Diskussion:Administratorhandbuch:Laptop
ausreichend?
Ist der Artikel z.Z. ausreichend?
Es könnte ja (später) hier oder in Tools die WLAN-Sicherheit und andere angesprochene Punkte ausführlicher behandelt werden.
Domain-Anmeldung per WLAN Was wenn kein Kontakt? AutoCell oder nicht (wechsel der APs) viele APs Überdeckung und vorallem die Sicherheit.
--JFiebig 10:27, 16. Dez 2005 (CET)
Notebook bekommt immer dieselbe IP
Bei Notebooks sehe ich es ziemlich kritisch, automatisch eine IP-Adresse zugewiesen zu bekommen. Was ist, wenn das Notebook nicht im Empfangsbereich des Servers ist, wenn es eingeschaltet wird? Was ist, wenn das Notebook zwischendrin den Kontakt zum Server verliert, weil die Abdenkung per WLAN doch nicht so 100%-ig funktioniert, wie das der Admininstrator gedacht hatte.
- Es ist doch für das Funktionieren des Netzes m.E. völlig egal, welche IP ein Rechner erhält, Hauptsache diese ist eindeutig. Letzteres kann aber gerade dann gewährleistet werden, wenn eine zentrale Instanz die verwaltung der IP-Adressen in diesem Netz übernimmt. Vergibt statt dessen der Benutzer des Laptops die IP-Adresse selbst, dann sind Überschneidungen vorprogrammiert.
- Für den Fall das der Laptop noch nicht bereit ist, die IP zu empfangen bzw. zwischendrin ist ein (Kompetenz-)Problem des Nutzers (Schulung, Anleitungen), nicht des Admins.
- Kirmse 17:18, 30. Jul 2005 (CEST)
Private Notebooks
Wie kann man das Netzwerk gegen private Notebooks absichern. Gutwillige Nutzer sollen es möglichst einfach haben, per Funk oder über besondere Ethernetdosen das Schulnetz zu kontaktieren .... aber was ist mit den böswilligen Nutzern, die bei einem nich besonders geschützten WLAN-Zugang einen offenen Server vorfinden, der Dank dieser Beschreibung sogar besonders transparent gut erklärt vorliegt. Welcher Administrator wechselt schon die voreingestrellten Passworte, wenn er nicht besonders dazu gezwungen wird.
Mit Kenntnis des LDAP-Passwortes sollte es nicht schwer fallen, den Server massiv in seiner Funktion zu stören ... und an LDAP kommt man ohne die Kenntnis des root-Passwortes .... deutlicher werde ich jetzt nicht, aber Reiner wird schon wissen, was ich meine.
Wie kann man es anstellen, dass private Notebooks genauso wie externe Besucher behandelt werden?? Die frei zugänglichen Netzwerkdosen und die WLAN-AccessPoints müssten aus meiner Sicht über eine eigene Netzwerkkarte eingespeist werden und ohne Authentifizierung keinerlei Rechte erhalten. Geht das?
Wir machen uns unendlich viele Gedanken um die Sicherheit und um die Funktionen des Arktur-Schulservers, aber wir erlauben es aktuell noch jedem Nutzer, einen WLAN-AccessPoint in die Klasse oder ins Lehrerzimmer zu stellen. Firmengeheimnisse sollen auch schon mal bei großen Firmen über solche "Löcher" auch dem Firmenparkplatz insehbar gewesen sein.
-- Krause 21:49, 14. Jul 2005 (CEST)
- Das angegebene Problem stellt sich aus meiner Sicht völlig anders dar. m.E. ist es sinnvoll, hier mal folgendes arbeitsteiliges Modell zu verwenden. Für die Betreuung des Servers sei eine Firma zuständig (oder eben ein bestimmter Lehrer), für die Arbeitsplatz-PCs der Raumverantwortliche.
- Weiterhin sei vorausgesetzt, dass der Internetzugang nur über den Proxy möglich sei und Anmeldezwang am Proxy sei an, Masquerading sei aus.
- Für den Admin ist es doch m.E. völlig egal, ob von schulinternen Rechnern auf den Server und auf das Internet zugegriffen wird oder von privaten Rechnern. Das wird noch deutlicher, wenn (wie bei uns) jeder Raum durch einen anderen Kollegen betreut wird - eben arbeitsteilig.
- Damit ergibt sich sofort, dass jeder sich um seine Rechner zu kümmern hat. Keinen dieser Betreuer wird es interessieren, wenn etwas von einem PC geschieht, welcher nicht in seinem Raum steht. Wenn es Probleme gibt (gleich welcher Art) ist es entscheidend, dass der Verursacher eindeutig zu ermitteln ist. Das ist aber doch gegeben, wenn die auf Arktur bereitgestellten Dienste nur mit Anmeldezwang genutzt werden können. Wenn also von einem privaten Laptop irgendwelcher Mist gemacht wurde, dann hat man wegen dem Anmeldezwang sowieso das Login und alles andere läßt sich dann klären.
- Das Netzwerk ohne den Server zu nutzen (also peer to peer) scheint mir keinen richtigen Sinn zu machen.
- Trotzdem, wenn man will, dass nur solche Rechner im Netz genutzt werden können, die eben dafür legitimiert sind (also schulische Rechner), da braucht man ein System wie "NoCat", ist aber aus meiner Sicht mit Ausnahme von WLAN-Netzen und von schulischen Internet-Cafe's für Schulnetze überzogen.
- Kirmse 17:21, 30. Jul 2005 (CEST)
- Lieber Hans-Dietrich,
- aus meiner Sicht übersiehst du völlig, dass es bei privaten Laptops keinen Anmeldezwang gibt.
- Hallo Ralf,
- ich fasse Anmeldezwang inzwischen etwas anders auf als du. nmeldezwang heißt für mich, ich kann einen bestimmten Dienst nur dann nutzen, wenn ich mich an diesen anmelde. Bestes Beispiel ist m.E. Squid. Ich komme nur ins Internet, wenn ich mich eben anmelde. Ob ich das von einem schulischen Rechner mache oder von einem privaten ist völlig egal. gleiches gilt für Samba. Aber schon stellt sich deine Sichtweise problematisch dar. habe ich nur Linux-Clients, dann geht das nicht am Samba-Server und wie das mit dem NFS-Server ist weiß ich nicht. Für Arktur 4 müßte es nach alter Lesart der Anmeldezwang am LDAP sein.
- Ich komme absolut ohne Anmeldung ins netzwerk und kann dort das Netz mit Tools wie Ettercap, Ethereal & Co. abscannen. Dies kann mir als Netzwerkadministrator natürlich nicht egal sein, weil ein einzelner Privat-Laptop die ganze Netzwerksicherheit in Frage stellt.
- doch, das muss dir als Netzwerkadmin egal sein. den Lehrern und der Schulleitung (also denen, die die Aufsicht im Netz gewährleisten müssen und die Policy duchsetzen müssen) darf es aber nicht egal sein.
- Um die Verantwortlichkeiten sauber zu trennen, stelle dir einfach vor, das Schulnetz und damit auch Arktur wird von einer Firma betreut. Der muss es egal sein, ob das Netz gescannt wird! Es darf ihr aber nicht egal sein, ob über das Netz "vertrauliche" Informationen abgehört werden können. Also wenn der Admin (die Firma) dafür gesorgt hat, dass ALLE Passworte verschlüsselt übers Netz gehen, dann ist aus Sicht des Admins genug getan. Gehen (wie beim jetzigen Konzept) nicht alle Passworte verschlüsselt übers Netz, dann ist jeder User zu belehren, dass für diese Dienste (z.B. IMP, Moodle, ...) ein anderes Passwort verwendet werden soll. aber das Durchzusetzen ist nicht Sache des Admins, sondern der Lehrer/Schulleitung.
- Ergebnis: wenn man keine Passwörter erlauschen kann, dann hat man auch (bei funktionierenden Anmeldezwang für jeden Dienst) keinen Zugriff auf den Server und auf Internet oder er muss sich doch anmelden. Dann kann es aber dem (Server-)Admin erstmal egal sein, ob das von einem privaten Laptop erfolgte oder nicht, denn er weiß ja dann, wer Mist gebaut hat!
- Ralf Krause 18:51, 30. Jul 2005 (CEST)
- Kirmse 20:47, 3. Aug 2005 (CEST)
"Access Point" (englische Zusammensetzung, per Gänsefüsschen als Gesamtbegriff gekennzeichnet) oder aber Accesspoint oder Access-Point. Die Regeln für zusammengesetzte Begriffe sollten eher der deutschen als der englischen Grammatik folgen.
-- Hhullen 14:28, 31. Dez 2005 (CET)
Es ist gar nicht gut, wenn der (grundsätzlich) gleiche Inhalt (hier: Schutz im WLAN) mit erst mal nur ähnlichen und im Lauf der Wochen immer stärker unterschiedlichen Texten mal hier im Administratorhandbuch und mal in der FAQ (oder wo auch immer die Texte lagern) abgehandelt werden.
Das sollte "konsistent" sein.
-- Hhullen 14:44, 3. Jan 2006 (CET)