Hallo.
Ich starte diese Frage nochmal neu, da heute ein neues Problem aufgetreten ist, das wir vorher so nicht auf dem Schirm hatten:
Wir haben einen Raum mit Laptops zur Ausleihe. Die befinden sich ein einem WLAN in grün, zu dem automatisch beim Start verbunden wird. So kann sich jeder User problemlos an der Domäne anmelden. Nun haben offenbar ein paar Schüler das WPA2-Passwort für dieses WLAN herausgefunden und im Jahrgang verteilt, so dass sich jetzt der halbe (oder ist es der ganze?) Jahrgang über dieses WLAN verbindet und so völlig ungestört online ist. Das war so natürlich nicht gedacht.
Daher die Frage, wie man das besser machen kann: Eigentlich würde ich den Laptops ja ein WPA2-Enterprise-WLAN verpassen wollen, doch dann läuft der Systemstart so ab, dass man sich zuerst am WLAN und dann nochmal am Laptop anmelden muss. Das ist zu kompliziert. Andererseits bringt es jetzt offenbar wenig bis gar nichts, nur das WPA2-Secret zu ändern, denn das dürfte sich ja genauso schnell neu unter den Schülern verteilen. Wie regelt ihr so einen Fall?
Fest steht: Die Laptops müssen sich beim Systemstart direkt mit einem WLAN verbinden. Natürlich stehen die MAC-Adressen der Geräte in der devices.csv, so dass ich auf einen zusätzlichen DHCP-Bereich womöglich auch völlig verzichten kann. Aber ein findiger Schüler kommt dann trotzdem weiter, oder?
Der „richtige“ Weg wäre es meines Wissens nach, die Authentifizierung mittels Wpa enterprise mit Zertifikat zu machen. Dann gibt es keinen Schlüssel, den man klauen kann.
Wie man das einrichtet, kann ich dir aber nicht sagen.
Das klingt sehr vernünftig! Das würde aber bedeuten, dass sich die startenden Laptops automatisch mit dem WLAN verbinden würden, richtig? Es wäre nicht nutzerfreundlich, wenn man die Verbindung zum WLAN vorher selbst anstoßen müsste … ich könnte das auch per GPO regeln, wenn es da Mittel und Wege gibt??
Hier wird’s konkret, wie es aussieht. Unser freeRadius läuft direkt auf dem v7-Server. Die Dateien, die in dem Beitrag genannt werden, sind alle vorhanden, aber ich habe da noch nichts weiter editiert: https://wiki.ubuntuusers.de/FreeRADIUS/#Zertifikate
… wir haben heute eine andere Lösung gefunden, die viel schneller umsetzbar war:
Da wir Unifi-Accesspoints haben, konnten wir im Controller die MAC-Adressfilterung aktivieren und eine Whitelist führen. So kommen nur noch die Geräte in das WLAN, die ausdrücklich zugelassen werden und die ganzen Schüler Smartphones sind wieder draußen . Das war schnell umgesetzt – auch wenn es nun so ist, dass die IPs über die devices.csv geführt werden, doch der WLAN-Zugang über die MAC-Adressen im Unifi-Controller geregelt wird! Vielleicht nicht so elegant wie ein Zertifikat, doch es funktioniert…
Ich markiere diesen Thread (für mich) als gelöst. Wenn jemand in Sachen WPA2-Enterprise und Zertifikat weitere gute Erkenntnisse hat, wäre ich trotzdem interessiert daran …
. Das war schnell umgesetzt – auch wenn es nun so ist, dass die IPs über die