ein Schema bereits vorbereitet (freeradius_schema.ldif), welches freeradius als Textdatei mitbringt. Es lässt sich direkt über die Konsole in cn=config einspielen.

dn: cn=freeradius,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: freeradius
olcAttributeTypes: {0}( 1.3.6.1.4.1.3317.4.3.1.1 NAME 'radiusArapFeatures' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-
 VALUE )
olcAttributeTypes: {1}( 1.3.6.1.4.1.3317.4.3.1.2 NAME 'radiusArapSecurity' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-
 VALUE )
olcAttributeTypes: {2}( 1.3.6.1.4.1.3317.4.3.1.3 NAME 'radiusArapZoneAccess' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {3}( 1.3.6.1.4.1.3317.4.3.1.44 NAME 'radiusAuthType' DESC '
 checkItem: Auth-Type' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115
 .121.1.26 SINGLE-VALUE )
olcAttributeTypes: {4}( 1.3.6.1.4.1.3317.4.3.1.4 NAME 'radiusCallbackId' DESC 
 'replyItem: Callback-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {5}( 1.3.6.1.4.1.3317.4.3.1.5 NAME 'radiusCallbackNumber' D
 ESC 'replyItem: Callback-Number' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {6}( 1.3.6.1.4.1.3317.4.3.1.6 NAME 'radiusCalledStationId' 
 DESC 'checkItem: Called-Station-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.
 1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {7}( 1.3.6.1.4.1.3317.4.3.1.7 NAME 'radiusCallingStationId'
  DESC 'checkItem: Calling-Station-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {8}( 1.3.6.1.4.1.3317.4.3.1.8 NAME 'radiusClass' DESC 'repl
 yItem: Class' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.2
 6 )
olcAttributeTypes: {9}( 1.3.6.1.4.1.3317.4.3.1.45 NAME 'radiusClientIPAddress'
  DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SIN
 GLE-VALUE )
olcAttributeTypes: {10}( 1.3.6.1.4.1.3317.4.3.1.9 NAME 'radiusFilterId' DESC '
 replyItem: Filter-Id' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115
 .121.1.26 )
olcAttributeTypes: {11}( 1.3.6.1.4.1.3317.4.3.1.10 NAME 'radiusFramedAppleTalk
 Link' DESC 'replyItem: Framed-AppleTalk-Link' EQUALITY caseIgnoreIA5Match SYN
 TAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {12}( 1.3.6.1.4.1.3317.4.3.1.11 NAME 'radiusFramedAppleTalk
 Network' DESC 'replyItem: Framed-AppleTalk-Network' EQUALITY caseIgnoreIA5Mat
 ch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {13}( 1.3.6.1.4.1.3317.4.3.1.12 NAME 'radiusFramedAppleTalk
 Zone' DESC 'replyItem: Framed-AppleTalk-Zone' EQUALITY caseIgnoreIA5Match SYN
 TAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {14}( 1.3.6.1.4.1.3317.4.3.1.13 NAME 'radiusFramedCompressi
 on' DESC 'replyItem: Framed-Compression' EQUALITY caseIgnoreIA5Match SYNTAX 1
 .3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {15}( 1.3.6.1.4.1.3317.4.3.1.14 NAME 'radiusFramedIPAddress
 ' DESC 'replyItem: Framed-IP-Address' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {16}( 1.3.6.1.4.1.3317.4.3.1.15 NAME 'radiusFramedIPNetmask
 ' DESC 'replyItem: Framed-IP-Netmask' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {17}( 1.3.6.1.4.1.3317.4.3.1.16 NAME 'radiusFramedIPXNetwor
 k' DESC 'replyItem: Framed-IPX-Network' EQUALITY caseIgnoreIA5Match SYNTAX 1.
 3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {18}( 1.3.6.1.4.1.3317.4.3.1.17 NAME 'radiusFramedMTU' DESC
  'replyItem: Framed-MTU' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {19}( 1.3.6.1.4.1.3317.4.3.1.18 NAME 'radiusFramedProtocol'
  DESC 'replyItem: Framed-Protocol' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1
 .4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {20}( 1.3.6.1.4.1.3317.4.3.1.19 NAME 'radiusFramedRoute' DE
 SC 'replyItem: Framed-Route' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 )
olcAttributeTypes: {21}( 1.3.6.1.4.1.3317.4.3.1.20 NAME 'radiusFramedRouting' 
 DESC 'replyItem: Framed-Routing' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {22}( 1.3.6.1.4.1.3317.4.3.1.46 NAME 'radiusGroupName' DESC
  '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {23}( 1.3.6.1.4.1.3317.4.3.1.47 NAME 'radiusHint' DESC '' E
 QUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE 
 )
olcAttributeTypes: {24}( 1.3.6.1.4.1.3317.4.3.1.48 NAME 'radiusHuntgroupName' 
 DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {25}( 1.3.6.1.4.1.3317.4.3.1.21 NAME 'radiusIdleTimeout' DE
 SC 'replyItem: Idle-Timeout' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {26}( 1.3.6.1.4.1.3317.4.3.1.22 NAME 'radiusLoginIPHost' DE
 SC 'replyItem: Login-IP-Host' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.
 1466.115.121.1.26 )
olcAttributeTypes: {27}( 1.3.6.1.4.1.3317.4.3.1.23 NAME 'radiusLoginLATGroup' 
 DESC 'replyItem: Login-LAT-Group' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.
 4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {28}( 1.3.6.1.4.1.3317.4.3.1.24 NAME 'radiusLoginLATNode' D
 ESC 'replyItem: Login-LAT-Node' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {29}( 1.3.6.1.4.1.3317.4.3.1.25 NAME 'radiusLoginLATPort' D
 ESC 'replyItem: Login-LAT-Port' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {30}( 1.3.6.1.4.1.3317.4.3.1.26 NAME 'radiusLoginLATService
 ' DESC 'replyItem: Login-LAT-Service' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.
 6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {31}( 1.3.6.1.4.1.3317.4.3.1.27 NAME 'radiusLoginService' D
 ESC 'replyItem: Login-Service' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {32}( 1.3.6.1.4.1.3317.4.3.1.28 NAME 'radiusLoginTCPPort' D
 ESC 'replyItem: Login-TCP-Port' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {33}( 1.3.6.1.4.1.3317.4.3.1.29 NAME 'radiusPasswordRetry' 
 DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SING
 LE-VALUE )
olcAttributeTypes: {34}( 1.3.6.1.4.1.3317.4.3.1.30 NAME 'radiusPortLimit' DESC
  'replyItem: Port-Limit' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.
 115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {35}( 1.3.6.1.4.1.3317.4.3.1.49 NAME 'radiusProfileDn' DESC
  '' EQUALITY distinguishedNameMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 SING
 LE-VALUE )
olcAttributeTypes: {36}( 1.3.6.1.4.1.3317.4.3.1.31 NAME 'radiusPrompt' DESC ''
  EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALU
 E )
olcAttributeTypes: {37}( 1.3.6.1.4.1.3317.4.3.1.50 NAME 'radiusProxyToRealm' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {38}( 1.3.6.1.4.1.3317.4.3.1.51 NAME 'radiusReplicateToReal
 m' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 S
 INGLE-VALUE )
olcAttributeTypes: {39}( 1.3.6.1.4.1.3317.4.3.1.52 NAME 'radiusRealm' DESC '' 
 EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE
  )
olcAttributeTypes: {40}( 1.3.6.1.4.1.3317.4.3.1.32 NAME 'radiusServiceType' DE
 SC 'replyItem: Service-Type' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1
 466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {41}( 1.3.6.1.4.1.3317.4.3.1.33 NAME 'radiusSessionTimeout'
  DESC 'replyItem: Session-Timeout' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1
 .4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {42}( 1.3.6.1.4.1.3317.4.3.1.34 NAME 'radiusTerminationActi
 on' DESC 'replyItem: Termination-Action' EQUALITY caseIgnoreIA5Match SYNTAX 1
 .3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {43}( 1.3.6.1.4.1.3317.4.3.1.35 NAME 'radiusTunnelAssignmen
 tId' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
  )
olcAttributeTypes: {44}( 1.3.6.1.4.1.3317.4.3.1.36 NAME 'radiusTunnelMediumTyp
 e' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {45}( 1.3.6.1.4.1.3317.4.3.1.37 NAME 'radiusTunnelPassword'
  DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SIN
 GLE-VALUE )
olcAttributeTypes: {46}( 1.3.6.1.4.1.3317.4.3.1.38 NAME 'radiusTunnelPreferenc
 e' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {47}( 1.3.6.1.4.1.3317.4.3.1.39 NAME 'radiusTunnelPrivateGr
 oupId' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {48}( 1.3.6.1.4.1.3317.4.3.1.40 NAME 'radiusTunnelServerEnd
 point' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {49}( 1.3.6.1.4.1.3317.4.3.1.41 NAME 'radiusTunnelType' DES
 C '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {50}( 1.3.6.1.4.1.3317.4.3.1.42 NAME 'radiusVSA' DESC '' EQ
 UALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {51}( 1.3.6.1.4.1.3317.4.3.1.43 NAME 'radiusTunnelClientEnd
 point' DESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.
 26 )
olcAttributeTypes: {52}( 1.3.6.1.4.1.3317.4.3.1.53 NAME 'radiusSimultaneousUse
 ' DESC 'checkItem: Simultaneous-Use' SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SIN
 GLE-VALUE )
olcAttributeTypes: {53}( 1.3.6.1.4.1.3317.4.3.1.54 NAME 'radiusLoginTime' DESC
  '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-V
 ALUE )
olcAttributeTypes: {54}( 1.3.6.1.4.1.3317.4.3.1.55 NAME 'radiusUserCategory' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {55}( 1.3.6.1.4.1.3317.4.3.1.56 NAME 'radiusStripUserName' 
 DESC '' SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {56}( 1.3.6.1.4.1.3317.4.3.1.57 NAME 'dialupAccess' DESC ''
  EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALU
 E )
olcAttributeTypes: {57}( 1.3.6.1.4.1.3317.4.3.1.58 NAME 'radiusExpiration' DES
 C 'checkItem: Expiration' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466
 .115.121.1.26 SINGLE-VALUE )
olcAttributeTypes: {58}( 1.3.6.1.4.1.3317.4.3.1.59 NAME 'radiusCheckItem' DESC
  'checkItem: $GENERIC$' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.26 )
olcAttributeTypes: {59}( 1.3.6.1.4.1.3317.4.3.1.60 NAME 'radiusReplyItem' DESC
  'replyItem: $GENERIC$' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.26 )
olcAttributeTypes: {60}( 1.3.6.1.4.1.3317.4.3.1.61 NAME 'radiusNASIpAddress' D
 ESC '' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGL
 E-VALUE )
olcAttributeTypes: {61}( 1.3.6.1.4.1.3317.4.3.1.62 NAME 'radiusReplyMessage' D
 ESC 'replyItem: Reply-Message' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.26 )
olcObjectClasses: {0}( 1.3.6.1.4.1.3317.4.3.2.1 NAME 'radiusprofile' DESC '' S
 UP top AUXILIARY MUST cn MAY ( radiusArapFeatures $ radiusArapSecurity $ radi
 usArapZoneAccess $ radiusAuthType $ radiusCallbackId $ radiusCallbackNumber $
  radiusCalledStationId $ radiusCallingStationId $ radiusClass $ radiusClientI
 PAddress $ radiusFilterId $ radiusFramedAppleTalkLink $ radiusFramedAppleTalk
 Network $ radiusFramedAppleTalkZone $ radiusFramedCompression $ radiusFramedI
 PAddress $ radiusFramedIPNetmask $ radiusFramedIPXNetwork $ radiusFramedMTU $
  radiusFramedProtocol $ radiusCheckItem $ radiusReplyItem $ radiusFramedRoute
  $ radiusFramedRouting $ radiusIdleTimeout $ radiusGroupName $ radiusHint $ r
 adiusHuntgroupName $ radiusLoginIPHost $ radiusLoginLATGroup $ radiusLoginLAT
 Node $ radiusLoginLATPort $ radiusLoginLATService $ radiusLoginService $ radi
 usLoginTCPPort $ radiusLoginTime $ radiusPasswordRetry $ radiusPortLimit $ ra
 diusPrompt $ radiusProxyToRealm $ radiusRealm $ radiusReplicateToRealm $ radi
 usServiceType $ radiusSessionTimeout $ radiusStripUserName $ radiusTerminatio
 nAction $ radiusTunnelClientEndpoint $ radiusProfileDn $ radiusSimultaneousUs
 e $ radiusTunnelAssignmentId $ radiusTunnelMediumType $ radiusTunnelPassword 
 $ radiusTunnelPreference $ radiusTunnelPrivateGroupId $ radiusTunnelServerEnd
 point $ radiusTunnelType $ radiusUserCategory $ radiusVSA $ radiusExpiration 
 $ dialupAccess $ radiusNASIpAddress $ radiusReplyMessage ) )
olcObjectClasses: {1}( 1.3.6.1.4.1.3317.4.3.2.2 NAME 'radiusObjectProfile' DES
 C 'A Container Objectclass to be used for creating radius profile object' SUP
  top STRUCTURAL MUST cn MAY ( uid $ userPassword $ description ) )

Eingespielt wird es mit:

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f freeradius_schema.ldif

Die Objektdefinitionen geben durch ihren Namen schon einen Hinweis darauf, was noch alles möglich ist. Internetprovider setzen deswegen oft genau auf dieses Protokoll.

Freeradius für die Nutzung von LDAP konfigurieren

Falls noch nicht geschehen, muss freeradius zunächst installiert werden. Bei Debian und seinen Derivaten tut es ein Einzeiler:

1	apt-get install freeradius

Jetzt sind einige Konfigurationsdateien zu bearbeiten:

/etc/freeradius/modules/ldap

server = "localhost"
identity = "cn=admin,dc=domain,dc=tld"
password = <secret>
basedn = "ou=test,dc=domain,dc=tld"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
base_filter = "(objectclass=radiusprofile)"
access_attr = "dialupAccess"
password_attribute = userPassword

dc=domain,dc=tld ist natürlich an den eigenen LDAP anzupassen. Der Binduser unter „identity“ muss Lesezugriff auf Attribute des Radius-Schemas haben. Diese müssen in der Regel extra gewährt / konfiguriert werden, eigentlich sollte man das nicht so gerne über den Hauptadmin des Baumes lösen.

/etc/freeradius/sites-enabled/default & /etc/freeradius/sites-enabled/inner-tunnel

Vor folgende Zeilen in beiden Dateien die Kommentarzeichen entfernen (Abschnitt authorize / authenticate):

ldap
Auth-Type LDAP {
   ldap
}

Jetzt kann man beide Dienste neu starten:

1 2	service slapd restart service freeradius restart

Testen des Einstellungen

Nun kann man überprüfen, ob das Login gegen LDAP funktioniert:

1	radtest "test_ldap_user" "test_ldap_passwort" localhost 18120 "secret"

secret findet man in /etc/freeradius/clients.conf in der Sektion „localhost“. Wenn man von weiteren IPs aus authentifizieren möchte, muss man einfach für jeden Rechner einen neuen Block anlegen. Vorkonfiguriert ist bei Debian und Derivaten für localhost „testing123“. Wenn alles klappt, sollte die Ausgabe etwa so aussehen:

Sending Access-Request of id 213 to 127.0.0.1 port 1812
	User-Name = "<test_ldap_user>"
	User-Password = "<test_ldap_passwort>"
	NAS-IP-Address = 127.0.0.1
	NAS-Port = 18120
	Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=213, length=20

Wichtig ist das Access-Accept packet am Schluss. Klappt es aus irgendwelchen Gründen nicht, gibt es ein Access-Reject packet.

Linux Authentifizierung, Einrichtung, freeradius, openldap, WLAN

OpenLDAP ab 2.4 installieren und einrichten

8. Januar 2016 Maik Riecken 8 Kommentare

Vorweg

Mir ist keine Quelle im Netz bekannt, die die Einrichtung von OpenLDAP wirklich umfassend darstellt – schon gar nicht auf Deutsch. Diese Informationen hier sind aus allen möglichen Ecken zusammengeklaubt – selbst die meisten Bücher zu OpenLDAP empfinde ich als sehr wenig hilfreich.

Grundinstallation

Hinweis: domain.tld muss man natürlich immer an den eigenen openLDAP anpassen.

Zuerst installieren wir die Binaries, in Debian und seinen Abkömmlingen (Ubuntu, Mint etc.) z.B. so:

1	apt-get install slapd ldap-utils

Die Installationsroutine von Debian legt dabei nur eine sehr rudimentäre Konfiguration an, sodass etwas Nacharbeit vonnöten ist. Bei anderen Distributionen kenne ich mich nicht so gut aus. Ein

1	dpkg-reconfigure slapd

ermöglicht uns hier die Eingabe einer korrekten Basis-DN (auf die muss unser SSL-Zertifikat ausgestellt sein), meist sowas wie

dc=domain, dc=tld

und zusätzlich definieren wir dabei ein Rootpasswort für den LDAP-User

cn=admin,dc=domain,dc=de

Handling von OpenLDAP

Ab Debian Squeeze speichert der OpenLDAP-Server seine Konfiguration in einem internen LDAP-Baum und nicht mehr in einem Konfigurationsfile. Das macht die Pflege auf den ersten Blick erheblich aufwändiger, weil man an diesen Baum in der Standardkonfiguration nur umständlich über Konsolentools herankommt. Zudem kann eine fehlerhafte Datenbank dazu führen, dass der OpenLDAP nach einer Konfigurationsänderung gar nicht mehr hochkommt.
Nur der Rootbenutzer des Systems kommt immer auch direkt an die Daten. Man kann sich die bestehenden Inhalt nur als root anzeigen lassen mit:

1	ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config"

Neue Einträge können über *.ldif-Files hinzugefügt werden:

1	ldapmodify/ldapadd -Y EXTERNAL -H ldapi:/// -f

Hinweis zu Ubuntu 14.04 LTS

Der Installer setzt den Accountnamen für den Benutzer mit Zugriff auf den cn=config-Baum standardmäßig auf: cn=admin,dc=domain,dc=tld. Dann macht man Befolgen dieser Anleitung ein langes Gesicht. Um das auf den Standard zu ändern, benötigt man nur für Ubuntu 14.04 LTS noch eine kleine Änderung (change_admin.ldif):

dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,cn=config

Obligatorisch:

1	ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f change_admin.ldif

Sicherheit

OpenLDAP-Verbindungen per TLS absichern

Vorweg: Hier kann ganz viel schiefgehen, obwohl ich dieses Kapitel mit am wichtigsten finde. Wenn OpenLDAP aus irgendwelchen Gründen die Zertifikatfiles nicht frisst, kann man mit der Konfiguration von vorne beginnen oder man hat vorher ein Backup der alten Datenbank gemacht. Deswegen überspringe ich diesen Schritt gerne und binde den OpenLDAP einfach nicht an öffentlich erreichbare Netzwerkdevices. Wenn man das machen muss, führt aus Datenschutzgründen aber kein Weg an dieser Prozedur hier vorbei. LDAP ist genau wie FTP ein Klartextprotokoll, dass ohne Transportverschlüsselung auf dem gesamten Datenweg offenliegt und gerade in WLAN-Umgebungen sehr leicht belauscht werden kann.
Generell gibt es zwei Möglichkeiten, wie man an kostenlose Zertifikate kommen kann. Wosign oder StartSSL. Es gibt diverse Tutorials im Netz zur Nutzung dieser Dienste. Von Letsencrypt würde ich im Kontext von OpenLDAP eher abraten. StartSSL und WoSign sind mittlerweile Geschichte. Wenn es kostenlos sein soll, führt kein Weg an letsencrypt vorbei. Man muss dann dafür sorgen, dass OpenLDAP nach jedem Certupdate neu gestartet wird, also alle drei Monate mindestens.

Man hat am Ende des Zertifizierungsprozesses in der Regel drei Dateien vorliegen:

domain.tld-crt.pem (enthält das Zertifikat)
domain.tld-key.pem (enthält den privaten Schlüssel)
ca_chain.pem (enthält die Zertifizierungschain der CA)

domain.tld ist dabei der Wurzelbaum des openLDAP. Ich habe die Dateien nach /etc/ldap/ssl gelegt. Besser aufhoben sind sie in /etc/ssl/cert – dann muss slapd Leserechte dort bekommen.

Folgende Datei (tls_ldap.ldif) anlegen:

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ldap/ssl/ca_chain.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ldap/ssl/domain.tld-key.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/ssl/domain.tld-crt.pem

… und über die Konsole einspielen:

1	ldapadd -Y EXTERNAL -H ldapi:/// -f tls_ldap.ldif

oder auch

1	ldapmodify -Y EXTERNAL -H ldapi:/// -f tls_ldap.ldif

Ich bin zusätzlich ein Freund davon, sichere Verbindungen zu erzwingen. Clients, die das nicht wollen oder können, sollen bitte draußenbleiben.

Folgende Datei (force_tls.ldif) anlegen:

dn: olcDatabase={1}hdb,cn=config
changetype:  modify
add: olcSecurity
olcSecurity: tls=1

Und wieder einspielen:

1	ldapadd -Y EXTERNAL -H ldapi:/// -f force_tls.ldif

oder auch

1	ldapmodify -Y EXTERNAL -H ldapi:/// -f force_tls.ldif

Jetzt noch in /etc/default/slapd nachschauen, ob die Services stimmen (ldaps über Port 639 gilt als veraltet und sollte nicht mehr verwendet werden). In der Regel steht da so etwas:

1	SLAPD_SERVICES="ldap://0.0.0.0:389/ ldapi:///"

Wenn man mehrere NICs besitzt, kann man natürlich statt 0.0.0.0 auch die IP einer spezifischen Netzwerkkarte angeben oder den OpenLDAP nur an localhost (127.0.0.1) binden.

Ein

1	service slapd restart

bringt Aufklärung, ob das Ganze funktioniert hat. Theoretisch ist das nicht notwendig, da OpenLDAP durch das neue Verfahren ohne Konfigurationsdatei quasi live im Betrieb gepatcht wird. Jetzt sollte der OpenLDAP Verbindungen von außen nur noch verschlüsselt akzeptieren. Von der Konsole aus ( ldapi:/// ) klappt das nach wie vor auch normal. Wir vertrauen uns ja schon selbst.

Bruteforce erschweren

Ein offener LDAP-Server ist anfällig für brute-force Attacken – zumal gerade im Schulbereich viele unsichere Passwörter im Umlauf sein dürften. Durch das ppolicy.schema kann man z.B. nach einigen fehlgeschlagenen Logins den Account für eine Weile automatisch sperren. openLDAP bringt das dafür notwendige Schema in /etc/ldap/schema/ppolicy.ldif schon mit.

dn: cn=ppolicy,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: ppolicy
olcAttributeTypes: {0}( 1.3.6.1.4.1.42.2.27.8.1.1 NAME 'pwdAttribute' EQUALITY
  objectIdentifierMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.38 )
olcAttributeTypes: {1}( 1.3.6.1.4.1.42.2.27.8.1.2 NAME 'pwdMinAge' EQUALITY in
 tegerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {2}( 1.3.6.1.4.1.42.2.27.8.1.3 NAME 'pwdMaxAge' EQUALITY in
 tegerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {3}( 1.3.6.1.4.1.42.2.27.8.1.4 NAME 'pwdInHistory' EQUALITY
  integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {4}( 1.3.6.1.4.1.42.2.27.8.1.5 NAME 'pwdCheckQuality' EQUAL
 ITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {5}( 1.3.6.1.4.1.42.2.27.8.1.6 NAME 'pwdMinLength' EQUALITY
  integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {6}( 1.3.6.1.4.1.42.2.27.8.1.7 NAME 'pwdExpireWarning' EQUA
 LITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {7}( 1.3.6.1.4.1.42.2.27.8.1.8 NAME 'pwdGraceAuthNLimit' EQ
 UALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {8}( 1.3.6.1.4.1.42.2.27.8.1.9 NAME 'pwdLockout' EQUALITY b
 ooleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {9}( 1.3.6.1.4.1.42.2.27.8.1.10 NAME 'pwdLockoutDuration' E
 QUALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {10}( 1.3.6.1.4.1.42.2.27.8.1.11 NAME 'pwdMaxFailure' EQUAL
 ITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {11}( 1.3.6.1.4.1.42.2.27.8.1.12 NAME 'pwdFailureCountInter
 val' EQUALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE
 )
olcAttributeTypes: {12}( 1.3.6.1.4.1.42.2.27.8.1.13 NAME 'pwdMustChange' EQUAL
 ITY booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {13}( 1.3.6.1.4.1.42.2.27.8.1.14 NAME 'pwdAllowUserChange'
 EQUALITY booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {14}( 1.3.6.1.4.1.42.2.27.8.1.15 NAME 'pwdSafeModify' EQUAL
 ITY booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {15}( 1.3.6.1.4.1.4754.1.99.1 NAME 'pwdCheckModule' DESC 'L
 oadable module that instantiates "check_password() function' EQUALITY caseExa
 ctIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcObjectClasses: {0}( 1.3.6.1.4.1.4754.2.99.1 NAME 'pwdPolicyChecker' SUP top
  AUXILIARY MAY pwdCheckModule )
olcObjectClasses: {1}( 1.3.6.1.4.1.42.2.27.8.2.1 NAME 'pwdPolicy' SUP top AUXI
 LIARY MUST pwdAttribute MAY ( pwdMinAge $ pwdMaxAge $ pwdInHistory $ pwdCheck
 Quality $ pwdMinLength $ pwdExpireWarning $ pwdGraceAuthNLimit $ pwdLockout $
  pwdLockoutDuration $ pwdMaxFailure $ pwdFailureCountInterval $ pwdMustChange
  $ pwdAllowUserChange $ pwdSafeModify ) )

Eingespielt wird das Schema mit:

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f ppolicy.ldif

Das Schema ppolicy.ldif selbst definiert nur Objekte für das entsprechende Modul, was jetzt noch geladen werden muss, wofür wir eine Datei policy_module.ldif mit folgendem Inhalt anlegen:

dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: ppolicy.la

Und das alte Spiel:

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f policy_module.ldif

Jetzt brauchen wir noch eine Ablage (policy_context.ldif) für die verschiedenen Regelsätze:

dn: ou=policies,dc=domain,dc=tld
objectClass: organizationalUnit
objectClass: top
ou: policies

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f policy_context.ldif

Und als nächstes eine Default-Policy (default_policy.ldif):

dn: cn=default,ou=policies,dc=domain,dc=tld
objectClass: top
objectClass: device
objectClass: pwdPolicy
cn: default
pwdAttribute: 2.5.4.35
pwdMaxAge: 15552000
pwdInHistory: 3
pwdMinLength: 6
pwdMaxFailure: 3
pwdLockout: TRUE
pwdLockoutDuration: 1800
pwdGraceAuthNLimit: 3
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: TRUE

In diesen Beispiel wird nach drei fehlgeschlagenen Loginversuchen ( pwdMaxFailure: 3 ) das Login für 1800 Sekunden ( pwdLockoutDuration: 1800 ) gesperrt. Das sollte klebrig genug sein.

Muss ich es noch schreiben?

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f default_policy.ldif

Da OpenLDAP ja so fluffig und intuitiv ist, brauchen wir jetzt noch ein Overlay (policy_overlay.ldif), dass dem OpenLDAP sagt, dass statt des normalen Loginhandlings jetzt immer auch die Default-Policy gelten soll:

dn: olcOverlay=ppolicy,olcDatabase={1}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=default,ou=policies,dc=domain,dc=tld
olcPPolicyHashCleartext: TRUE
olcPPolicyUseLockout: TRUE

Ihr wisst, was jetzt kommt:

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f policy_overlay.ldif

Damit hätten wir grundsätzlich verschlüsselte Verbindungen erzwungen und zusätzlich Bruteforce-Angriffe erschwert. Bleibt noch eines zu tun:

Anonymous-Bind verbieten

Standardmäßig erlaubt openLDAP einen sogenannte anonymous bind, d.h. man erhält lesend Zugriff auch ohne die Eingabe eines Passwortes. Diese lesende Zugriff ist sehr eingeschränkt, z.B. gibt es keinen Zugriff auf bestimmte Objektklassen oder gar Passworthashes. Mir ist die Vorstellung trotzdem nicht geheuer, dass sich u.a. Nutzernamen auf diesem Weg auslesen lassen. Daher verwende ich für den lesenden Zugriff einen separaten User, der sich mit Passwort authentifizieren muss, ansonsten aber nicht mehr Rechte als beim anonymous bind hat. Deswegen unterbinden wir das mit einer neuen Datei noanonymous.ldif:

dn: olcDatabase={1}hdb,cn=config
add: olcRequires
olcRequires: authc
 
dn: olcDatabase={-1}frontend,cn=config
add: olcRequires
olcRequires: authc

Und jetzt kommt etwas anderes, weil wir einen bereits bestehenden Datenbankeintrag aktualisieren:

1	ldapmodify -Y EXTERNAL -H ldapi:/// -f noanonymous.ldif

Nach dem Einspielen der letzten Änderung hat man ohne Authentifizierung auch über die Konsole keinen Zugriff mehr auf den Hauptbaum des OpenLDAP (dc=domain, dc=tld) – die war bisher auch sowas wie „anonym“ aus Sicht des LDAP. Man muss dann ausweichen auf eine andere Befehlszeile (cn=config ist davon nicht betroffen):

1	ldapadd -x -D cn=admin,dc=domain,dc=tld -W -f

Danach wird man zur Eingabe des Adminpasswortes aufgefordert und kann so den Hauptbaum beschreiben und verändern.

Optionale Arbeiten

Performancetuning

Diese Datei ( index.ldif )

dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: cn pres,sub,eq
-
add: olcDbIndex
olcDbIndex: sn pres,sub,eq
-
add: olcDbIndex
olcDbIndex: uid pres,sub,eq
-
add: olcDbIndex
olcDbIndex: displayName pres,sub,eq
-
add: olcDbIndex
olcDbIndex: default sub
-
add: olcDbIndex
olcDbIndex: uidNumber eq
-
add: olcDbIndex
olcDbIndex: gidNumber eq
-
add: olcDbIndex
olcDbIndex: mail,givenName eq,subinitial
-
add: olcDbIndex
olcDbIndex: dc eq

einspielen mit

1	ldapadd -Q -Y EXTERNAL -H ldapi:/// -f index.ldif

Benutzer für die Administration von cn=config einrichten

Wenn man sauch den cn=config-Baum auch über komfortablere Frontends wie phpldapadmin oder LAM verwalten möchte, muss man das Objekt cn=admin, cn=config noch um weitere Einträge ergänzen. Zunächst erzeugen wir uns über die Konsole ein Passwort:

1	slappasswd -h {SSHA}

Wir erhalten einen Hash zurück, den wir in die Zwischenablage kopieren. Jetzt erstellten wir ein ldif-File (manager.ldif):

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}
 
# auskommentieren, wenn wir den Zugriff von root  auf cn=config 
# ohne Passwort sperren wollen. Sollte als Fallback besser erhalten bleiben
 
#dn: olcDatabase={0}config,cn=config
#changetype: modify
#delete: olcAccess

1	ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f manager.ldif

Wenn wir jetzt in phpldapadmin (ab Version 1.2.2) oder lam als Base-DN cn=config verwenden und als Login cn=admin, cn=config, können wir cn=config auch grafisch verwalten.

Quelle: https://wiki.debian.org/PhpLdapAdmin

War doch ganz einfach oder?

OpenLDAP ist extrem sperrig, aber eine hervorragende Authentifizierungsmöglichkeit, da im Gegensatz zu Datenbanksystemen die Struktur hochgradig standardisiert sowie mustergültig objektorientiert ist und sich OpenLDAP so recht schnell in beliebige Anwendungen integrieren lässt – fast alle ernstzunehmenden Onlinetools unterstützen die Authentifizierung über LDAP. OpenLDAP diente nicht umsonst nicht als Vorlage für die LDAP-Funktionen von Samba4 – weil es eben so sperrig ist.

Linux Absicherung, Anleitung, Debian, Einrichtung, Konfiguration, openldap, Policy, TLS

Neues Jahr, neue Zielgruppen

6. Januar 2016 Maik Riecken 6 Kommentare

Dieses Blog ist ja relativ breit aufgestellt, was die Themen angeht. Erstmals habe ich auch etwas an anderer Stelle veröffentlicht und dabei sehr viel darüber gelernt, wie man Leserinnen und Leser nicht vergrault – da bietet so mancher Artikel hier doch einigen Optimierungsbedarf.

WordPress hat den entscheidenen Vorteil, dass es relativ suchmaschinenfreundlich aufgestellt ist. Da hier mittlerweile einiges an Inhalten vorhanden ist, werde ich demnächst ein paar Dinge verändern – für die treuen Feedleser sollte dabei alles beim Alten bleiben.

Die Seite selbst wird sich mehr in Richtung eines Onlinemagazins entwickeln. Viele Artikel aus den vergangenen Jahren kann ich so etwas prominenter präsentieren – man sieht schon etwas im Header der Seite oder als Widget. Da werde ich aber noch viel experimentieren. Vielleicht kann ich den einen oder anderen so etwas länger auf der Seite halten.
Ich möchte versuchen im Zuge von Punkt 1 mehr mit Bildern zu arbeiten. Das lockert die Texte ggf. etwas auf und macht es dem Lesenden u.U. leichter, dem teilweise doch recht minimalistischen Kauderwelsch zu folgen. Ich werde dazu Bilder unter CC0-Lizenz nutzen, etwa von Pixabay oder Jay Mantri.
Ich werde meine Inhalte allesamt nach und nach hier im Blog zusammenziehen. Wundert euch also nicht, wenn hier demnächst auch viel Technikkram aus meinen Administrationserfahrung und der Arduino-AG hier hineindiffundiert. Wenn ich das Veröffentlichungsdatum frisiere, sollte da eigentlich nicht so viel in den Feed hineinwirken.
Uneins bin ich mir noch, ob ich mich über Twitter hinaus in sozialen Netzwerken engagieren sollte. Mich machen die meisten Sachen und Diskussionen dort nicht besonders glücklich. Meine Twitterwelt besteht ja fast ausschließlich aus der Edu-Welt-Filterblase, die ich sehr bereichernd finde, die aber auch eine recht geschlossene ist.

Dieses Blog bekommt seine meisten Besucher über Suchmaschinen, naja, eigentlich über eine Suchmaschine. Diese „belohnt“ Seiten mit Inhalten mit hohen Platzierungen. Jeder neue Inhalt profitiert damit von den bestehenden, ist also u.U. in einem Wiki wie bisher nicht gut aufgehoben.

Ich weiß, dass es nicht „statthaft“ ist, so zu denken und zu schreiben – Geld gibt es aber keines für dieses Blog und Kommentare oder direkte Rückmeldungen auch eher wenig, d.h. ich möchte gerne schauen, wie ich motiviert bei der Sache bleiben kann und da bleiben neben den altruistischen, idealisierten Ansätzen eigentlich nur nackte Zahlen.

Allgemein, Gesellschaft Blog, Erweiterung, Magazin, Neuorientierung, Promotion, Zielgruppe

Lernplattformen

28. Dezember 2015 Maik Riecken 16 Kommentare

Vorbemerkung:

Ich äußere hier meine Sicht und meine Meinung zum Thema Lernplattformen, die sich allein auf meinem persönlichen Erfahrungswissen gründet. Auch ich kenne Schulen, an denen es mit einer Lernplattform gut läuft und auch ich denke, dass in bestimmten Konstellationen eine Lernplattform ggf. hilfreich für Schulentwicklung sein kann.

Warum ich Lernplattformen sehr kritisch sehe

Lernplattformen wie Moodle, Commsy oder auch kommerzielle Varianten wie itslearning, Webweaver, Google Classroom und iTunes U stellen eine virtuelle Lernumgebung bereit.

Das Prinzip ist fast immer gleich: Ein zentrales Login ermöglicht Zugriff auf bestimmte Funktionen, die sich gruppieren und strukturieren lassen, z.B. kann ich innerhalb von Moodle sogenannte Kurse anbieten, die diverse Funktionen bereitstellen, etwa ein Forum, Arbeitsmaterialien, eingebettete Medien, Onlinetests u.v.m.. Diese Kurse kann ich teilen, exportieren, wiederverwerten, gemeinsam mit anderen Lehrkräften entwickeln. Darüberhinaus werden zunehmend Kurationstools eingesetzt, etwa bei iTunes U: Ich kann ähnlich wie bei paper.li Webinhalte auf einer speziellen Seite zusammenstellen – quasi ein Webquest auf multimedial.

Das hört sich erstmal prima an. Ich war in Deutschland lange Zeit sehr aktiv in der Moodleszene und hatte als Berater Zugriff auf zahlreiche Testinstallationen kommerzieller Produkte. Ich bin kein Maßstab, weil ich zentralisierte Dinge für die Arbeit mit digitalen Medien nicht mehr benötige, aber keine der Teststellungen und keine meiner Testinstallationen in den letzten Jahren hat mich in irgendeiner Weise dazu gebracht, Spaß oder Freude bei der Arbeit mit dem jeweiligen System zu empfinden.

Das ist ja auch nicht zwingend notwendig, aber dazu kam, dass auch der für mich sehr typische pragmatische Zugang auf keiner der Lernplattformen möglich war: Sie kosteten mich einfach nur Zeit durch die komplizierte Bedienung, die vorgegebenen Strukturen, das oft haarsträubende Dateimanagement, die proprietären Schnittstellen – und ich halte mich selbst für einen mittelmäßig begabten Anwender (das ist etwas völlig anderes als ein Techniker oder Administrator). Es gibt eine Reihe von Werbeaussagen zu Lernplattformen, die ich im Folgenden einmal aufs Korn nehmen möchte:

1. Eine Lernplattform bietet schulweit einen geschützten Raum mit klar definierter Benutzerführung

Das stimmt von einem technologischen Standpunkt aus. Hypothetisch bietet sie das. „Schulweit“ bedeutet für mich, dass alle Lehrkräfte in diese Plattform eingewiesen sind und regelmäßig im Unterricht mit ihr arbeiten. Nur so entwickeln sich Routinen im Alltag. Tatsächlich höre ich von Schulen, in denen Lernplattformen „eingeführt“ sind, ganz oft ganz andere Dinge. „Schulweit“ bedeutet in der Realität oft genug „drei oder vier besonders aktive Lehrkräfte mit ihren Lerngruppen“.

„Schulweit“ ist eine Haltung, die schon vorhanden sein muss, bevor eine Lernplattform ihr unterstützendes Potential überhaupt entwickeln kann.

„Einfach mal machen“ führt oft genug lediglich dazu, dass eine Lernplattform 1:1 die Strukturen an einer Schule abbildet – somit ist sie für mich dann zwar ein tolles Beratungsinstrument, aber oft genug sehr bald für die Schule selbst eine zusätzliche Belastung.

Man sieht das recht hübsch an den Diskussionen im deutschen Forum auf moodle.org. Immer noch drehen sich gefühlt 90% der Fragen um Sperren, Einschränken, Bewertungsraster feintunen und ähnliche Dinge.

Wenn ich versuche, in Richtung „schulweit“ zu beraten, kommt seltsamerweise am Schluss oft eben nicht die Entscheidung für eine Lernplattform dabei heraus, sondern erstmal sowas in die Richtung wie Dateiaustausch, Termine, E‑Mail – also typische Cloudfunktionen. Danach entwickelt es sich oft eher von dem Grundkonstrukt „Lernplattform“ weg.

2. Eine Lernplattform bietet erweiterte Möglichkeiten der Zusammenarbeit zwischen Lehrkräften durch z.B. Austausch von Materialien, Aufgabenstellungen und Medien

Das stimmt von einem technologischen Standpunkt aus. Hypothetisch bietet sie das. Ich kann z.B. bestimmte Strukturen exportieren und im nächsten Jahr wiederverwenden. Wenn ich einen Kurs zum Thema „Programmieren mit Arduino“ erstellt habe, kann ich diesen darüberhinaus mit anderen Lehrkräften teilen. Bei Moodle kann ich sogar im gleichen Kurs mit verschieden Gruppen gleichzeitig arbeiten, ohne dass diese Gruppen sich gegenseitig sehen. Ich kann das. Was ist mit meinem Kollegen, der nicht einmal weiß, wie er das Bild des Notebooks auf den Beamer bekommt? Der wird schon an der Anmeldung und der Einrichtung eines Kurses in Moodle scheitern – andere Systeme sind da aber tatsächlich entschieden intuitiver.

Wer darüberhinaus schon einmal einen Kurs in einer Lernplattform gebaut hat, weiß, dass das oft Stunden dauert – für mich völlig ineffizient. Zudem will ich ja gerade nicht nur Inhalte bereitstellen, sondern ich möchte mich z.B. im Fach Deutsch mit meinem Fachwissen mit den von SuS erstellten Inhalten auseinandersetzen und sie selbst darüber ins Gespräch bringen.

Wenn ich hingegen Inhalte bereitstellen muss (z.B. im Fach Chemie), dann tue ich das doch nicht auf einer proprietären Lernplattform mit ihren für mich extremst eingeschränkten Im- und Exportfunktionen. Meine Inhalte sind für mich als Lehrer eine essentielle Ressource, mit der ich mich nicht an ein Format binden möchte, was ich nicht selbst kontrollieren kann. Wenn eine Schule z.B. jahrelang bei Anbieter x auf Lernplattform y gearbeitet und der Anbieter dann z.B. die Preisstruktur massiv ändert (das ist kein hypothetisches Setting, sondern das kommt vor!) – sage ich dann als Schule: „Och, jetzt ist zwar die Arbeit von Jahren im System, aber den Preis, nö, den zahle ich nicht und wechsle jetzt zu Anbieter z!“

Meiner Meinung nach unterschätzen viele Anbieter genau diesen Aspekt, weil er selten so klar formuliert wird, aber intuitiv bei vielen Lehrkräften eine sehr große Rolle spielt. Dazu kommt die Angst, dass Materialien durch die digitale Präsenz auf einmal auch beurteil- und evaluierbar werden. Das kann man kritisieren und doof finden. Die Angst bleibt trotzdem.

3. Eine Lernplattform ist ein zentrales Instrument zur Organisation von Kommunikationsprozessen an Schulen und schafft so Transparenz

Das stimmt von einem völlig veralteten technologischen Standpunkt aus. Meist funktionieren Lernplattformen so, dass man sich über eine Weboberfläche einloggen muss, um dann auf eine Art Dashboard zu kommen, was alle relevanten Informationen für mich anzeigt. Oder es gibt eine gesonderte App für ein Mobilgerät (Handy, Tablet), die das für mich erledigt. In meiner Welt (und in der Welt der Mobilgeräte überhaupt) findet Datenaustausch aber recht anders statt:

E‑Mail über imaps
Termine über CalDAVs
Dateien über WebDAVs
Nachrichten über XMPP (mit Ende-zu-Ende-Verschlüsselung)
Kontaktdaten über CardDAVs
Inhalte über XML
[…]

Das sind alles offene Protokolle/Formate, wie sie jeder von uns täglich nutzt ohne es zu wissen, weil irgendeine App das erledigt, die wir entweder vom Hersteller des Betriebssystem übernehmen oder aber selbst bestimmen. Hersteller von Lernplattformen neigen zum überwiegenden Teil dazu, diese offenen, freien und verschlüsselten Standards durch irgendetwas zu ersetzen, das nur zu ihrer jeweiligen Lernplattform passt.

Schlachtung meiner Thesen durch Anbieter

In der Kommunikation mit Anbietern, werden derartige Thesen von mir nicht geschlachtet, sondern in einer ganz bestimmten Art und Weise gekontert.

proprietäre Formate sind für die Konsistenz der Daten notwendig. Zudem sind technisch keine übergreifenden Austauschformate möglich (PS: Das XML-Format von Moodle oder WordPress zeigt, dass das wohl schon irgendwie geht)
die Schulkultur, die zu der von mir geforderten „schulweit“-Lösung notwendig ist, kann sich ja evolutionär durch Unterstützung mit einer Lernplattform bilden – ohne ginge es ja gar nicht – das sei ja gerade die Verantwortung der Schule (PS: Da liegt der Kern der Arbeit, bei dem eine Lernplattform gerade nicht unterstützt)
für die meisten Schulen sind die durch Lernplattformen gebotenen Kommunikationserweiterungen schon Quantensprünge gegenüber der bisherigen Kommunikationskultur (PS: Die Sache wäre wesentlich niederschwelliger zu bewerkstelligen ohne den Umweg über Weboberflächen)
Lernplattformen lassen sich durch Zusatztools hervorragend ergänzen und in ihren Möglichkeiten erweitern – Moodle etwa durch das schülerzentrierte Mahara (PS: Die Integration der dabei entstehenden Inhalte in die ursprüngliche Lernplattform ist dann meist eher recht rudimentär implementiert)
Lernplattformen haben als Mittel zur Organisation von instruktiven Lernprozessen eine wichtige Rolle

Ich sehe das viel zu negativ, weil ich immer mit der „Kundenbindungspotentialbrille“ auf die verschiedenen Angebote schaue: Ein Anbieter ist auf Wertschöpfung angewiesen – daran ist überhaupt nichts Verwerfliches.

Ich halte die Kundenbindung aber auch für ein Motiv, eben z.B. keine anbieterübergreifenden Im- und Exportstandards zu implementieren – natürlich wird das niemand so offen nach außen kommunizieren.

Wie soll man es denn sonst machen?

Das wäre eine eigener Artikel. Deswegen hier nur zwei Thesen:

Identity‑, Gruppen- und Rollenmanagement gehören nicht in eine Lernplattform, sondern öffentlich organisiert. Durch ACLs wird festgelegt, was die Lernplattform (oder die jeweilige Applikation) lesen/sehen darf und was nicht und welche Rolle wer wo im System erhält.
Die zentrale Verwaltung des Identitymanagements gibt jeder Lehrkraft bzw. jeder Schule die Möglichkeit, die Tools einzusetzen, die sie für ihren Unterricht für notwendig hält: Lernplattform, Blog, Wiki, Videokonferenzsoftware – alles werden lediglich „Apps“, die daran anbindbar sind – auf Knopfdruck installiert, mit Nutzern befüllt.

PS: Das geht alles schon und ist auch schon so umgesetzt – allerdings eher auf Firmenebene.

Methoden, Tech-Talk aaaslide, Anbieter, Grenze, Grenzen, Implementation, Kritik, Lernplattform

Netzneutralität und die Telekom

1. Dezember 2015 Maik Riecken Kommentar hinterlassen

Weitgehend unbeachtet von vielen Internetnutzern tobt im Hintergrund gerade ein Kampf zwischen Rechenzentrumsbetreibern und der deutschen Telekom als größtem Anbieter von Internetanschlüssen.

Was verkauft die Telekom?

Die Telekom verkauft i.d.R. an Privatkunden sogenannte asymmetrische Internetzugänge, d.h. man kann z.B. Filme sehr schnell aus dem Netz streamen, jedoch z.B. Fotos zu seinen Fotodienst nur langsamer hochladen, z.B. hat man bei VDSL50 einen Downstream von 50Mbit/s und einen Upstream von 10Mbits/s. Bei den mobilfunkbasierten Produkten sieht das ähnlich aus. Naturgemäß laden die Telekomkunden damit mehr Daten aus dem Netz herunter als herauf.

Das hat zu einen technische Gründe, weil man so mehr Kunden einen guten Download bieten kann, zum anderen auch einen strategischen: Wäre jeder Haushalt gut symmetrisch an das Internet angebunden, bestünde irgendwann kaum noch eine Notwendigkeit, seine Webseite bei einem Provider hosten zu lassen und zudem wäre das eigene Netz dann sehr schnell voll mit angreifbaren Servern, die nicht professionell gewartet werden.

Wie kommen die Daten aus dem Internet zur Telekom?

Netze verschiedener Anbieter werden an bestimmten Stellen über Knotenpunkte gekoppelt, damit z.B. Daten US-amerikanischer Anbieter wie YouTube, Google oder Microsoft auch im Netz der Telekom ankommen. Üblicherweise werden die Knoten entsprechend des Bedarfes der Endkunden ausgebaut. Wenn mehr Menschen z.B. HD- oder gar 4K-Inhalte anschauen möchten, muss einerseits derjenige, der die Filme anbietet, besser an das übrige Internet angebunden sein, andererseits muss der Knotenpunkt zur Telekom auch über ausreichend Kapazität verfügen – das Rohr muss also dick genug sein – das kostet Geld.

Und wo tobt jetzt der Kampf?

Die Telekom baut ihre Knotenpunkte zu anderen Anbietern mittlerweile nicht mehr dem Bedarf entsprechend aus, z.B. zum Rechenzentrum von Hetzner, ein größerer Player im deutschen Rechenzentrumsmarkt. Angebote, die Hetzner gehostet sind, laufen damit gerade zur Primetime nur noch sehr langsam über die Telekomleitungen.

Die Telekom sagt: Jahaa! Wenn du Hetzner Daten performant zu uns schieben willst, dann musst du dafür extra bezahlen, so ein dickes Rohr kostet halt Geld! Brisanterweise laufen die entsprechenden Angebote der Telekom schnell durch die Leitungen (z.B. Entertain). Die meisten Rechenzentrumsbetreiber bezahlen anstandslos dann Geld an die Telekom und geben die Kosten an ihre Kunden weiter.

Hetzner macht das auch, aber anders: Hetzner sagt dem Kunden: „Wenn du Daten schnell zur Telekom schieben willst, zahlst du dafür einen Aufpreis, weil nur die Telekom so handelt – alle anderen Anbieter bauen ihre Knotenpunkte ja aus!“ – Hetzner geht es nach eigener Aussage darum, auf die Problematik der Politik der Telekom aufmerksam zu machen und geht dabei auch das Risiko ein, Kunden zu verlieren.

Mit Angeboten von YouTube, Google, Netflix etc. macht die Telekom das nicht bzw. ist anzunehmen, dass da wohl für die „digitale Überholspur“ auch Geld fließt. Die Telekom kassiert damit doppelt: Einmal von den Kunden für den Internetanschluss, der ohne ungebremsten Zugriff zum Internet ja irgendwo blöd ist und zum zweiten von den Anbietern, die das Internet zu Internet und damit das Produkt der Telekom zum Produkt machen.

Die Telekom sagt: Jahaa, ihr Anbieter! Ihr liefert ja viel mehr Daten an unser Netz als wir an euer. Das ist kein Teilen mehr, das ist Transit.

Wir erinnern uns an dieser Stelle daran, dass die Telekom asymmetrischen Anschlüsse verkauft. Und es wäre ja doof, wenn die telekomeigenen Angebote dann super laufen, aber der Steamingdienst aus Pusemuckel ruckelt. Für den Schlichtkunden ist dann klar: Dann kaufe ich doch das Telekomprodukt!

Die Telekom sagt dann: Jahaa, du Streamingsdienst aus Pusemuckel, kannst ja extra zahlen! (nunja, sie haben es dann hinterher ja gar nicht so gemeint …).

Die Problematik

Die Telekom bestimmt somit, welche Dienste in ihrem Netz performant laufen und welche nicht. Das hat mit Netzneutralität und freiem Internet ganz wenig zu tun. Es sind die Kunden der Telekom, welche Daten anfordern und die Telekom muss m.E. schauen, wie sie da kostendeckend arbeitet. Da sie ihre Endkunden nicht die Preiserhöhungen verschrecken will, versucht sie es halt anders. Jeder sollte sich überlegen, ob ein solches Gebahren unterstützenswert ist.

PS: Ich bin Hetzner- und Kabeldeutschlandkunde.

Gesellschaft, Tech-Talk Angebot, doppelt, hetzner, Internet, Kosten, Netzneutralität, Peering, Telekom, Transit

« 1 … 21 22 23 24 25 … 148 »

Lernplattformen

Schöne neue dokumentierte Schülerwelt

Die Nernstsche Gleichung aufstellen

Paraphrase und Reorganisation

Macht und Schule

Radiusserver gegen LDAP authentifizieren lassen

Allgemein

Radiusschema in OpenLDAP integrieren

Freeradius für die Nutzung von LDAP konfigurieren

/etc/freeradius/modules/ldap

/etc/freeradius/sites-enabled/default & /etc/freeradius/sites-enabled/inner-tunnel

Testen des Einstellungen

OpenLDAP ab 2.4 installieren und einrichten

Vorweg

Grundinstallation

Handling von OpenLDAP

Hinweis zu Ubuntu 14.04 LTS

Sicherheit

OpenLDAP-Verbindungen per TLS absichern

Bruteforce erschweren

Anonymous-Bind verbieten

Optionale Arbeiten

Performancetuning

Benutzer für die Administration von cn=config einrichten

War doch ganz einfach oder?

Neues Jahr, neue Zielgruppen

Lernplattformen

Vorbemerkung:

Warum ich Lernplattformen sehr kritisch sehe

1. Eine Lernplattform bietet schulweit einen geschützten Raum mit klar definierter Benutzerführung

2. Eine Lernplattform bietet erweiterte Möglichkeiten der Zusammenarbeit zwischen Lehrkräften durch z.B. Austausch von Materialien, Aufgabenstellungen und Medien

3. Eine Lernplattform ist ein zentrales Instrument zur Organisation von Kommunikationsprozessen an Schulen und schafft so Transparenz

Schlachtung meiner Thesen durch Anbieter

Wie soll man es denn sonst machen?

Netzneutralität und die Telekom