Dies ist eine alte Version des Dokuments!
Wir betreiben für die TU Braunschweig eine Wireless LAN Infrastruktur mit mehreren hundert Access-Points, die weiterhin ausgebaut wird. Mit der SSID eduroam werden moderne Verschlüsselungsverfahren eingesetzt, und über den Protokollstandard 802.1X werden auf Basis von Benutzerkennung und Passwort die Zugriffsberechtigten authentifiziert und autorisiert. Über die gleiche Funknetzkennung mit der wir einen geregelten Zugriff auf Netzressourcen bereitstellen, können Sie und Ihre Anwender über das etablierte eduroam-Projekt weltweit an allen teilnehmenden Forschungseinrichtungen das Internet benutzen. Selbstverständlich müssen Sie hierzu keine Konfigurationsänderungen an Ihrem Rechner vornehmen.
Als DV-Koordinator Ihrer Einrichtung suchen Sie nach Möglichkeiten, wie Sie Ihren Benutzern das Arbeiten im Instituts-Netz möglichst komfortabel gestalten können. Mobiles Arbeiten mit Unterstützung durch Wireless LAN im Institutsnetz ist dabei eine der am häufigsten angefragten Lösungen im Bereich Wireless LAN.
Seit August 2008 haben wir dazu ein Angebot für Sie. Ob am Arbeitsplatz, in der Bibliothek oder im Hörsaal: Die IP-Adressen Ihres Institutes können auch im Wireless LAN genutzt werden. Netzwerk-Resourcen in Ihrem Institutsnetz werden mobil verfügbar. Mitglieder eines Instituts erhalten die Möglichkeit mit Ihrem Laptop ohne Änderungen an der Konfiguration so zu arbeiten, als wäre Ihr Gerät über ein LAN-Kabel mit einer Netzwerkbuchse im Büro verbunden. Die Nutzung von institutsspezifischen Diensten (Fileserver, u.a.) ist mit diesem Angebot flexibel an allen Standorten der TU Braunschweig möglich. Als Teil des Instituts-Netzes gilt für die mobilen Geräte die gleiche Firewall die ggf. das Institut von außen schützt.
Als Koordinator beantragen Sie die Nutzung von Instituts-WLAN einfach durch ein E-Mail an noc@tu-bs.de. Da wir die Infrastruktur für Sie betreiben, liegt Ihr Vorteil im Wesentlichen in der Einfachheit der Administration. Über das Personen-Interface KDD schalten Sie nach Bereitstellung des Angebots Ihre Anwender einzeln für den drahtlosen Zugriff auf den Institutsnetzbereich frei. Die Einrichtung erfolgt in mehreren Schritten:
In fast allen Netzbereichen ist die Nutzung dieses Angebotes möglich. Eine wesentliche Voraussetzung ist jedoch, dass im Instituts-Netz ein DHCP-Server durch Sie oder uns betrieben wird. In der Regel ist dies bereits der Fall, wenn Sie unser DHCP-Angebot nutzen.
Haben Sie Bedenken, dass die Funkabdeckung durch unsere Access-Points nicht ausreicht? Sprechen Sie uns an, wir möchten gerne mit Ihnen gemeinsam Lösungen zur Verbesserung der Funknetzabdeckung finden.
Als DV-Koordinator schalten Sie bequem die Benutzerkennungen Ihrer Benutzer im KDD für diese Nutzung frei. Sie können dabei auf Basis der Benutzerkennungen entscheiden, welche Personen diesen Dienst nutzen dürfen und welche Personen in Ihrer Einrichtung weiterhin per WLAN in allgemeine Netze geschaltet werden.
Um die Netzzugehörigkeit festzulegen, gehen Sie bitte wie folgt vor:
Die Möglichkeit das Instituts-WLAN zu benutzen, wird über den DV-Koordinator der jeweiligen Einrichtung eingerichtet. Seitens der Benutzer ist keine weitere Interaktion nötig. Es müssen lediglich die verwendeten Geräte eduroam-konform mit der entsprechend für den Remote-Zugriff freigeschalteten Benutzerkennung konfiguriert sein. Dies gelingt am besten über unser Konfigurationsportal. Siehe auch die Beschreibung unter WLAN einrichten über SecureW2 JoinNow (Plattformunabhängig).
Die Flexibilität in der Nutzung hat jedoch auch ihren Preis: Schalten Sie als DV-Koordinator eine Benutzerkennung für das Instituts-WLAN frei, so verbinden sich alle mit dieser Benutzerkennung konfigurierten Geräte über das WLAN mit dem Netz Ihres Instituts/Einrichtung. Sie als DV-Koordinator sehen sich daher einer neuen Flut von Geräten in dem von Ihnen verwalteten Netz gegenüber: Nicht nur das dienstlich bereitgestellte Laptop verlangt nach einer IP, sondern auch eine Vielzahl anderer Geräte wie Tablets, Smartphones, Wearables etc.
Auch wenn man bei all diesen Geräten aufgrund der IT-Ordnung eine dienstliche Nutzung unterstellt, steht die Frage im Raum, ob alle diese Geräte unbedingt Zugriff auf das interne Netz Ihres Instituts/Ihrer Einrichtung benötigen. Oft ist nur ein einfacher Internetzugang notwendig und nicht der Zugriff auf interne Ressourcen.
Durch das Konfigurieren des Remote-Zugriff im KDD haben weder DV-Koordinatoren noch Benutzer bislang die Option gehabt, bestimmte Geräte von dieser Konfiguration auszunehmen. Die Möglichkeit optional einige Geräte vom Remote-Zugriff auszunehmen ist sinnvoll und wurde mehrfach angefragt. Wir haben daher eine Lösung entwickelt, wie bei der Authentifizierung am eduroam WLAN durch eine Ergänzung bei der Benutzerkennung gesteuert werden kann, ob ein Gerät entsprechend der Vorgaben des DV-Koordinators behandelt und in das für die Benutzerkennung konfigurierte Instituts-WLAN geschaltet werden soll, wenn der DV-Koordinator dies im KDD so konfiguriert hat oder ob ein Gerät auf jeden Fall nicht in das Instituts-WLAN geschaltet wird. Man kann dieses für das Instituts-WLAN adaptierte Verfahren als opt-out-Lösung bezeichnen.
Um bei aktiviertem Remote-Zugriff einzelne Geräte quasi per „opt-out“ statt gezwungener Maßen in das Instituts-Netz wieder in die allgemeinen Netze zu schalten, muss lediglich bei der auf dem betreffenden Gerät konfigurierten Benutzerkennung die Zeichenfolge #public ergänzt werden. Dies kann schon bei der initialen Konfiguration oder einer erneuten Konfiguration des Gerätes über das SecureW2 JoinNow Portal geschehen. Ferner kann auch die bestehende Konfiguration manuell geändert werden. Dies sollten Sie aber nur dann in Erwägung ziehen, wenn Sie genaue technische Kenntnisse haben. Denn in der Konfiguration der Geräte stellt sich die Änderung – geräteabhängig – unterschiedlich dar. Beachten Sie, dass bei der händischen Änderung der Konfiguration die Angabe nicht so verändert werden darf, dass sowohl die resultierende Konfiguration nicht mehr im Roaming an anderen Einrichtungen funktioniert als auch die Konfiguration weiterhin sicher ist. Als Grundregel für Änderungen gilt daher:
Beispiel SecureW2 JoinNow Installer | |
---|---|
Windows SecureW2 JoinNow Installer | |
Empfehlung: Wenn Sie den SecureW2 JoinNow Installer verwendet haben, nutzen Sie ihn bitte erneut, um die Konfiguration anzupassen. Dies gilt für alle Betriebssysteme, die mit dem SeucreW2 JoinNow konfiguriert werden können. | |
Android SecureW2 JoinNow Installer | |
Eingabe im Installer: | Ergebnis in Gerätekonfiguration: |
Beispiel SecureW2 Enterprise (Einrichtungen, die den Enterprise-Installer über SCCM verteilen) | |
---|---|
Die Flexibilität in der Nutzung hat jedoch auch ihren Preis: Schalten Sie als DV-Koordinator eine Benutzerkennung für das Instituts-WLAN frei, müssen die authorisierten Geräte konfiguriert werden um über das WLAN mit dem Netz Ihres Instituts/Einrichtung verbunden zu werden. Sie als DV-Koordinator müssen daher im Zuge der Umstellung die dienstlich gestellten und genutzten Geräte umkonfigurieren.
Auch wenn man bei all diesen Geräten aufgrund der IT-Ordnung eine dienstliche Nutzung unterstellt, steht die Frage im Raum, ob alle diese Geräte unbedingt Zugriff auf das interne Netz Ihres Instituts/Ihrer Einrichtung benötigen. Oft ist nur ein einfacher Internetzugang notwendig und nicht der Zugriff auf interne Ressourcen. Geräte dieser Art wurden bisher mit dem Parameter #public betrieben, hier ist keine gesonderte Änderung oder abweichende Konfiguration notwendig: „benutzerkennung“ und „benutzerkennung#pulic“ landen im allg. WLAN-Bereich.
Durch das Konfigurieren des Remote-Zugriff im KDD haben weder DV-Koordinatoren noch Benutzer bislang die Option gehabt, bestimmte Geräte von dieser Konfiguration auszunehmen. Die Möglichkeit optional einige Geräte vom Remote-Zugriff auszunehmen wird mit diesem Opt-In Verfahren nun realisiert: ausschließlich mit #intern authentifizierte Geräte landen im Institutsbereich.
Um bei aktiviertem Remote-Zugriff einzelne Geräte per Opt-In in in das Instituts-Netz zu schalten, muss lediglich bei der auf dem betreffenden Gerät konfigurierten Benutzerkennung die Zeichenfolge #intern ergänzt werden. Weitere Geräte verbleiben im öffentlichen Bereich. Dies kann schon bei der initialen Konfiguration oder einer erneuten Konfiguration des Gerätes über das SecureW2 JoinNow Portal geschehen. Ferner kann auch die bestehende Konfiguration manuell geändert werden.
Beispiel SecureW2 JoinNow Installer | |
---|---|
Windows SecureW2 JoinNow Installer | |
Empfehlung: Wenn Sie den SecureW2 JoinNow Installer verwendet haben, nutzen Sie ihn bitte erneut, um die Konfiguration anzupassen. Dies gilt für alle Betriebssysteme, die mit dem SeucreW2 JoinNow konfiguriert werden können. | |
Android SecureW2 JoinNow Installer | |
Eingabe im Installer: | Ergebnis in Gerätekonfiguration: |
Beispiel SecureW2 Enterprise (Einrichtungen, die den Enterprise-Installer über SCCM verteilen) | |
---|---|
Hier finden Sie gelegentlich gestellte Fragen und die dazugehörigen Antworten zu unserem Angebot Instituts-WLAN: