WLAN-Infrastruktur mit Radius-Server (Windows Server)

Heute genügt ein einzelner WLAN-Access Point im Lehrerzimmer den Anforderungen einer Schule nicht mehr. Zunächst waren es nur einzelne Kollegen, die gelegentlich ihr Notebook mitbrachten und Zugriff auf das Internet wollten. Aktuell werden eine Vielzahl an Smartphones, Tablets oder Notebooks eingesetzt. So ist natürlich der Wunsch entstanden, die Möglichkeiten dieser Geräte nicht nur im Lehrerzimmer, sondern auch im Unterricht zu verwenden. Der Gedanke, dort auch die Geräte von Schülern zu nutzen, ist dann naheliegend.

Um den daraus resultierenden Anforderungen an ein Schul-WLAN gerecht werden zu können, musste eine entsprechend leistungsfähige Infrastruktur her. Diese sollte sicher, aber dennoch bequem zu nutzen sein. Außerdem sollte sie sich in das bereits vorhandene Netzwerk einfügen.

Ausgangspunkt

Das Netzwerk bestand bereits zu Beginn der Planungen aus mehreren VLANs. Den gegenseitigen Zugriff regelt eine relativ leistungsfähige zentrale Firewall nach vorgegebenen Regeln. Die Benutzer (Lehrer und jeder Schüler) werden in zwei Active Directories verwaltet, die über eine unidirektionale Vertrauensstellung verbunden sind. Außerdem gibt es in jedem Klassenzimmer und Fachraum Netzwerkanschlüsse. Diese befinden sich in einem separaten VLAN, in dem der Netzwerkverkehr über einen transparenten Proxy läuft (im Folgenden: Unterrichtsnetz).

Authentifizierung

Die eingehende Analyse der Anforderungen unter besonderer Berücksichtigung des Wunsches, in Zukunft auch den Einsatz von Schülergeräten im Unterricht zu ermöglichen, schloss den Aufbau eines einfachen WLAN im Unterricht mit WPA2-Personal aus. Dann wäre keine differenzierte Protokollierung der Verwendung möglich. Lehrer und Schüler wären derselben oder aber keiner Inhaltsfilterung unterworfen. Aus diesen Gründen recherchierte ich nach weitergehenden Lösungen.

Eine solche bietet der Einsatz von WPA2-Enterprise und damit die Authentifizierung über einen Radius-Server. Als solcher kann dann auch ein Windows Server dienen, der ja bereits im Lehrer- und Schülernetz existiert. Damit lassen sich dann zwei getrennte WLANs aufbauen, die sich jeweils an die unterschiedlichen Anforderungen für Schüler und Lehrer anpassen lassen.

Hardware

Die Auswahl einer geeigneten Hardware war dann der nächste Schritt. Mehrere WLAN-Netzwerke mit jeweils einer eigenen SSID lassen sich mit den meisten handelsüblichen Access Points aufspannen. Sollen sich die Geräte jedoch zentral über einen Controller verwalten lassen, dann schränkt dies die Auswahl etwas ein. Hierbei handelt es sich jedoch in der Regel um Geräte der Enterprise-Klasse, was sich natürlich meist im Preis niederschlägt.

Meine ersten Überlegungen waren, Geräte aus dem Hause Bintec zu verwenden. Denn von diesem Hersteller kommt auch unser Router, mit dem ich sehr gute Erfahrungen gemacht habe. Außerdem kann er auch als Controller für die Access Points dienen. Jedoch überstiegen die Kosten für die gewünschte Anzahl (einschließlich der benötigten Controller-Lizenzen) das vorhandene Budget. Dies hätte dann nur mit Abstrichen bei der Anzahl oder durch Splitten auf mehrere Haushaltsjahre realisiert werden können.

Auf der Suche nach Alternativen bin ich durch ein Gespräch mit einem Kollegen auf den Hersteller Ubiquiti Network und dessen Access Points gestoßen. Hier gibt es zum relativ kleinen Preis verschiedene Modelle, die viele denkbare Anforderungen abdecken. Dabei ist besonders hervorzuheben, dass eine umfassende Controller-Software kostenlos zum Download zur Verfügung gestellt wird. Um hier hoffentlich eine relativ zukunftsfähige Lösung zu haben, entschied ich mich für das Modell UniFi AP-Pro. Dieses ist zwar nicht die günstigste Lösung, aber es sendet sowohl im 2,4 als auch im 5 GHz-Band.

controller
Die Controller-Software ermöglicht die zentrale Verwaltung aller Access Points

Radius-Server

Nachdem nun auch die Hardware ausgewählt und die ersten Geräte eingetroffen sind, begann die Einrichtung. Dabei bin ich weitestgehend nach einem Artikel auf Heise-Online vorgegangen. Es gibt es grundsätzlich in Bezug auf die Sicherheit verschiedene Stufen, die sich realisieren lassen. Da ich die Variante mit eigenen Zertifikaten für jeden Client nicht für praktikabel halte, fiel die Wahl auf PEAP für die Authentifizierung. Hier wird nur die Echtheit des Servers mit einem Zertifikat sichergestellt.

Ein Problem ergab sich aufgrund der besonderen Situation, dass die Benutzer (Lehrer und Verwaltung) jeweils in eigenen Active Directories gepflegt werden. Hier gelang es mir nicht, direkt die beiden Domain Controller für die Authentifizierung mit entsprechenden Richtlinien anzugeben. Entweder es konnten sich Lehrer oder Verwaltungsmitarbeiter, aber nicht beide gleichzeitig im Lehrer-WLAN anmelden.

Lösen konnte ich dies, indem ich einen weiteren Netzwerkrichtlinienserver dazwischengeschaltet habe. An diesem sind alle Access Points angelegt.

Am ersten NPS sind alle Access Points eingetragen
Am ersten NPS sind alle Access Points eingetragen

Außerdem ist eine RADIUS-Remoteservergruppe angelegt mit den beiden Netzwerkrichtlinienservern (in meinem Fall den beiden Domain Controllern). An diese wird jede Authentifizierungsanfrage weitergeleitet. Sobald von einem Server ein positiver Bescheid kommt, darf der Benutzer ins Lehrer-WLAN.

Die Domain Controller sind als RADIUS-Remoteservergruppe angelegt
Die Domain Controller sind als RADIUS-Remoteservergruppe angelegt

Bei jedem Domain Controller ist im NPS lediglich der erste Netzwerkrichtlinienserver als RADIUS-Client eingetragen.

Im NPS der Remoteservergruppe ist lediglich der erste NPS eingetragen
Im NPS der Remoteservergruppe ist lediglich der erste NPS eingetragen

Im Schüler-WLAN ist die Situation übersichtlicher, da der Domain Controller gleichzeitig auch der einzige Netzwerkrichtlinienserver ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.