Dies ist eine alte Version des Dokuments!
Wir betreiben für die TU Braunschweig eine Wireless LAN Infrastruktur mit mehreren hundert Access-Points, die weiterhin ausgebaut wird. Mit der SSID eduroam werden moderne Verschlüsselungsverfahren eingesetzt, und über den Protokollstandard 802.1X werden auf Basis von Benutzerkennung und Passwort die Zugriffsberechtigten authentifiziert und autorisiert. Über die gleiche Funknetzkennung mit der wir einen geregelten Zugriff auf Netzressourcen bereitstellen, können Sie und Ihre Anwender über das etablierte eduroam-Projekt weltweit an allen teilnehmenden Forschungseinrichtungen das Internet benutzen. Selbstverständlich müssen Sie hierzu keine Konfigurationsänderungen an Ihrem Rechner vornehmen.
Als DV-Koordinator Ihrer Einrichtung suchen Sie nach Möglichkeiten, wie Sie Ihren Benutzern das Arbeiten im Instituts-Netz möglichst komfortabel gestalten können. Mobiles Arbeiten mit Unterstützung durch Wireless LAN im Institutsnetz ist dabei eine der am häufigsten angefragten Lösungen im Bereich Wireless LAN.
Seit August 2008 haben wir dazu ein Angebot für Sie. Ob am Arbeitsplatz, in der Bibliothek oder im Hörsaal: Die IP-Adressen Ihres Institutes können auch im Wireless LAN genutzt werden. Netzwerk-Resourcen in Ihrem Institutsnetz werden mobil verfügbar. Mitglieder eines Instituts erhalten die Möglichkeit mit Ihrem Laptop ohne Änderungen an der Konfiguration so zu arbeiten, als wäre Ihr Gerät über ein LAN-Kabel mit einer Netzwerkbuchse im Büro verbunden. Die Nutzung von institutsspezifischen Diensten (Fileserver, u.a.) ist mit diesem Angebot flexibel an allen Standorten der TU Braunschweig möglich. Als Teil des Instituts-Netzes gilt für die mobilen Geräte die gleiche Firewall die ggf. das Institut von außen schützt.
Als Koordinator beantragen Sie die Nutzung von Instituts-WLAN einfach durch ein E-Mail an noc@tu-bs.de. Da wir die Infrastruktur für Sie betreiben, liegt Ihr Vorteil im Wesentlichen in der Einfachheit der Administration. Über das Personen-Interface KDD schalten Sie nach Bereitstellung des Angebots Ihre Anwender einzeln für den drahtlosen Zugriff auf den Institutsnetzbereich frei. Die Einrichtung erfolgt in mehreren Schritten:
In fast allen Netzbereichen ist die Nutzung dieses Angebotes möglich. Eine wesentliche Voraussetzung ist jedoch, dass im Instituts-Netz ein DHCP-Server durch Sie oder uns betrieben wird. In der Regel ist dies bereits der Fall, wenn Sie unser DHCP-Angebot nutzen.
Haben Sie Bedenken, dass die Funkabdeckung durch unsere Access-Points nicht ausreicht? Sprechen Sie uns an, wir möchten gerne mit Ihnen gemeinsam Lösungen zur Verbesserung der Funknetzabdeckung finden.
Als DV-Koordinator schalten Sie bequem die Benutzerkennungen Ihrer Benutzer im KDD für diese Nutzung frei. Sie können dabei auf Basis der Benutzerkennungen entscheiden, welche Personen diesen Dienst nutzen dürfen und welche Personen in Ihrer Einrichtung weiterhin per WLAN in allgemeine Netze geschaltet werden.
Wählen Sie hierzu im KDD das Modul Personen zu Netzwerk aus. Sofern für Ihr Institut der Dienst Institut-WLAN und/oder Instituts-VPN konfiguriert ist, finden Sie in der Tabelle mit den Personen die Ihrer Einrichtung/Institut angehören, die Spalte mit der Bezeichnung Instituts-WLAN/VPN. Die Unterscheidung, ob zu einer oder mehreren Benutzerkennungen einer Person der Remote Zugriff geschaltet ist, wird über einen roten Kreuz (alle Benutzerkennungen können im WLAN/VPN nur auf die öffentlichen Netze zugreifen) oder einen grünen Haken (mindestens für eine Benutzerkennung wurde ein anderes Netzwerk ausgewählt) angezeigt.
Wenn Sie links vom Namen der Person auf das Dreieck klicken, klappen sich die Benutzerkennungen der Person auf und Sie sehen die genaue Zuordnung der Freischaltungen dieser Person.
Wollen Sie für eine der aufgelisteten Personen die Freischaltung einer Benutzerkennung ändern, klicken Sie den Namen der Person oder eine der zugehörigen Benutzerkennungen an. Die ganze Zeile erscheint dann grau hinterlegt. Klicken Sie dann am unteren Ende der Tabelle auf Auswahl.
In der folgenden Ansicht werden Ihnen die der Person zugeordneten Benutzerkennungen aufgelistet. (Bei manchen Personen sind dies mehrere: personenbezogene Benutzerkennung, Funktionsaccounts, i-Nummern etc. Für den normalen Benutzer ist es zumeist nur eine Benutzerkennung.) Rechts daneben befindet sich in der Spalte Netzwerk ein Dropdown-Menü zu jeder Benutzerkennung. Dort können Sie zwischen Public Network (keine Freischaltung) und dem/den Netz/Netzen Ihrer Einrichtung auswählen. Bestätigen Sie die neue Zuordnung, indem Sie auf OK klicken. Die so getroffenen Einstellungen werden über Nacht in die Systeme provisioniert, so dass die Änderung ab dem nächsten Morgen genutzt werden kann.
Die Möglichkeit das Instituts-WLAN zu benutzen, wird über den DV-Koordinator der jeweiligen Einrichtung eingerichtet. Seitens der Benutzer ist keine weitere Interaktion nötig. Es müssen lediglich die verwendeten Geräte eduroam-konform mit der entsprechend für den Remote-Zugriff freigeschalteten Benutzerkennung konfiguriert sein. Dies gelingt am Besten über unser Konfigurationsportal. Siehe auch die Beschreibung unter WLAN einrichten über SecureW2 JoinNow (Plattformunabhängig).
Die Flexibilität in der Nutzung hat jedoch auch ihren Preis: Schalten Sie als DV-Koordinator eine Benutzerkennung für das Instituts-WLAN frei, so verbinden sich alle mit dieser Benutzerkennung konfigurierten Geräte über das WLAN mit dem Netz Ihres Instituts/Einrichtung. Sie als DV-Koordinator sehen sich daher einer neuen Flut von Geräten in dem von Ihnen verwalteten Netz gegenüber: Nicht nur das dienstlich bereitgestellte Laptop verlangt nach einer IP, sondern auch eine Vielzahl anderer Geräte wie Tablets, Smartphones, Wearables etc.
Auch wenn man bei all diesen Geräten aufgrund der IT-Ordnung eine dienstliche Nutzung unterstellt, steht die Frage im Raum, ob alle diese Geräte unbedingt Zugriff auf das interne Netz Ihres Instituts/Ihrer Einrichtung benötigen. Oft ist nur ein einfacher Internetzugang notwendig und nicht der Zugriff auf interne Ressourcen.
Durch das Konfigurieren des Remote-Zugriff im KDD haben weder DV-Koordinatoren noch Benutzer bislang die Option gehabt, bestimmte Geräte von dieser Konfiguration auszunehmen. Die Möglichkeit optional einige Geräte vom Remote-Zugriff auszunehmen ist sinnvoll und wurde mehrfach angefragt. Wir haben daher eine Lösung entwickelt, wie bei der Authentifizierung am eduroam WLAN durch eine Ergänzung bei der Benutzerkennung gesteuert werden kann, ob ein Gerät entsprechend der Vorgaben des DV-Koordinators behandelt und in das für die Benutzerkennung konfigurierte Instituts-WLAN geschaltet werden soll, wenn der DV-Koordinator dies im KDD so konfiguriert hat oder ob ein Gerät auf jeden Fall nicht in das Instituts-WLAN geschaltet wird. Man kann dieses für das Instituts-WLAN adaptierte Verfahren als opt-out-Lösung bezeichnen.
Um bei aktiviertem Remote-Zugriff einzelne Geräte quasi per „opt-out“ statt gezwungener Maßen in das Instituts-Netz wieder in die allgemeinen Netze zu schalten, muss lediglich bei der auf dem betreffenden Gerät konfigurierten Benutzerkennung die Zeichenfolge #public ergänzt werden. Dies kann schon bei der initialen Konfiguration oder einer erneuten Konfiguration des Gerätes über das SecureW2 JoinNow Portal geschehen. Ferner kann auch die bestehende Konfiguration manuell geändert werden. Dies sollten Sie aber nur dann in Erwägung ziehen, wenn Sie genaue technische Kenntnisse haben. Denn in der Konfiguration der Geräte stellt sich die Änderung – geräteabhängig – unterschiedlich dar. Beachten Sie, dass bei der händischen Änderung der Konfiguration die Angabe nicht so verändert werden darf, dass sowohl die resultierende Konfiguration nicht mehr im Roaming an anderen Einrichtungen funktioniert als auch die Konfiguration weiterhin sicher ist. Als Grundregel für Änderungen gilt daher:
Beispiel SecureW2 JoinNow Installer | |
---|---|
Windows SecureW2 JoinNow Installer | |
Empfehlung: Wenn Sie den SecureW2 JoinNow Installer verwendet haben, nutzen Sie ihn bitte erneut, um die Konfiguration anzupassen. Dies gilt für alle Betriebssysteme, die mit dem SeucreW2 JoinNow konfiguriert werden können. | |
Android SecureW2 JoinNow Installer | |
Eingabe im Installer: | Ergebnis in Gerätekonfiguration: |
Beispiel SecureW2 Enterprise (Einrichtungen, die den Enterprise-Installer über SCCM verteilen) | |
---|---|
Hier finden Sie gelegentlich gestellte Fragen und die dazugehörigen Antworten zu unserem Angebot Instituts-WLAN: