3084
Kommentar:
|
7414
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 5: | Zeile 5: |
Im Allgemeinen richten wir {{{wifimanager.backbone}}} auf dem ersten Virtualisierungs-Server {{{virt-man-01}}} ein. Hardware-Voraussetzung für einen WifiManager-Server sind recht bescheiden (1 Kern, 1024MB RAM, 30GB Festplattenspeicherplatz). Hinweis: Da MongoDB (kommt mit UniFi) einiges an Speicherplatz benötigt, bitte {{{/srv}}} mit 10G erstellen, aus {{{/var/lib/}}} sowohl {{{unifi}}}, als auch {{{mongodb}}} nach {{{/srv}}} verschieben und dann für beides einen Symlink nach {{{/var/lib}}} legen. Der WifiManager-Server benötigt im Virtualisierungs-Server eine Netzwerkschnittstelle. Die VM {{{wifimanager.backbone}}} ist (quasi als Uplink) mit dem BackBone-Netzwerk verbunden. |
WLAN-Infrastrukturen in Schulen richten wir auf Basis des Produkts [[https://www.ubnt.com/|UniFi]] ein. Im Allgemeinen richten wir {{{wifimanager.backbone}}} auf dem ersten Virtualisierungs-Server {{{virt-man-01.backbone}}} ein. Hardware-Voraussetzung für einen !WifiManager-Server sind recht bescheiden (1 Kern, 1024MB RAM, 30GB Festplattenspeicherplatz). '''Hinweis:''' Die Ordner {{{/var/lib/unifi}}} und {{{/var/lib/mongodb}}} werden "ausgelagert" auf eine separate Partition. Da MongoDB (wird als Abhängigkeit von !UniFi mit-installiert) einiges an Speicherplatz benötigt, bitte {{{/srv}}} mit mind. 10G erstellen. Nach der Installation des Pakets 'unifi' dann aus {{{/var/lib/}}} sowohl die Ordner {{{unifi}}}, als auch {{{mongodb}}} nach {{{/srv}}} verschieben und dann für beides einen Symlink nach {{{/var/lib}}} legen. Der !WifiManager-Server benötigt im Virtualisierungs-Server nur eine Netzwerkschnittstelle. Die VM {{{wifimanager.backbone}}} ist mit dem !BackBone-Netzwerk verbunden. |
Zeile 14: | Zeile 15: |
Für die virtuelle Maschine ist eine Debian Jessie Minimal Installation ausreichend, da die WebGUI nach Fertigstellung der Installation einfach via {{{https://172.16.0.150:8443}}} (bzw. entsprechend 172.16.0.151, 172.16.0.152, ...) aufzurufen ist und keine virtuelle Oberfläche auf der VM selber benötigt wird. Wichtig ist, einen SSH-Server (mit) zu installieren. |
Die virtuelle Maschine {{{wifimanager.backbone}}} wird zunächst mit einer Debian Stable Minimal Installation aufgesetzt, die WebGUI des !UniFi-Controllers wird nach Fertigstellung der Installation einfach via {{{https://wifimanager.backbone:8443}}} von einem der Virtualisierungs-Server aufgerufen, die VM {{{wifimanager.backbone}}} benötigt keine eigene Desktop-Umgebung o.ä. Natürlich muss die VM über einen SSH-Server erreichbar sein, dieses Feature kann bei der Basis-Installation des System ausgewählt werden. |
Zeile 28: | Zeile 29: |
# stable => unifi4 # deb http://www.ubnt.com/downloads/unifi/debian unifi4 ubiquiti deb http://www.ubnt.com/downloads/unifi/debian stable ubiquiti |
# stable => unifi5 # deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti |
Zeile 39: | Zeile 40: |
3. Installieren von UniFi-Controller-Software | Hierbei kann die Fehlermeldung {{{gpg: keyserver receive failed: No dirmngr}}} oder ähnlich aufkommen. In diesem Fall via {{{ sudo apt-get install dirmngr --install-recommends }}} die nötige Software nachinstallieren und erneut {{{ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 06E85760C0A52C50 }}} ausführen. 3. Installieren von !UniFi-Controller-Software |
Zeile 68: | Zeile 83: |
{{{Einstellungen}}} > {{{Neues Drahtlosnetzwerk hinzufügen}}} > {{{SSID}}} "Hier SSID-Namen einfügen" | {{{Einstellungen}}} > {{{Neues Drahtlosnetzwerk hinzufügen}}} > {{{SSID}}} > {{{"Hier SSID-Namen einfügen"}}} |
Zeile 82: | Zeile 97: |
{{{Geräte}}} > Gerät einbinden (Überträgt Daten aus {{{Einstellungen}}} | {{{Geräte}}} > Gerät einbinden (Überträgt Daten aus {{{Einstellungen}}} (s. unten)) |
Zeile 86: | Zeile 101: |
==== Anpassungen in Einstellungen/Erstellen der WLAN-Netze ==== In der Web-GUI von {{{wifimanager.backbone}}} auf {{{Einstellungen}}} > {{{Drahtlose-Netzwerke}}} > {{{Drahtlos-Netzwerk hinzufügen}}} gehen und folgenede Eintragungen vornehmen: Neues RADIUS-Profil hinzufügen: {{{ Profilname: TJENER IP: 172.16.0.41 Port: 1812 PW: <pwgen 24> }}} Benutztes PW danach bitte dokumentieren. Für WLAN-teachers: {{{ SSID: WLAN-teachers WPA-Enterprise VLAN-ID: 21 WPA-Modus: Nur WPA2 RADIUS-Profil: TJENER }}} Für WLAN-students: {{{ SSID: WLAN-students WPA-Enterprise VLAN-ID: 22 WPA-Modus: Nur WPA2 RADIUS-Profil: TJENER }}} Für WLAN-edu: {{{ SSID: WLAN-edu WPA-Enterprise VLAN-ID: 23 WPA-Modus: Nur WPA2 RADIUS-Profil: TJENER }}} Für WLAN-guests: {{{ SSID: WLAN-guests Offen VLAN-ID: 24 }}} Danach wechseln nach {{{Geräte}}}, den zu konfigurierenden AP auswählen und {{{provisionieren}}} auswählen. Die Konfiguration wird jetzt an den AP geschickt und dort gespeichert. ==== Anpassungen für Freeradius (u.A. LDAP) ==== Config aus {{{/etc/freeradius/*}}} übernehmen von {{{tjener.kath}}} oder {{{tjener.ebg}}} und entsprechend an neue Schule anpassen. ===== Anpassungen in /etc/freeradius/modules/ldap ===== {{{ ldap { # # Note that this needs to match the name in the LDAP # server certificate, if you're using ldaps. server = "ldap.intern" identity = "cn=freeradius,ou=freeradius,dc=skole,dc=skolelinux,dc=no" password = <24-stelliges Freeradius Tjener-Profil Passwort> basedn = "dc=skole,dc=skolelinux,dc=no" filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})" #base_filter = "(objectclass=radiusprofile)" }}} ===== Nötige Anpassungen in LDAP ===== Mit Tool ldapvi (hier mit mcedit als Editor): {{{ sudo VISUAL=mcedit ldapvi --discover -D cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no -h ldap.intern -ZZZ PW: <LDAP Admin-PW aus itzks-creds> }}} Aus Freeradius-PW einen SSHA-Hash erstellen: {{{ sudo slappasswd <Passwort> }}} Vorzunehmende Änderungen/Anpassungen: {{{ copy "2 ou=people,..."-block > add ou=freeradius,dc=skole,dc=skolelinux,dc=no objectClass: top objectClass: organiuationalUnit ou: freeradius copy "11 cn=admin,..." > add cn=freeradius,ou=freeradius,dc=skole,dc=skolelinux,dc=no objectClass: top objectClass: organizationalRole objectClass: simpleSecurityObject cn: freeradius description: Freeradius Service-Account userPassword: {SSHA}<output von slappasswd> }}} ===== Anpassungen in /etc/freeradius/clients.conf ===== Secret mit {{{pwgen 24}}} erstellen und hinzufügen. Secret dann in itzks-creds unter dem Eintrag für das Tjener Freeradius-Profil vermerken. ==== Setup-Test ==== Installieren von freeraidus-utils mit {{{ sudo apt-get install freeradius-utils }}} Testen der Freeradius-LDAP-Anbindung mit dem Tool {{{radtest}}} (idealerweise vorher Gosa-PW ändern, da das benutzte PW in der Bash-History zu sehen ist.): Da der Freeradius-Dienst auf dem {{{Tjener}}} läuft, muss dessen IP-Adresse angegeben werden. {{{ sudo radtest -x <UID> <Test-PW> 172.16.0.41 10 <Secret> }}} === Nutzungshinweise für UniFi === Nutzungshinweise finden sich [[Technik/Nutzungshinweise/UnifiAP|hier]]. |
Server für UniFi WifiManager
Inhaltsverzeichnis
WLAN-Infrastrukturen in Schulen richten wir auf Basis des Produkts UniFi ein.
Im Allgemeinen richten wir wifimanager.backbone auf dem ersten Virtualisierungs-Server virt-man-01.backbone ein. Hardware-Voraussetzung für einen WifiManager-Server sind recht bescheiden (1 Kern, 1024MB RAM, 30GB Festplattenspeicherplatz).
Hinweis: Die Ordner /var/lib/unifi und /var/lib/mongodb werden "ausgelagert" auf eine separate Partition. Da MongoDB (wird als Abhängigkeit von UniFi mit-installiert) einiges an Speicherplatz benötigt, bitte /srv mit mind. 10G erstellen. Nach der Installation des Pakets 'unifi' dann aus /var/lib/ sowohl die Ordner unifi, als auch mongodb nach /srv verschieben und dann für beides einen Symlink nach /var/lib legen.
Der WifiManager-Server benötigt im Virtualisierungs-Server nur eine Netzwerkschnittstelle. Die VM wifimanager.backbone ist mit dem BackBone-Netzwerk verbunden.
Installationshinweise
Die virtuelle Maschine wifimanager.backbone wird zunächst mit einer Debian Stable Minimal Installation aufgesetzt, die WebGUI des UniFi-Controllers wird nach Fertigstellung der Installation einfach via https://wifimanager.backbone:8443 von einem der Virtualisierungs-Server aufgerufen, die VM wifimanager.backbone benötigt keine eigene Desktop-Umgebung o.ä.
Natürlich muss die VM über einen SSH-Server erreichbar sein, dieses Feature kann bei der Basis-Installation des System ausgewählt werden.
Installation von UniFi auf der VM
sudo touch /etc/apt/sources.list.d/100-ubnt.list
1. In /etc/apt/sources.list.d/100-ubnt.list hinzufügen:
## Debian/Ubuntu # stable => unifi5 # deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti
2. Dann Hinzufügen des nötigen GPG-Keys mit
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 06E85760C0A52C50
Hierbei kann die Fehlermeldung gpg: keyserver receive failed: No dirmngr oder ähnlich aufkommen. In diesem Fall via
sudo apt-get install dirmngr --install-recommends
die nötige Software nachinstallieren und erneut
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 06E85760C0A52C50
ausführen.
3. Installieren von UniFi-Controller-Software
sudo apt-get update sudo apt-get install unifi
Nötigen Anpassungen der Netzwerkeinstellungen in /etc/network/interfaces
# The primary network interface allow-hotplug eth0 iface eth0 inet static address 172.16.0.99 netmask 255.255.255.0 network 172.16.0.0 broadcast 172.16.0.255 gateway 172.16.0.253 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 172.16.0.253 dns-search backbone
Einbinden eines UniFi-Access-Points
Login via WebGUI unter https://172.16.0.99:8443.
Anpassungen der Einstellungen:
Einstellungen > Neues Drahtlosnetzwerk hinzufügen > SSID > "Hier SSID-Namen einfügen"
IP-Anpassungen:
Gerät > Uplink Kabelgebunden > Konfiguration > Netzwerk
Statische IP: 172.16.0.150 Netzwerkmaske: 255.255.255.0 Bevorzugte DNS: 172.16.0.253 Gateway: 172.16.0.253
> Zur Warteschlange > Ausstehende Änderungen anwenden Geräte > Gerät einbinden (Überträgt Daten aus Einstellungen (s. unten))
Nach kurzer Wartezeit und einem Neustart ist der Access-Point nun einsatzbereit.
Anpassungen in Einstellungen/Erstellen der WLAN-Netze
In der Web-GUI von wifimanager.backbone auf Einstellungen > Drahtlose-Netzwerke > Drahtlos-Netzwerk hinzufügen gehen und folgenede Eintragungen vornehmen:
Neues RADIUS-Profil hinzufügen:
Profilname: TJENER IP: 172.16.0.41 Port: 1812 PW: <pwgen 24>
Benutztes PW danach bitte dokumentieren.
Für WLAN-teachers:
SSID: WLAN-teachers WPA-Enterprise VLAN-ID: 21 WPA-Modus: Nur WPA2 RADIUS-Profil: TJENER
Für WLAN-students:
SSID: WLAN-students WPA-Enterprise VLAN-ID: 22 WPA-Modus: Nur WPA2 RADIUS-Profil: TJENER
Für WLAN-edu:
SSID: WLAN-edu WPA-Enterprise VLAN-ID: 23 WPA-Modus: Nur WPA2 RADIUS-Profil: TJENER
Für WLAN-guests:
SSID: WLAN-guests Offen VLAN-ID: 24
Danach wechseln nach Geräte, den zu konfigurierenden AP auswählen und provisionieren auswählen. Die Konfiguration wird jetzt an den AP geschickt und dort gespeichert.
Anpassungen für Freeradius (u.A. LDAP)
Config aus /etc/freeradius/* übernehmen von tjener.kath oder tjener.ebg und entsprechend an neue Schule anpassen.
Anpassungen in /etc/freeradius/modules/ldap
ldap { # # Note that this needs to match the name in the LDAP # server certificate, if you're using ldaps. server = "ldap.intern" identity = "cn=freeradius,ou=freeradius,dc=skole,dc=skolelinux,dc=no" password = <24-stelliges Freeradius Tjener-Profil Passwort> basedn = "dc=skole,dc=skolelinux,dc=no" filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})" #base_filter = "(objectclass=radiusprofile)"
Nötige Anpassungen in LDAP
Mit Tool ldapvi (hier mit mcedit als Editor):
sudo VISUAL=mcedit ldapvi --discover -D cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no -h ldap.intern -ZZZ PW: <LDAP Admin-PW aus itzks-creds>
Aus Freeradius-PW einen SSHA-Hash erstellen:
sudo slappasswd <Passwort>
Vorzunehmende Änderungen/Anpassungen:
copy "2 ou=people,..."-block > add ou=freeradius,dc=skole,dc=skolelinux,dc=no objectClass: top objectClass: organiuationalUnit ou: freeradius copy "11 cn=admin,..." > add cn=freeradius,ou=freeradius,dc=skole,dc=skolelinux,dc=no objectClass: top objectClass: organizationalRole objectClass: simpleSecurityObject cn: freeradius description: Freeradius Service-Account userPassword: {SSHA}<output von slappasswd>
Anpassungen in /etc/freeradius/clients.conf
Secret mit pwgen 24 erstellen und hinzufügen. Secret dann in itzks-creds unter dem Eintrag für das Tjener Freeradius-Profil vermerken.
Setup-Test
Installieren von freeraidus-utils mit
sudo apt-get install freeradius-utils
Testen der Freeradius-LDAP-Anbindung mit dem Tool radtest (idealerweise vorher Gosa-PW ändern, da das benutzte PW in der Bash-History zu sehen ist.):
Da der Freeradius-Dienst auf dem Tjener läuft, muss dessen IP-Adresse angegeben werden.
sudo radtest -x <UID> <Test-PW> 172.16.0.41 10 <Secret>
Nutzungshinweise für UniFi
Nutzungshinweise finden sich hier.