Nachdem ich die Hardware sichere, will ich auch möglichst gut sicherstellen, dass v.a. der internetzugang etwas geregelt abläuft.
Nachdem ich gehört habe, wie an anderen Schulen in der näheren Umgebung Raspis als WLAN-Router an grüne Dosen gehängt wurden (MAC geklont natürlich, keine linuxmuster.net (!)), möchte ich wenigstens da einen Riegel vorschieben.
Meine Lösung, zu der ich von euch gerne Kommentare höre:
verzicht aufs grüne Netz
LAN-Dosen hängen in einem Netz LILA2 an einem Coova2, der in BLAU hängt (wie der Coova1)
auf dem zweiten Coova konfiguriere ich, dass Schüler aus der Oberstufe permanent Zugriff zum Internet haben (im Gegensatz zum Coova1)
Linuxclient startet anonym, Offline-Arbeit möglich, online-Arbeit nur nach Anmeldung am Coova2
Logging im Rahmen der Nutzungsordnung und der technischen Einschränkungen (nur HTTP-Verkehr, bei HTTPS nur die DNS-Anfrage bzw. die Ziel-IP-Adresse möglich) zusammen mit dem Coovalogin und der Zeit
Zugriff auf die Cloud, dementsprechend mehr oder weniger wieder Arbeitsplatz-Verhältnisse. Tauschordner werden nicht gemountet.
Wie findet ihr das? (bevor ich es aufsetze und mich um das Logging kümmere).
Hi.
Ein Gedanke zum WLAN hinter dem coova: Willst du da Client-Isolation aktivieren? Ich hatte damit gewisse Schwierigkeiten, wenn es aktiviert war und gleichzeitig der Zugriff auf die Schulkonsole möglich sein sollte…
Schöne Grüße,
Michael
etwas Off Topic, aber der Ansatz das zu verhindern muss eine rigoros durchgesetzte Benutzerordnung sein.
So eine Aktion würde bei uns zu einem Einstieg in Paragraf 90 ziemlich weit oben führen. Ich glaube im Wiederholungsfall wäre die Karriere da bei uns beendet. Letztlich ist das auch justiziabel, das müssen die Kids an dieser Stelle lernen.
Wenn du das wirklich verhindern willst, musst du auch die Rechner sehr hermetisch abschotten, sonst können die ja einfach als NAT Router missbraucht werden.
Was genau sind eure Bedenken, wenn die Oberstufenschüler einfach surfen können?
Ah, und noch was. Wenn es wirklich nur darum geht, bei schulischen PCs den Missbrauch von unbeaufsichtigten “grünen” Dosen zu verhindern, würde ich ganz anders verfahren:
Dier Rechner bekommen ein eigenes Segment
Die Switchports werden abgesichert, z.B. kein Auto Up mehr. Wenn also jemand das Gerät wechselt, ist die Dose einfach offline, bis sie (bzw. der zugehörige Switchport) wieder administrativ enabled wird. Das geht auch eleganter, aber KISS.
So kann ich als Admin die Rechner ganz normal pflegen, das schlimmste was die dann mutwillig machen können, ist, sich selber offline zu nehmen. Well, so be it…
Klappt leider nicht ganz so einfach, weil das über die MAC Adressen geht, und wenn einer die fälscht
Man könnte das wohl Skripten (Statusänderungen der Ports entweder aus remote Syslogs oder per SNMP Trap) aber dann ist der Vorteil des geringeren Aufwands gegen den Coova wieder abzuwägen. Mir erscheint der Coova Aufwand halt für die paar (potentiellen) Idioten viel zu groß, da wäre mir meine Zeit zu schade für, zumal das ja auch administrativ Folgen hat, wenn die Geräte nicht im grünen Netz sind.
Hallo Michael,
ist hier kein Problem. Ich habe Client Isolation in meinem ersten WLAN. YUgriff auf die Schulkonsole funktioniert aber. Ich habe auch kein Unity (war nicht dort das problem?)
der zweite Coova muss kein Client-Isolation haben, es ist auch nicht für WLAN gedacht, sondern zunächst nur für LAN-Schulgeräte.
Ja, wir nutzen Unifi. Hier war das so, dass die SchuKo nicht mehr erreichbar war, sobald die CI aktiv war. Der Versuch ist allerdings auch schon einige Zeit her. Vielleicht ist es ja mittlerweile mit einer aktuellen unifi-Controller-Version anders geworden? Hat das jemand aktiviert und kann davon berichten?
Im Controller heißt das „Guest Policy“…
Da hast du erstmal recht. Die ist nicht sehr präzise formuliert bei uns.
Auch hier: ja. Ich hoffe, dass LINBO (auch wenn es offline betrieben wird) zunächst als Barriere reicht. ABer es stimmt, dein bleibender Einwand: Ich habe einen administrativen Nachteil, wenn sie über LILA/BLAU nur erreichbar sind. Ich muss bei LINBO/Client updates immer erst das Netz wechseln, damit LINBO läuft.
Vermutlich (…) dass das ganze das erste Mal ist: Die Rechner sind mutwillig unbeaufsichtigt. Die Oberstufenschüler werden Quatsch machen, sei es nur um die kleineren zu ärgern, dass sie jetz 4chan, RTL3, reddit oder was auch immer grade „in“ ist „können“.
das wäre cool gewesen, danke für den Tipp. Denn die MAC-Adressen-Fälschung war genau das, was mir ein Schüler von einer anderen Schule berichtete.
Der administrative Nachteil ist blöd, vielleicht werde ich daher zurückrudern und einfach in Grün (in eigenes Segment) stellen, das musste ich ja grade sowieso einrichten.
Ein Vorteil ist noch: Ich kann bequem am Coova einstellen, dass nur Oberstufenschüler online sein dürfen. Wenn ich die Rechner im grünen Netz betreibe, muss ich anderweitig (PAM z.B.) am Client regeln, dass andere Schüler sich nicht einloggen dürfen.
Danke fürs mitdenken!
Tobias
Der Aufwand, coova per KVM zu clonen war gleich null. Heute morgen bin ich aufgewacht: Der Coova war funktionsfähig. Das war quasi wortwörtlich im Schlaf erledigt, auch wenn ich noch kein TCMP spreche:
Ja, wir nutzen Unifi. Hier war das so, dass die SchuKo nicht mehr
erreichbar war, sobald die CI aktiv war. Der Versuch ist allerdings auch
schon einige Zeit her. Vielleicht ist es ja mittlerweile mit einer
aktuellen unifi-Controller-Version anders geworden? Hat das jemand
aktiviert und kann davon berichten?
Im Controller heißt das “Guest Policy”…
ich kann mir nicht vorstellen, wie CI ein Problem für den SchuKo ZUgriff
sein soll…
