Hallo,
hat jemand schon mal mit der Oberfläche Relution.io von Samsung zu tun gehabt?
Eine Schulklasse von uns hat Tablets von Samsung bekommen, die über Relution.io konfiguriert und gemanaget werden können.
Nun hat sich herausgestellt, dass die tablets die Funktion wlan per QR-Code teilen haben.
Das Ergebnis ist nun, dass sich nicht nur die Tablets in dem dafür vorgesehenen wlan der Schule befinden, sondern auch sehr viele Schüler mit ihren privaten Endgeräten.
In der Relution Oberfläche hab ich keinen „Schalter“ gefunden um das abzustellen.
Ich frage desshalb, weil wir hier keinen wirklichen Support haben.
Aber das ist eine ganz andere Geschichte…
Viele Grüße und jetzt schon mal entspannte und erholsame Ferienzeit.
Matthias
Hallo, ich habe keine Lösung für dein Problem, doch wir haben im Februar ebenfalls mit
Samsung Tablets & Relution begonnen. Da gab es jedoch Probleme am laufenden Band, so dass wir die Geräte letztlich zurückgegeben haben.
Wir hatten zwischendurch aber auch das Problem, dass sich plötzlich lauter Schülergeräte in einem WLAN befanden, in das sie nicht gehörten (nur Schulgeräte). Da war es so, dass ein findiger Schüler ein Ausleihgerät mit Win10 verwendet hat, dort das WLAN-Passwort im Klartext auslesen konnte und es dann an den halben Jahrgang verteilt hat. Hätte der Schüler das einfach heimlich still und leise nur für sein eigenes Gerät gemacht, wäre es vermutlich nie aufgefallen, doch als plötzlich die Laptops beim Start keine IP Adresse mehr bekommen haben, weil der Adress-Pool aufgebraucht war, war auch relativ schnell klar, wo das Problem steckte. ( Ich weiß nicht, ob neuere Win10 Releases das Passwort immernoch im Klartext anzeigen…)
Zurück zu Samsung: ich fand die Einstellungen über Samsung Knox extrem kompliziert und überhaupt nicht intuitiv…
Viele Grüße
Michael
Hallo Matthias,
Um Dir bei der Suche nach einer Lösung zu helfen, wäre es interessant, was da per QR-Code geteilt wird. Etwa ein WPA(2)-PSK?
Das wäre in der Tat kein angemessenes Authentifizierungsverfahren für schuleigene Geräte, solange der Benutzer diesen wie noch bei Windows 7 oder älteren Mac OS X Versionen auslesen kann! Dass dies auch noch bei älteren Windows 10 Versionen oder aktuellen Mac OS X (> 10.10?) ginge, wäre mir nicht bekannt - jedenfalls nicht, wenn die Verbindung vom Administrator so eingerichtet wurde, dass die WLAN-Verbindung vor der (Domänen-)Anmeldung hergestellt wird.
Wie man das in (Samsung) Android bewerkstelligt, wäre eine Frage an Samsung oder Relution.
Eine erste Maßnahme zur Migitation könnte sein, WLAN-Verbindungen oder DHCP auf bekannte MAC zu beschränken. Die vergeblichen Verbindungsversuche belasten natürlich weiter das WLAN.
Könnte diese QR-Code-Teil-App auch (kennwortgeschützte) Zertifikate transferieren? Wenn nein, solltest Du Euer Authentifizierungsverfahren dahingehend verändern.
Übrigens sollten die schuleigenen Geräte auch keinen HotSpot aufspannen können.
Weiterhin wäre interessant, ob Du überhaupt private Mobilgeräte in Eurer WLAN lassen willst und wenn ja, ob die sich anders als die schuleigenen authentifizieren und ob die Netzwerke getrennt sind.
Gruß Jürgen
Hallo Jürgen,
hab vielen Dank für deine Rückmeldung.
- Die Geräte authentifizieren sich über den Sicherheitstyp WPA-PSK.
- Der Tethering-Status ist Inaktiv/Deaktiviert
Eine Whitelist mit bekannten Geräten (mac-Adressen) hab ich in Relution im bereich WLAN nicht gefunden. Auch nicht die Möglichkeit, eine solche an zu legen.
Überdies kann man wohl auch mac Adressen vortäuschen, glaube ich …
Dass vergebliche Verbindungsversuche das WLAN belasten ist für mich ein wichtiger Hinweis.
Sollte dann die SSID am besten unsichtbar sein?
Das kann man wohl einstellen.
Die Funktionalität „Wlan über QR-Code teilen“ scheint ein Feature vom Betriebssystem zu sein.
Meines erachtens ist das keine App.
Wie das ganze dann über geschützte Zertifikate abläuft ist mir nicht nur nicht klar, sondern ich bin mir
ziehmlich sicher, dass ich so was nicht konfiguriert und eingerichtet bekomme.
Zu deiner Frage wegen den privaten Mobilgeräten:
Dazu haben wir ein BYOD-Wlan. Per Default sind die Lehrer berechtigt sich mit Ihrem Login (ldap) dort an zu melden. Die Schüler nur, wenn man es ihnen in der Schulkonsole erlaubt.
Viele Grüße Matthias
Hallo Michael,
ich könnte jetzt auf die Schnelle nicht ausschließen, dass das bei uns unmöglich ist.
Oh je… mehr fällt mir dazu im Moment nicht ein.
Viele Grüße Matthias
PS:
Vermutlich ist es nicht so einfach die wlan-teilen Funtion im Androidsystem über Relution zu deaktivieren.
Vielleicht muss ich versuchen auf unserem Unifi-Server die Einschränkung über gültige mac-Adressen versuchen ein zu richten.
Hallo Matthias,
Die Beschränkung des WLAN-Zugangs auf bekannte MAC-Adressen ist keine Sache des Clients, sondern des Servers. Mit Relution konfigurierst Du nur den Client. Entweder Du pflegst eine Liste der gültigen MACs auf den AccessPoints oder auf dem DHCP-Server. Wenn linuxmuster Dein DCHP-Server ist, müsstest Du die WLAN-Clients -falls nicht bereits geschehen- mit der Schulkonsole aufnehmen und den DHCP-Server nur IPs an bekannte MACs verteilen lassen. Auf einem „richtigen“ Rechner könnte man eine WLAN-Verbindung auch von Hand mit einer statischen IP einrichten, aber bereits das übersteigt die Fähigkeiten der meisten Zugangsdiebe. Die Lösung auf den APs dürfte schwieriger sein und ja, man kann sich auch die MAC überschreiben.
Die SSID zu „verbergen“ hilft nicht wirklich, zumal Deine ja bereits bekannt ist, und man kann den „Lärm in der Luft“ damit sogar noch steigern, wenn man „nach verborgenden Netzwerken sucht“. Deshalb wird meistens davon abgeraten.
Wenn Du für BYOD bereits einen RADIUS-Server implementiert hast, sind einige der Voraussetzungen für eine zertifikatsbasierte Authentifizierung bereits erfüllt.
Hast Du auf Euren APs unterschiedliche VLANs für BYOD eingerichtet? Dann bräuchtest Du nur ein weiteres zu definieren und ein oder mehrere Zertifikate zu erstellen, von denen Du das Client-Teil in ein mit Relution zu verteilendes WLAN-Profil einbaust. Leider kann ich da nur den theoretischen Ansatz beschreiben, weil wir in HH eine zentrale, externe, verbindliche RADIUS-Authentifizierungsinstanz haben und ich WLAN-Profile nur für iPads erstellt hab und diese mit der Mobilgeräteverwaltung von IServ verteile. Auf die Schnelle hab ich eine gute Anleitung nur für eine reine Windows-Welt gefunden, aber seit 2000 spricht ja auch Microsoft RFC 
Ich such die nächsten Tage aber weiter, weil‘s mich auch unter den Bedingungen in HH weiterhin interessiert. Und bestimmt wisst Ihr anderen hier noch mehr als ich
Gruß Jürgen
Hallo Matthias,
Hier was von @zefanja aus dieser Runde, der mehr Ahnung als ich von freeradius hat. Nach dieser Anleitung hatte ich vor der zentralistischen WLAN-Lösung in HH mal eine lmn 6.2 laufen, wo die KuK und SuS ihre BYOD mit deren lmn Credentials in unser WLAN einbuchen konnten. Erstaunlicherweise konnten die verwendeten 30€ „teuren“ APs von Longshine WPA2-Enterprise. Wie man sein WLAN-Netzwerk mit Freeradius absichern kann - .:zefanjas:.
Bei den schuleigenen Linux-Notebooks hatte ich zugegebenermaßen auch noch einen PSK verwendet, der aber 63 gewürfelte Zeichen lang und nur dem root beim Erstellen des Client Image temporär bekannt war und ansonsten geheim geblieben ist. Also quasi der Stand, den Du jetzt bereits hast.
So weit ich es recherchieren konnte, müsste die -übrigens seit Android 10Q in System integrierte- Funktion zum Teilen der WLAN-Verbindung passen, wenn etwas anderes als ein PSK geteilt werden soll. Teste doch bitte einmal, ob Du ein mit den BYOD Credentials eingerichtetes WLAN-Profil als derselbe und als ein anderer Benutzer teilen kannst. Wenn‘s nicht gehen sollte, bräuchtest Du nur noch ein 802.1x Zertifikat für RADIUS zu erstellen und ins zu verteilende WLAN-Profil einzubauen.
Vielleicht kannst Du sogar Deinen PSK schützen, wenn Du Deine Benutzer nicht unter dem Besitzerkonto des Tablet arbeiten lässt. Gibt es unter Android bzw. Relution eigentlich etwas zu „Shared iPad“ vergleichbares? Unsere schuleigenen iPads dürfen z. B. nur als Gast genutzt werden, so dass nach dem Abmelden (wird leider noch zu oft vergessen!) für den nächsten Benutzer keine Datenspuren bleiben.
@zefanja : Hast Du so was mit einem 802.1x Zertifikat für „Deine“ schuleigenen Geräte vielleicht schon gemacht und könntest Deine Anleitung darum ergänzen?
Gruß Jürgen
Hallo Jürgen, hast Du das hier gesehen?
Viele Grüße
Michael
Hallo Michael,
Nein hatte ich noch nicht. Erinnert mich aber an meinen Versuch mit Relution, der dann seitens des Relution Vertriebs „abgewürgt“ wurde, weil die nen (exklusiven?) Vertrag mit der Schulbehörde hätten …
Das hier hatte ich in der Testumgebung gemacht
Android Enterprise einrichten in Relution , war dann aber daran gescheitert, dass der Relution Agent auf den Promethean Panels, die ich damit verwalten wollte, nicht verfügbar ist. Na, ja, nun sind wir bei Radix
So Du, @matthiasL den Relution Agent für seine Samsung Tablets hast, müsstest Du wohl falls noch nicht geschehen, diese App(s) für Android Enterprise darauf installieren. Overview | Android Enterprise | Google Developers
Wenn das alles zusammenspielt, sollte ein normaler Benutzer das mit Relution enrolled WLAN-Profil nicht mehr einsehen/teilen können - sogar, wenn es nur ein PSK wäre!?
Aber: Alles nur angelesen und nicht wirklich durchdrungen (bei mir = ausprobiert).
Gruß Jürgen
Hallo Michael,
sorry ist schon etwas her…
Darf ich noch mal nachfragen?
Du schreibst, ich müsste die Apps für Android Enterprise … installieren.
Nun kann ich über die Relutionoberfläche lediglich (nach meinem Kentnisstand) Apps über den Google Play Store installieren.
Und dort dann insbesondere nur kostenfreie Apps.
Bevor ich falsche Apps dort zur installation auswähle, hier nochmal nachgefragt, wie ich an die von dir erwähnten Apps komme.
Wenn ich auf die entsprechenden Links aus deinem Post klicke lande ich nicht im Playstore auf entsprechenden Apps.
Vermutlich benötige ich da noch ganz andere Möglichkeiten und Rechte um auf den Tablets solche Installationen vor zu nehmen.
Viele Grüße
Matthias