Hallo.
Kurze Frage zum WebUI (Schulkonsole): Kann man den Schalter WLAN an/aus auch für iPads verwenden (also lauter Geräte, die nicht in der devices.csv stehen und auf denen auch keine Anmeldung durch die User erfolgt in dem Sinne, dass ein Kerberos-Ticket angelegt wird)?
Bei uns ist der Schalter im Moment ohne Funktion (Icon immer rot). Auf der OPNSense müsste dazu das Plugin " Squid Web Proxy" ebenfalls richtig konfiguriert sein, richtig?
Danke.
Viele Grüße,
Michael
Hallo Michael,
ich verwende Freeradius um den WLAN ZUgang per WPA2 Enterprise zu regeln. Dabei fragt der Freeradius den AD pro Benutzer danach, ob er in der Grußße „wifi“ (ich weiß nciht, wie die Gruppe genau heißt) ist, oder nicht.
Der Knopf in der WebUI eißt den Nutzer der Gruppe zu (grün) oder nimmt ihn raus (rot).
Je nach dem kann der Nutzer das WLAN verwenden, oder eben nicht.
Das hat ncihts damit zu tun, ob das Gerät in der Devices steht, oder nicht.
Das ist NUtzerbezogen, nicht Gerätebezogen.
LG
Holger
Hallo Holger,
Ok, aber es bleibt doch dabei, dass das nur für Clients funktioniert, bei denen eine Anmeldung in Form von Login/Passwort geschieht. Das ist doch auf den Tablets normalerweise nicht der Fall. Die sind ja (leider) einfach immer online – ohne Zugangsdaten.
Oder übersehe ich da noch etwas?
Viele Grüße,
Michael
… jetzt weiß ich wieder, was ich übersehen hatte: Es liegt an den Einstellungen im UniFi-Controller, wie man den freeRADIUS-Server dort einstellt. Ich hatte das nicht mehr auf dem Schirm, da bei uns alle iPads im Moment über ein Zertifikat in das entsprechende WLAN gelangen und damit immer online sind.
Wenn man das also wieder ändern will, so dass die User nur noch nach Anklicken des Buttons „WLAN an/aus“ ins Internet gelangen können, müssten wir die Zertifikate von den Geräten wieder zurückziehen. Das ist aber auf iPads möglicherweise eher kontraproduktiv.
Macht das von Euch jemand so, dass die Apple Geräte nicht dauerhaft online sind?
MDM-Einstellungen sind dann ja offenbar nicht mehr ohne weiteres möglich…
Viele Grüße,
Michael
Hallo Michael,
wir haben dieses ipad-setting entwickelt und ich bin gerade im finalen Testen. Danach werde ich auch ausführlicher schreiben und teilen.
Wir haben eigene wlans/vlans für die Räume. Diese laufen über den Kerberos Proxy. Es gibt keine Dokumentation, aber iOS und ipadOS können sehr gut mit Kerberos umgehen. Das geht auch mit private iPads.
Damit funktioniert dann das Internetabstellen in der Schulkonsole, also der Button neben wlan.
Einziges Problem ist, wie kontrolliert mensch, dass die iPads auch in diesem WLAN sind und sich nicht einen Hotspot machen? Dafür habe ich eine Anwendung gebaut, die alle iPads in meiner sophomorix-Klasse/Gruppe anzeigt, verknüpft mit dem Benutzernamen( die MAC ist in Sophomorix beim Benutzer gespeichert). Wenn ein ipad in der Liste fehlt, kann ich den SoS ansprechen, dass er das richtige WLAN wählt und damit sperrbar wird.
Das Tool läuft auf dem klassenraum-PC, damit es im gleichen VLAN ist.
In dem Tool habe ich auch die pädagogischen Funktionen zum Teilen eingebaut.
Aber wie gesagt, ich bin noch am Fertigstellen, aber das Konzept ist schon getestet und funktioniert. (Die SuS malen dann halt Mandalas auf den iPads 
)
Viele Grüße, Helge
Hallo Helge,
das kingt zunächst mal gut … wenn es fertig ist, würde ich mich jedenfalls über weitere Berichte, wie es damit läuft, freuen. Eine Frage bleibt aber noch: Sorgt Dein Plugin auch für einen Disconnect oder „nur“ dafür, dass sich die User nicht neu anmelden können?
Und: Wer in der Gruppe „wlan“ ist, kann dann ja wieder ein beliebiges Gerät verwenden – also auch Privatgeräte, richtig? Eigentlich wollten wir genau das verhindern (daher bisher EAP-TLS)
Viele Grüße,
Michael
Nein. Das Tool kontrolliert nur, ob die iPads der SuS in „meinem“ WLAN sind. Und dann kann ich über die Schulkonsole das Internet sperren, das dann bedeutet, dass diese SuS über kein Kerberos-kontrollierten Proxy mehr ins Internet können - egal mit welchem Gerät. Die SuS können „ausbrechen“, wenn sie sich mit dem Handy einen Hotspot machen … aber das sehe ich dann mit meinem Tool.
Du meinst die Sperre für das Anmelden am Radius. Da musst du beachten, dass das nicht nachträglich funktioniert. Wenn ein SoS schon am WLAN angemeldet ist, kannst du ihn darüber nicht mehr abmelden. In der Regel stellen die Schulen Radius so ein, dass nachts wieder zurückgesetzt wird, also alle abgemeldet werden. Dann kannst du einen SoS am morgen gleich sperren - solange der SoS nicht vor dir da war
Viele Grüße
Helge
Hallo Helge,
ok – die Sache bleibt also leider komplex: Eigentlich ist es so, wie wir das im Moment haben, gar nicht so schlecht: Wir lassen nur solche Schülergeräte in das WLAN, die ein gültiges Zertifikat besitzen. Private oder BYOD-Geräte bleiben also draußen. Das gilt jedoch nicht für Lehrer. Sie können sich trotzdem anmelden, da sie zur Gruppe „teachers“ gehören. Soweit so gut … wenn wir nun anfangen sollten, die Zertifikate von den Geräten wieder zu entfernen, damit die SuS doch wieder ihre Credentials eingeben müssen, ist das zunächst mal eine Rolle rückwärts.
Der einzige Punkt wäre, dass man die Kontrolle zurück gewinnt, wer wann im Internet ist. Aber bei uns ist ein wirklich nerviger Punkt auch der, dass die Schüler sich bewusst aus dem WLAN abmelden, um sich den Kontrollen über das MDM entziehen zu können. Natürlich kann man das ständig kontrollieren und immer wieder einfordern, dass alle SuS gefälligst im „richtigen“ WLAN sein müssen, aber die Praxis zeigt, dass die Kollegen von dieser Praxis zunehmend angenervt sind, weil das einfach immer wieder wertvolle Unterrichtszeit kostet.
Aber zurück zu Deinem Plugin:
Also kann man das immer nur einmal machen? Anders gefragt: Was machst Du, wenn ein Schüler in der ersten Stunde Zugriff auf das Internet haben soll, in der zweiten Stunde aber nicht und in der dritten Stunde doch wieder? Dazu ist ein zwischenzeitlicher disconnect doch unumgänglich – oder verstehe ich etwas falsch?
Viele Grüße,
Michael
Wir reden teilweise aneinander vorbei. Ich hatte folgendes geschrieben, weil ich vermute, dass du den WLAN-Button in der Schulkonsole meintest. Der WLAN-Button steuert die Radius-Anmeldung.
Wir verwenden den WLAN-Button gar nicht, sondern nur den Internet-Button. Die iPads verbinden sich bei uns mit einem WLAN, dass dann eine Kerberos Authentifizierung verlangt.
Wie gesagt, wenn unser Setting ausreichend getestet ist, schreibe ich alles sauber auf und mach vielleicht ein kleines Filmchen. Dann wird es klarer.
Viele Grüße, Helge
Hallo Helge,
das hatte ich in der Tat nicht bemerkt/unterschieden. Aber wenn das so ist, dürfte es ja ganz egal sein, wie sich die Geräte vorher mit dem (richtigen) WLAN verbunden haben. Sehe ich das richtig, dass ich dann unseren Ansatz über EAP-TLS weiterhin verwenden kann und die Sperre über den „Internet an/aus“-Button dennoch funktionieren würde? In dem Fall wäre das genau das fehlende Puzzleteil, das ich suche 
Viele Grüße
Michael
Hallo Michael,
das kommt darauf an, wie ihr eure LANs in der Firewall „verkabelt“.
Unser BYOD-Wlan hatte ich bisher nicht erwähnt, um es einfach zu halten. Aber unser BYOD Wlan geht über den Radius (also WLAN-Button) und wird dann direkt ins Internet geroutet. Es hat keinen Zugriff auf unsere anderen Netzwerkkomponenten. Es ist ein „Gastnetz“ für die Schulgemeinschaft und kommt aus der historischen Entwicklung (unser Dino).
Wenn du euer Radius-LAN dann an den KerberosProxy route-est, könntest du den Internetzugang über den Internet-Button sperren. Aber die Nutzer müssen sich dann auf ihren Geräten auch über Kerberos autorisieren. Bei mobilen Endgeräten kann das eigentlich nur iOS und iPadOS. Von dem her werden sich bei der Konstruktion alle Android-, Tizen-,windows-, Linuxnutzer beschweren. Außer die letzten beiden, wenn sie Schulgeräte haben, die ja für Kerberosauth eingerichtet sind.
Viele Grüße, Helge
PS: oder du machst kein Kerberos und SSO …
Hallo.
Das P.S. verstehe ich nicht … wie geht es sonst noch?
Was den Punkt „Kerberos Autorisation und mobile Endgeräte“ angeht: Das wäre kein großes Thema, da sich in diesem WLAN bei uns (fast) nur iPads tummeln.
Aber unter’m Strich wird es vermutlich so sein, dass ich mir auf der OPNSense nochmal den Punkt → Dienste: Squid Web Proxy: Einmalige Anmeldung → Kerberos-Authentifizierungscheckliste ansehen muss. Da sind bei uns leider nicht alle Häkchen grün. 
Viele Grüße,
Michael
Hallo,
Das geht schon unter bestimmten Bedingungen, d.h. einer gut eingerichteten und getesteten Umgebung. Dies wurde hier im Forum auch schon thematisiert:
VG
Buster