Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Ãœberarbeitung
Nächste Überarbeitung
Vorhergehende Ãœberarbeitung
Nächste Überarbeitung Beide Seiten der Revision
netz:wlan:institutswlan [2018/12/17 09:45]
tstrauf [Instituts-WLAN Nutzen (DV-Koordinatoren)]
netz:wlan:institutswlan [2020/04/23 10:29]
marsoika [Instituts-WLAN (oder Instituts-VPN) Nutzen (DV-Koordinatoren)]
Zeile 19: Zeile 19:
 Netzwerk-Resourcen in Ihrem Institutsnetz werden mobil verfügbar. Mitglieder eines Instituts Netzwerk-Resourcen in Ihrem Institutsnetz werden mobil verfügbar. Mitglieder eines Instituts
 erhalten die Möglichkeit mit Ihrem Laptop ohne Änderungen an der Konfiguration so zu arbeiten, erhalten die Möglichkeit mit Ihrem Laptop ohne Änderungen an der Konfiguration so zu arbeiten,
-als wäre ihr Gerät über ein LAN-Kabel mit einer Netzwerkbuchse im Büro verbunden. Die Nutzung+als wäre Ihr Gerät über ein LAN-Kabel mit einer Netzwerkbuchse im Büro verbunden. Die Nutzung
 von institutsspezifischen Diensten (Fileserver,​ u.a.) ist mit diesem Angebot flexibel an allen von institutsspezifischen Diensten (Fileserver,​ u.a.) ist mit diesem Angebot flexibel an allen
 Standorten der TU Braunschweig möglich. Als Teil des Instituts-Netzes gilt für die mobilen Geräte Standorten der TU Braunschweig möglich. Als Teil des Instituts-Netzes gilt für die mobilen Geräte
Zeile 37: Zeile 37:
   - Sie melden bei uns vorzugsweise per Mail an //​noc@tu-bs.de//​ Ihr Interesse am Instituts-WLAN Angebot an.   - Sie melden bei uns vorzugsweise per Mail an //​noc@tu-bs.de//​ Ihr Interesse am Instituts-WLAN Angebot an.
   - Wir prüfen die notwendigen technischen Voraussetzungen und ggf. notwendigen Anpassungen an der Netzkonfiguration in Ihrem Institut und an unseren Routern.   - Wir prüfen die notwendigen technischen Voraussetzungen und ggf. notwendigen Anpassungen an der Netzkonfiguration in Ihrem Institut und an unseren Routern.
-  - Sollten Änderungen an ihrer Netzwerkkonfiguration nötig sein um die technischen Voraussetzungen zu schaffen, wird mit Ihnen gemeinsam ein Zeitplan für die Durchführung der Änderungen erarbeitet, und die notwendigen vorbereitenden Arbeiten auf Ihrer und unserer Seite abgesprochen.+  - Sollten Änderungen an Ihrer Netzwerkkonfiguration nötig seinum die technischen Voraussetzungen zu schaffen, wird mit Ihnen gemeinsam ein Zeitplan für die Durchführung der Änderungen erarbeitet, und die notwendigen vorbereitenden Arbeiten auf Ihrer und unserer Seite abgesprochen.
   - Wenn alle vorbereitenden Arbeiten abgeschlossen sind, wird der Dienst Instituts-WLAN für Ihr Institut bereitgestellt. Im KDD haben Sie dann die Möglichkeit Ihrerseits Ihre Kollegen für diesen Dienst freizuschalten (Option **Remote Zugriff** in der Rubrik **Personen**).   - Wenn alle vorbereitenden Arbeiten abgeschlossen sind, wird der Dienst Instituts-WLAN für Ihr Institut bereitgestellt. Im KDD haben Sie dann die Möglichkeit Ihrerseits Ihre Kollegen für diesen Dienst freizuschalten (Option **Remote Zugriff** in der Rubrik **Personen**).
  
Zeile 47: Zeile 47:
  
 ===== Instituts-WLAN (oder Instituts-VPN) Nutzen (DV-Koordinatoren)===== ===== Instituts-WLAN (oder Instituts-VPN) Nutzen (DV-Koordinatoren)=====
-Als DV-Koordinator schalten Sie bequem die Benutzerkennungen Ihrer Benutzer im KDD für diese Nutzung frei. Sie können dabei auf Basis der Benutzerkennungen entscheiden,​ welche Personen diesen Dienst nutzen dürfen und welche Personen in Ihrer Einrichtung weiterhin per WLAN in allgemeine Netze geschaltet werden. ​+Als DV-Koordinator schalten Sie bequem die Benutzerkennungen Ihrer Benutzer im KDD für diese Nutzung frei. Sie können dabei auf Basis der Benutzerkennungen entscheiden,​ welche Personen diesen Dienst nutzen dürfen und welche Personen in Ihrer Einrichtung weiterhin per WLAN in allgemeine Netze geschaltet werden.
  
-{{:netz:​wlan:​kdd_personen_zu_netzwerk1.png?​200|}}{{:​netz:​wlan:​kdd_personen_zu_netzwerk2.png?​600|}}+Um die Netzzugehörigkeit festzulegen,​ gehen Sie bitte wie folgt vor:
  
-Wählen Sie hierzu ​im KDD das Modul //Personen zu Netzwerk// ​ausSofern ​für Ihr Institut der Dienst **Institut-WLAN** und/oder **Instituts-VPN** konfiguriert ist, finden ​Sie in der Tabelle mit den Personen die Ihrer Einrichtung/​Institut angehören, die Spalte mit der Bezeichnung //​Instituts-WLAN/VPN//Die Unterscheidung,​ ob zu einer oder mehreren Benutzerkennungen einer Person der Remote Zugriff geschaltet ​ist, wird über einen roten Kreuz (alle Benutzerkennungen können im WLAN/​VPN ​nur auf die öffentlichen Netze zugreifen) oder einen grünen ​Haken (mindestens ​für eine Benutzerkennung ​wurde ein anderes Netzwerk ​ausgewählt) angezeigt.  +  * Nach der Anmeldung ​im KDD gehen Sie bitte zum Modul //Personen zu Netzwerk//​. ​Sie finden Dies in der linken Seitenleiste. 
- +  * Im folgenden sollten Sie eine Tabelle mit den Personen sehen, die Ihrem Institut/ Ihrer Einrichtung angehören. 
-{{:​netz:​wlan:​kdd_personen_zu_netzwerk3.png?500|}} +    <note important>​Sie sehen diese Tabelle nur wenn für Ihr Institut/ Ihre Einrichtung ​der Dienst **Instituts-WLAN** und/oder **Instituts-VPN** konfiguriert ist!</​note>​ 
- +{{ :​netz:​wlan:​kdd_personen_zu_netzwerk_hinzufuegen_1.png?​700 |}} 
-Wenn sie links vom Namen der Person auf das Dreieck klicken, klappen sich die Benutzerkennungen der Person auf und Sie sehen Sie die genaue Zuordnung der Freischaltungen dieser Person. +  * Für jeden Benutzer sehen Sie in den Spalten ​WLAN und VPN jeweils die für diesen Bereich hinterlegte KonfigurationWenn in ein rotes Kreuz vorhanden ​ist, bedeutet dies, dass alle bei dieser Person hinterlegten Benutzernamen ​nur auf das öffentliche Netz zugreifen ​können. Sollte ein grüner ​Haken vorhanden sein, heißt dies, dass für mindestens ​eine Benutzerkennung ​der Person ​ein anderes Netzwerk, als das öffentliche Netzwerk, eingerichtet wurden ist. 
- +  * Wenn Sie auf den Pfeil bei der jeweiligen Person klicken oder auf den Namen Dieser, dann klappen die Benutzerkennungen zu dieser Person auf. Dort sehen Sie jetzt für jede einzelne Benutzerkennung,​ welcher Dienst einem anderen Netzwerk zugeordnet wurden ist oder sich im öffentlichen Netzwerk befindet. 
-Wollen ​Sie für eine der aufgelisteten Personen die Freischaltung einer Benutzerkennung ​ändernklicken ​Sie den Namen der Person oder eine der zugehörigen Benutzerkennungen ​anDie ganze Zeile erscheint dann grau hinterlegt. Klicken Sie dann am unteren Ende der Tabelle ​auf //Auswahl//. +{{ :netz:wlan:kdd_personen_zu_netzwerk_hinzufuegen_2.png?700 |}} 
- +  * Möchten ​Sie nun für eine Benutzerkennung ​eine Änderung vornehmenwählen ​Sie einfach die Zeile mit der Benutzerkennung ​an (Die ausgewählte ​Zeile wird grau hinterlegt). Klicken Sie anschließend ​auf den Button **Auswählen**. 
-{{:​netz:​wlan:​kdd_personen_zu_netzwerk4.png?300|}} +{{ :netz:wlan:kdd_personen_zu_netzwerk_hinzufuegen_4.png?700 |}} 
- +  * Es öffnet sich eine neue Seite zu den Einstellungen für die einzelnen Benutzerkennungen ​der ausgewählten ​Person. ​ 
- +{{ :netz:​wlan:​kdd_personen_zu_netzwerk_hinzufuegen_5.png?700 |}} 
-In der folgenden Ansicht werden Ihnen die der Person ​zugeordneten Benutzerkennungen aufgelistet(Bei manchen Personen sind dies mehrerepersonenbezogene Benutzerkennung,​ Funktionsaccounts,​ i-Nummern etcFür den normalen Benutzer ist es zumeist nur eine Benutzerkennung.) Rechts daneben befindet ​sich in der Spalte //​Netzwerk// ​ein Dropdown-Menü ​zu jeder Benutzerkennung. Dort können Sie zwischen //Public Network// (keine Freischaltung) und dem/den Netz/Netzen ​Ihrer Einrichtung ​auswählenBestätigen ​Sie die neue Zuordnung, indem sie auf //OK// klicken. Die so getroffenen Einstellungen ​werden über Nacht in die Systeme provisioniert, so dass die Ã„nderung ​ab dem nächsten Morgen genutzt werden ​kann.+  * Wählen Sie für die zu bearbeitende ​Benutzerkennung ​nun den jeweiligen Dienst aus und klicken Sie auf den aktuellen NetzwerknamenEs öffnet ​sich daraufhin ​ein Dropdown-Menü. Dort gibt es die Auswahl ​zwischen ​dem //Public Network// (keine Freischaltung) und dem oder den //Netzwerken Ihres Institutes/ ​Ihrer Einrichtung//Wählen ​Sie das jeweilige Netz aus und bestätigen ​die Auswahl dann mit einem Klick auf **OK**. 
 +{{ :​netz:​wlan:​kdd_personen_zu_netzwerk_hinzufuegen_3.png?​700 |}} 
 +<note important>​Die Ã„nderungen ​werden ​erst Ã¼ber Nacht in die Systeme provisioniert ​und deshalb können ​die Ã„nderungen erst ab dem nächsten Morgen genutzt werden!</​note>​
  
 ===== Instituts-WLAN Nutzen (Benutzer)===== ===== Instituts-WLAN Nutzen (Benutzer)=====
 Die Möglichkeit das Instituts-WLAN zu benutzen, wird über den DV-Koordinator der jeweiligen Einrichtung eingerichtet. Seitens der Benutzer ist keine weitere Interaktion nötig. Es müssen lediglich die verwendeten Geräte eduroam-konform mit der entsprechend für den Remote-Zugriff freigeschalteten Benutzerkennung konfiguriert sein. Dies gelingt am besten über unser Konfigurationsportal. Siehe auch die Beschreibung unter [[netz:​wlan:​wlan_einrichten_plattformunabhaengig|WLAN einrichten über SecureW2 JoinNow (Plattformunabhängig)]]. Die Möglichkeit das Instituts-WLAN zu benutzen, wird über den DV-Koordinator der jeweiligen Einrichtung eingerichtet. Seitens der Benutzer ist keine weitere Interaktion nötig. Es müssen lediglich die verwendeten Geräte eduroam-konform mit der entsprechend für den Remote-Zugriff freigeschalteten Benutzerkennung konfiguriert sein. Dies gelingt am besten über unser Konfigurationsportal. Siehe auch die Beschreibung unter [[netz:​wlan:​wlan_einrichten_plattformunabhaengig|WLAN einrichten über SecureW2 JoinNow (Plattformunabhängig)]].
 +
 ===== Instituts-WLAN und opt-out Lösung (DV-Koordinatoren,​ Benutzer)===== ===== Instituts-WLAN und opt-out Lösung (DV-Koordinatoren,​ Benutzer)=====
 +
 Die Flexibilität in der Nutzung hat jedoch auch ihren Preis: Schalten Sie als DV-Koordinator eine Benutzerkennung für das Instituts-WLAN frei, so verbinden sich alle mit dieser Benutzerkennung konfigurierten Geräte über das WLAN mit dem Netz Ihres Instituts/​Einrichtung. Sie als DV-Koordinator sehen sich daher einer neuen Flut von Geräten in dem von Ihnen verwalteten Netz gegenüber: Nicht nur das dienstlich bereitgestellte Laptop verlangt nach einer IP, sondern auch eine Vielzahl anderer Geräte wie Tablets, Smartphones,​ Wearables etc. Die Flexibilität in der Nutzung hat jedoch auch ihren Preis: Schalten Sie als DV-Koordinator eine Benutzerkennung für das Instituts-WLAN frei, so verbinden sich alle mit dieser Benutzerkennung konfigurierten Geräte über das WLAN mit dem Netz Ihres Instituts/​Einrichtung. Sie als DV-Koordinator sehen sich daher einer neuen Flut von Geräten in dem von Ihnen verwalteten Netz gegenüber: Nicht nur das dienstlich bereitgestellte Laptop verlangt nach einer IP, sondern auch eine Vielzahl anderer Geräte wie Tablets, Smartphones,​ Wearables etc.
  
 Auch wenn man bei all diesen Geräten aufgrund der IT-Ordnung eine dienstliche Nutzung unterstellt,​ steht die Frage im Raum, ob alle diese Geräte unbedingt Zugriff auf das interne Netz Ihres Instituts/​Ihrer Einrichtung benötigen. Oft ist nur ein einfacher Internetzugang notwendig und nicht der Zugriff auf interne Ressourcen. ​ Auch wenn man bei all diesen Geräten aufgrund der IT-Ordnung eine dienstliche Nutzung unterstellt,​ steht die Frage im Raum, ob alle diese Geräte unbedingt Zugriff auf das interne Netz Ihres Instituts/​Ihrer Einrichtung benötigen. Oft ist nur ein einfacher Internetzugang notwendig und nicht der Zugriff auf interne Ressourcen. ​
  
-Durch das Konfigurieren des Remote-Zugriff im KDD haben weder DV-Koordinatoren noch Benutzer bislang die Option gehabt, bestimmte Geräte von dieser Konfiguration auszunehmen. Die Möglichkeit optional einige Geräte vom Remote-Zugriff auszunehmen ist sinnvoll und wurde mehrfach angefragt. Wir haben daher eine Lösung entwickelt, wie bei der Authentifizierung am eduroam WLAN durch eine Ergänzung bei der Benutzerkennung gesteuert werden kann, ob ein Gerät entsprechend der Vorgaben des DV-Koordinators behandelt und in das für die Benutzerkennung konfigurierte Instituts-WLAN geschaltet werden soll wenn der DV-Koordinator dies im KDD so konfiguriert hat oder ob ein Gerät auf jeden Fall nicht in das Instituts-WLAN geschaltet wird. Man kann dieses für das Instituts-WLAN adaptierte Verfahren als opt-out-Lösung bezeichnen.+Durch das Konfigurieren des Remote-Zugriff im KDD haben weder DV-Koordinatoren noch Benutzer bislang die Option gehabt, bestimmte Geräte von dieser Konfiguration auszunehmen. Die Möglichkeit optional einige Geräte vom Remote-Zugriff auszunehmen ist sinnvoll und wurde mehrfach angefragt. Wir haben daher eine Lösung entwickelt, wie bei der Authentifizierung am eduroam WLAN durch eine Ergänzung bei der Benutzerkennung gesteuert werden kann, ob ein Gerät entsprechend der Vorgaben des DV-Koordinators behandelt und in das für die Benutzerkennung konfigurierte Instituts-WLAN geschaltet werden sollwenn der DV-Koordinator dies im KDD so konfiguriert hat oder ob ein Gerät auf jeden Fall nicht in das Instituts-WLAN geschaltet wird. Man kann dieses für das Instituts-WLAN adaptierte Verfahren als opt-out-Lösung bezeichnen.
  
 Um bei aktiviertem Remote-Zugriff einzelne Geräte quasi per "​opt-out"​ statt gezwungener Maßen in das Instituts-Netz wieder in die allgemeinen Netze zu schalten, muss lediglich bei der auf dem betreffenden Gerät konfigurierten Benutzerkennung die Zeichenfolge **#public** ergänzt werden. Dies kann schon bei der initialen Konfiguration oder einer erneuten Konfiguration des Gerätes über das [[netz:​wlan:​wlan_einrichten_plattformunabhaengig|SecureW2 JoinNow Portal]] geschehen. Ferner kann auch die bestehende Konfiguration manuell geändert werden. Dies sollten Sie aber nur dann in Erwägung ziehen, wenn Sie genaue technische Kenntnisse haben. Denn in der Konfiguration der Geräte stellt sich die Änderung -- geräteabhängig -- unterschiedlich dar. Beachten Sie, dass bei der händischen Änderung der Konfiguration die Angabe nicht so verändert werden darf, dass sowohl die resultierende Konfiguration nicht mehr im Roaming an anderen Einrichtungen funktioniert als auch die Konfiguration weiterhin sicher ist. Als Grundregel für Änderungen gilt daher: ​ Um bei aktiviertem Remote-Zugriff einzelne Geräte quasi per "​opt-out"​ statt gezwungener Maßen in das Instituts-Netz wieder in die allgemeinen Netze zu schalten, muss lediglich bei der auf dem betreffenden Gerät konfigurierten Benutzerkennung die Zeichenfolge **#public** ergänzt werden. Dies kann schon bei der initialen Konfiguration oder einer erneuten Konfiguration des Gerätes über das [[netz:​wlan:​wlan_einrichten_plattformunabhaengig|SecureW2 JoinNow Portal]] geschehen. Ferner kann auch die bestehende Konfiguration manuell geändert werden. Dies sollten Sie aber nur dann in Erwägung ziehen, wenn Sie genaue technische Kenntnisse haben. Denn in der Konfiguration der Geräte stellt sich die Änderung -- geräteabhängig -- unterschiedlich dar. Beachten Sie, dass bei der händischen Änderung der Konfiguration die Angabe nicht so verändert werden darf, dass sowohl die resultierende Konfiguration nicht mehr im Roaming an anderen Einrichtungen funktioniert als auch die Konfiguration weiterhin sicher ist. Als Grundregel für Änderungen gilt daher: ​
  
-<note important>​Wollen Sie aktiv ein Gerät aus dem Institus-WLAN in die allgemeinen Netzes schalten, so ergänzen Sie in der Konfiguration hinter Ihrer  Benutzerkennung **#​public**. **Beispiel:​** Aus der Benutzerkennung **maxmuste** wird **maxmuste#​public** Sofern aus der Gerätekonfiguration ersichtlich,​ bleibt stets der äußere Tunnel/die äußere Identität unverändert:​ anonymous@tu-braunschweig.de oder anonymous@tu-bs.de</​note>​+<note important>​Wollen Sie aktiv ein Gerät aus dem Institus-WLAN in die allgemeinen Netzes schalten, so ergänzen Sie in der Konfiguration hinter Ihrer  Benutzerkennung **#​public**. **Beispiel:​** Aus der Benutzerkennung **maxmuste@tu-braunschweig.de** wird **maxmuste#​public@tu-braunschweig.de** Sofern aus der Gerätekonfiguration ersichtlich,​ bleibt stets der äußere Tunnel/die äußere Identität unverändert:​ anonymous@tu-braunschweig.de oder anonymous@tu-bs.de</​note>​
 <note important>​ <note important>​
 Wir haben für Sie und Ihre Benutzer exemplarische **Anleitungen zum  ​ Wir haben für Sie und Ihre Benutzer exemplarische **Anleitungen zum  ​
Zeile 99: Zeile 103:
  
  
-  * F:Mein DV-Koordinator hat mir gesagt, dass mein Insitut ​jetzt diesen Instituts-WLAN Dienst nutzt. Aber was muss ich jetzt an meinem Notebook einstellen? Ich nutze bisher die über das Gauß- IT-Zentrum bereitgestellte Software und Eduroam.+  * F:Mein DV-Koordinator hat mir gesagt, dass mein Institut ​jetzt diesen Instituts-WLAN Dienst nutzt. Aber was muss ich jetzt an meinem Notebook einstellen? Ich nutze bisher die über das Gauß- IT-Zentrum bereitgestellte Software und eduroam.
   * A:Sie müssen nichts an Ihren Einstellungen ändern. Die notwendigen Änderungen wurden rein serverseitig durchgeführt.   * A:Sie müssen nichts an Ihren Einstellungen ändern. Die notwendigen Änderungen wurden rein serverseitig durchgeführt.
  
Zeile 107: Zeile 111:
  
   * F: Mein DV-Koordinator hat mir gesagt, ich darf nur das Notebook im Instituts-WLAN benutzen. Nun habe ich aber -- dienstlich notwendig -- ein Smartphone. Klar, ich kann auch über LTE auf E-Mail und Groupware zugreifen, um meine Termine zu managen. Aber wir haben doch fast überall eduroam. Darf ich das nun nicht mehr nutzen?   * F: Mein DV-Koordinator hat mir gesagt, ich darf nur das Notebook im Instituts-WLAN benutzen. Nun habe ich aber -- dienstlich notwendig -- ein Smartphone. Klar, ich kann auch über LTE auf E-Mail und Groupware zugreifen, um meine Termine zu managen. Aber wir haben doch fast überall eduroam. Darf ich das nun nicht mehr nutzen?
-  * A: Wenn Ihr DV-Koordinator ​ihre Benutzerkennung für das Instituts-WLAN freischaltet und Ihnen gleichzeitig aufgibt, nur bestimmte Geräte in das Insitituts-WLAN zu bringen, hat das seinen Grund. Neben Sicherheitsüberlegungen spielt sicher auch eine Rolle, dass sich Ihr DV-Koordinator/​Admin im Institut in einem heterogenen Umfeld mit schier unendlich vielen verschiedenen Geräten nicht um alle Geräte kümmern kann, wenn er seine Arbeit ordentlich machen möchte. Daher helfen Sie ihm bitte und nutzen Sie die "​opt-out"​-Lösung,​ Stichwort "#​public"​ weiter oben auf dieser Seite.+  * A: Wenn Ihr DV-Koordinator ​Ihre Benutzerkennung für das Instituts-WLAN freischaltet und Ihnen gleichzeitig aufgibt, nur bestimmte Geräte in das Insitituts-WLAN zu bringen, hat das seinen Grund. Neben Sicherheitsüberlegungen spielt sicher auch eine Rolle, dass sich Ihr DV-Koordinator/​Admin im Institut in einem heterogenen Umfeld mit schier unendlich vielen verschiedenen Geräten nicht um alle Geräte kümmern kann, wenn er seine Arbeit ordentlich machen möchte. Daher helfen Sie ihm bitte und nutzen Sie die "​opt-out"​-Lösung,​ Stichwort "#​public"​ weiter oben auf dieser Seite.
  
netz/wlan/institutswlan.txt · Zuletzt geändert: 2022/10/24 09:09 von nilkosch
Gauß-IT-Zentrum