Unterschiede zwischen den Revisionen 5 und 23 (über 18 Versionen hinweg)
Revision 5 vom 2017-04-20 08:35:41
Größe: 3539
Kommentar:
Revision 23 vom 2017-10-11 15:42:39
Größe: 7069
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 7: Zeile 7:
Im Allgemeinen richten wir {{{wifimanager.backbone}}} auf dem ersten Virtualisierungs-Server {{{virt-man-01.backbone}}} ein. Hardware-Voraussetzung für einen WifiManager-Server sind recht bescheiden (1 Kern, 1024MB RAM, 30GB Festplattenspeicherplatz).

'''Hinweis:''' Die Ordner {{/var/lib/unifi}} und {{/var/lib/mongodb}} werden "ausgelagert" auf eine separate Partition. Da MongoDB (wird als Abhängigkeit von UniFi mitinstalliert) einiges an Speicherplatz benötigt, bitte {{{/srv}}} mit mind. 10G erstellen. Nach der Installation des Pakets 'unifi' dann aus {{{/var/lib/}}} sowohl die Ordner {{{unifi}}}, als auch {{{mongodb}}} nach {{{/srv}}} verschieben und dann für beides einen Symlink nach {{{/var/lib}}} legen.

Der WifiManager-Server benötigt im Virtualisierungs-Server nur eine Netzwerkschnittstelle. Die VM {{wifimanager.backbone}} ist mit dem BackBone-Netzwerk verbunden.
Im Allgemeinen richten wir {{{wifimanager.backbone}}} auf dem ersten Virtualisierungs-Server {{{virt-man-01.backbone}}} ein. Hardware-Voraussetzung für einen !WifiManager-Server sind recht bescheiden (1 Kern, 1024MB RAM, 30GB Festplattenspeicherplatz).

'''Hinweis:''' Die Ordner {{{/var/lib/unifi}}} und {{{/var/lib/mongodb}}} werden "ausgelagert" auf eine separate Partition. Da MongoDB (wird als Abhängigkeit von !UniFi mit-installiert) einiges an Speicherplatz benötigt, bitte {{{/srv}}} mit mind. 10G erstellen. Nach der Installation des Pakets 'unifi' dann aus {{{/var/lib/}}} sowohl die Ordner {{{unifi}}}, als auch {{{mongodb}}} nach {{{/srv}}} verschieben und dann für beides einen Symlink nach {{{/var/lib}}} legen.

Der !WifiManager-Server benötigt im Virtualisierungs-Server nur eine Netzwerkschnittstelle. Die VM {{{wifimanager.backbone}}} ist mit dem !BackBone-Netzwerk verbunden.
Zeile 15: Zeile 15:
Die virtuelle Maschine {{{wifimanager.backbone}}} wird zunächst mit einer Debian Stable Minimal Installation aufgesetzt, die WebGUI des UniFiControllers wird nach Fertigstellung der Installation einfach via {{{https://wifimanager.backbone:8443}}} von einem der Virtualisierungs-Server aufgerufen, die VM {{wifimanager.backbone}} benötigt keine eigene Desktop-Umgebung o.ä. Die virtuelle Maschine {{{wifimanager.backbone}}} wird zunächst mit einer Debian Stable Minimal Installation aufgesetzt, die WebGUI des !UniFi-Controllers wird nach Fertigstellung der Installation einfach via {{{https://wifimanager.backbone:8443}}} von einem der Virtualisierungs-Server aufgerufen, die VM {{{wifimanager.backbone}}} benötigt keine eigene Desktop-Umgebung o.ä.
Zeile 29: Zeile 29:
# stable => unifi4
# deb http://www.ubnt.com/downloads/unifi/debian unifi4 ubiquiti
deb http://www.ubnt.com/downloads/unifi/debian stable ubiquiti
# stable => unifi5
# deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti
deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti
Zeile 69: Zeile 69:
{{{Einstellungen}}} > {{{Neues Drahtlosnetzwerk hinzufügen}}} > {{{SSID}}} "Hier SSID-Namen einfügen" {{{Einstellungen}}} > {{{Neues Drahtlosnetzwerk hinzufügen}}} > {{{SSID}}} > {{{"Hier SSID-Namen einfügen"}}}
Zeile 83: Zeile 83:
{{{Geräte}}} > Gerät einbinden (Überträgt Daten aus {{{Einstellungen}}} {{{Geräte}}} > Gerät einbinden (Überträgt Daten aus {{{Einstellungen}}} (s. unten))
Zeile 87: Zeile 87:
==== Anpassungen in Einstellungen/Erstellen der WLAN-Netze ====

In der Web-GUI von {{{wifimanager.backbone}}} auf {{{Einstellungen}}} > {{{Drahtlose-Netzwerke}}} > {{{Drahtlos-Netzwerk hinzufügen}}} gehen und folgenede Eintragungen vornehmen:

Neues RADIUS-Profil hinzufügen:

{{{
Profilname: TJENER
IP: 172.16.0.41
Port: 1812
PW: <pwgen 24>
}}}

Benutztes PW danach bitte dokumentieren.

Für WLAN-teachers:

{{{
SSID: WLAN-teachers
WPA-Enterprise
VLAN-ID: 21
WPA-Modus: Nur WPA2
RADIUS-Profil: TJENER
}}}

Für WLAN-students:

{{{
SSID: WLAN-students
WPA-Enterprise
VLAN-ID: 22
WPA-Modus: Nur WPA2
RADIUS-Profil: TJENER
}}}

Für WLAN-edu:

{{{
SSID: WLAN-edu
WPA-Enterprise
VLAN-ID: 23
WPA-Modus: Nur WPA2
RADIUS-Profil: TJENER
}}}

Für WLAN-guests:

{{{
SSID: WLAN-guests
Offen
VLAN-ID: 24
}}}

Danach wechseln nach {{{Geräte}}}, den zu konfigurierenden AP auswählen und {{{provisionieren}}} auswählen. Die Konfiguration wird jetzt an den AP geschickt und dort gespeichert.

==== Anpassungen für Freeradius (u.A. LDAP) ====

Config aus {{{/etc/freeradius/*}}} übernehmen von {{{tjener.kath}}} oder {{{tjener.ebg}}} und entsprechend an neue Schule anpassen.

===== Anpassungen in /etc/freeradius/modules/ldap =====

{{{
ldap {
        #
        # Note that this needs to match the name in the LDAP
        # server certificate, if you're using ldaps.
        server = "ldap.intern"
        identity = "cn=freeradius,ou=freeradius,dc=skole,dc=skolelinux,dc=no"
        password = <24-stelliges Freeradius Tjener-Profil Passwort>
        basedn = "dc=skole,dc=skolelinux,dc=no"
        filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
        #base_filter = "(objectclass=radiusprofile)"
}}}

===== Nötige Anpassungen in LDAP =====

Mit Tool ldapvi (hier mit mcedit als Editor):

{{{
sudo VISUAL=mcedit ldapvi --discover -D cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no -h ldap.intern -ZZZ
PW: <LDAP Admin-PW aus itzks-creds>
}}}

Aus Freeradius-PW einen SSHA-Hash erstellen:

{{{
sudo slappasswd <Passwort>
}}}

Vorzunehmende Änderungen/Anpassungen:

{{{
        copy "2 ou=people,..."-block
        > add ou=freeradius,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: organiuationalUnit
          ou: freeradius

        copy "11 cn=admin,..."
        > add cn=freeradius,ou=freeradius,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: organizationalRole
          objectClass: simpleSecurityObject
          cn: freeradius
          description: Freeradius Service-Account
          userPassword: {SSHA}<output von slappasswd>

}}}

===== Anpassungen in /etc/freeradius/clients.conf =====

Secret mit {{{pwgen 24}}} erstellen und hinzufügen.
Secret dann in itzks-creds unter dem Eintrag für das Tjener Freeradius-Profil vermerken.

==== Setup-Test ====

Installieren von freeraidus-utils mit

{{{
sudo apt-get install freeradius-utils
}}}

Testen der Freeradius-LDAP-Anbindung mit dem Tool {{{radtest}}} (idealerweise vorher Gosa-PW ändern, da das benutzte PW in der Bash-History zu sehen ist.):

Da der Freeradius-Dienst auf dem {{{Tjener}}} läuft, muss dessen IP-Adresse angegeben werden.

{{{
sudo radtest -x <UID> <Test-PW> 172.16.0.41 10 <Secret>
}}}

=== Nutzungshinweise für UniFi ===

Nutzungshinweise finden sich [[Technik/Nutzungshinweise/UnifiAP|hier]].

Server für UniFi WifiManager

WLAN-Infrastrukturen in Schulen richten wir auf Basis des Produkts UniFi ein.

Im Allgemeinen richten wir wifimanager.backbone auf dem ersten Virtualisierungs-Server virt-man-01.backbone ein. Hardware-Voraussetzung für einen WifiManager-Server sind recht bescheiden (1 Kern, 1024MB RAM, 30GB Festplattenspeicherplatz).

Hinweis: Die Ordner /var/lib/unifi und /var/lib/mongodb werden "ausgelagert" auf eine separate Partition. Da MongoDB (wird als Abhängigkeit von UniFi mit-installiert) einiges an Speicherplatz benötigt, bitte /srv mit mind. 10G erstellen. Nach der Installation des Pakets 'unifi' dann aus /var/lib/ sowohl die Ordner unifi, als auch mongodb nach /srv verschieben und dann für beides einen Symlink nach /var/lib legen.

Der WifiManager-Server benötigt im Virtualisierungs-Server nur eine Netzwerkschnittstelle. Die VM wifimanager.backbone ist mit dem BackBone-Netzwerk verbunden.

Installationshinweise

Die virtuelle Maschine wifimanager.backbone wird zunächst mit einer Debian Stable Minimal Installation aufgesetzt, die WebGUI des UniFi-Controllers wird nach Fertigstellung der Installation einfach via https://wifimanager.backbone:8443 von einem der Virtualisierungs-Server aufgerufen, die VM wifimanager.backbone benötigt keine eigene Desktop-Umgebung o.ä.

Natürlich muss die VM über einen SSH-Server erreichbar sein, dieses Feature kann bei der Basis-Installation des System ausgewählt werden.

Installation von UniFi auf der VM

sudo touch /etc/apt/sources.list.d/100-ubnt.list

1. In /etc/apt/sources.list.d/100-ubnt.list hinzufügen:

## Debian/Ubuntu
# stable => unifi5
# deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti
deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti

2. Dann Hinzufügen des nötigen GPG-Keys mit

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 06E85760C0A52C50

3. Installieren von UniFi-Controller-Software

sudo apt-get update
sudo apt-get install unifi

Nötigen Anpassungen der Netzwerkeinstellungen in /etc/network/interfaces

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
        address 172.16.0.99
        netmask 255.255.255.0
        network 172.16.0.0
        broadcast 172.16.0.255
        gateway 172.16.0.253
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 172.16.0.253
        dns-search backbone

Einbinden eines UniFi-Access-Points

Login via WebGUI unter https://172.16.0.99:8443.

Anpassungen der Einstellungen:

Einstellungen > Neues Drahtlosnetzwerk hinzufügen > SSID > "Hier SSID-Namen einfügen"

IP-Anpassungen:

Gerät > Uplink Kabelgebunden > Konfiguration > Netzwerk

Statische IP:   172.16.0.150
Netzwerkmaske:  255.255.255.0
Bevorzugte DNS: 172.16.0.253
Gateway:        172.16.0.253

> Zur Warteschlange > Ausstehende Änderungen anwenden Geräte > Gerät einbinden (Überträgt Daten aus Einstellungen (s. unten))

Nach kurzer Wartezeit und einem Neustart ist der Access-Point nun einsatzbereit.

Anpassungen in Einstellungen/Erstellen der WLAN-Netze

In der Web-GUI von wifimanager.backbone auf Einstellungen > Drahtlose-Netzwerke > Drahtlos-Netzwerk hinzufügen gehen und folgenede Eintragungen vornehmen:

Neues RADIUS-Profil hinzufügen:

Profilname: TJENER
IP: 172.16.0.41
Port: 1812
PW: <pwgen 24>

Benutztes PW danach bitte dokumentieren.

Für WLAN-teachers:

SSID: WLAN-teachers
WPA-Enterprise
VLAN-ID: 21
WPA-Modus: Nur WPA2
RADIUS-Profil: TJENER

Für WLAN-students:

SSID: WLAN-students
WPA-Enterprise
VLAN-ID: 22
WPA-Modus: Nur WPA2
RADIUS-Profil: TJENER

Für WLAN-edu:

SSID: WLAN-edu
WPA-Enterprise
VLAN-ID: 23
WPA-Modus: Nur WPA2
RADIUS-Profil: TJENER

Für WLAN-guests:

SSID: WLAN-guests
Offen
VLAN-ID: 24

Danach wechseln nach Geräte, den zu konfigurierenden AP auswählen und provisionieren auswählen. Die Konfiguration wird jetzt an den AP geschickt und dort gespeichert.

Anpassungen für Freeradius (u.A. LDAP)

Config aus /etc/freeradius/* übernehmen von tjener.kath oder tjener.ebg und entsprechend an neue Schule anpassen.

Anpassungen in /etc/freeradius/modules/ldap

ldap {
        #
        #  Note that this needs to match the name in the LDAP
        #  server certificate, if you're using ldaps.
        server = "ldap.intern"
        identity = "cn=freeradius,ou=freeradius,dc=skole,dc=skolelinux,dc=no"
        password = <24-stelliges Freeradius Tjener-Profil Passwort>
        basedn = "dc=skole,dc=skolelinux,dc=no"
        filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
        #base_filter = "(objectclass=radiusprofile)"

Nötige Anpassungen in LDAP

Mit Tool ldapvi (hier mit mcedit als Editor):

sudo VISUAL=mcedit ldapvi --discover -D cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no -h ldap.intern -ZZZ
PW: <LDAP Admin-PW aus itzks-creds>

Aus Freeradius-PW einen SSHA-Hash erstellen:

sudo slappasswd <Passwort>

Vorzunehmende Änderungen/Anpassungen:

        copy "2 ou=people,..."-block
        > add ou=freeradius,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: organiuationalUnit
          ou: freeradius

        copy "11 cn=admin,..."
        > add cn=freeradius,ou=freeradius,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: organizationalRole
          objectClass: simpleSecurityObject
          cn: freeradius
          description: Freeradius Service-Account
          userPassword: {SSHA}<output von slappasswd>

Anpassungen in /etc/freeradius/clients.conf

Secret mit pwgen 24 erstellen und hinzufügen. Secret dann in itzks-creds unter dem Eintrag für das Tjener Freeradius-Profil vermerken.

Setup-Test

Installieren von freeraidus-utils mit

sudo apt-get install freeradius-utils

Testen der Freeradius-LDAP-Anbindung mit dem Tool radtest (idealerweise vorher Gosa-PW ändern, da das benutzte PW in der Bash-History zu sehen ist.):

Da der Freeradius-Dienst auf dem Tjener läuft, muss dessen IP-Adresse angegeben werden.

sudo radtest -x <UID> <Test-PW> 172.16.0.41 10 <Secret>

Nutzungshinweise für UniFi

Nutzungshinweise finden sich hier.

Installation

Basisinstallation Jessie

IT-Zukunft Schule: Technik/Installation/VM/WifiManager (zuletzt geändert am 2021-12-27 21:45:42 durch MikeGabriel)