Revision 18 vom 2017-04-24 10:32:15

Nachricht löschen

Server für UniFi WifiManager

Inhaltsverzeichnis

  1. Server für UniFi WifiManager
    1. Installationshinweise
      1. Installation von UniFi auf der VM
    2. Einbinden eines UniFi-Access-Points
      1. Anpassungen in Einstellungen/Erstellen der WLAN-Netze
      2. Anpassungen für Freeradius (u.A. LDAP)
        1. Anpassungen in {{{/etc/freeradius/modules/ldap}}}
        2. Nötige Anpassungen in LDAP
    3. Installation

WLAN-Infrastrukturen in Schulen richten wir auf Basis des Produkts UniFi ein.

Im Allgemeinen richten wir wifimanager.backbone auf dem ersten Virtualisierungs-Server virt-man-01.backbone ein. Hardware-Voraussetzung für einen WifiManager-Server sind recht bescheiden (1 Kern, 1024MB RAM, 30GB Festplattenspeicherplatz).

Hinweis: Die Ordner /var/lib/unifi und /var/lib/mongodb werden "ausgelagert" auf eine separate Partition. Da MongoDB (wird als Abhängigkeit von UniFi mit-installiert) einiges an Speicherplatz benötigt, bitte /srv mit mind. 10G erstellen. Nach der Installation des Pakets 'unifi' dann aus /var/lib/ sowohl die Ordner unifi, als auch mongodb nach /srv verschieben und dann für beides einen Symlink nach /var/lib legen.

Der WifiManager-Server benötigt im Virtualisierungs-Server nur eine Netzwerkschnittstelle. Die VM wifimanager.backbone ist mit dem BackBone-Netzwerk verbunden.

Installationshinweise

Die virtuelle Maschine wifimanager.backbone wird zunächst mit einer Debian Stable Minimal Installation aufgesetzt, die WebGUI des UniFiControllers wird nach Fertigstellung der Installation einfach via https://wifimanager.backbone:8443 von einem der Virtualisierungs-Server aufgerufen, die VM wifimanager.backbone benötigt keine eigene Desktop-Umgebung o.ä.

Natürlich muss die VM über einen SSH-Server erreichbar sein, dieses Feature kann bei der Basis-Installation des System ausgewählt werden.

Installation von UniFi auf der VM

sudo touch /etc/apt/sources.list.d/100-ubnt.list

1. In /etc/apt/sources.list.d/100-ubnt.list hinzufügen: 

## Debian/Ubuntu
# stable => unifi5
# deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti
deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti

2. Dann Hinzufügen des nötigen GPG-Keys mit 

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 06E85760C0A52C50

3. Installieren von UniFi-Controller-Software 

sudo apt-get update
sudo apt-get install unifi

Nötigen Anpassungen der Netzwerkeinstellungen in /etc/network/interfaces 

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
        address 172.16.0.99
        netmask 255.255.255.0
        network 172.16.0.0
        broadcast 172.16.0.255
        gateway 172.16.0.253
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 172.16.0.253
        dns-search backbone

Einbinden eines UniFi-Access-Points

Login via WebGUI unter https://172.16.0.99:8443.

Anpassungen der Einstellungen:

Einstellungen > Neues Drahtlosnetzwerk hinzufügen > SSID > "Hier SSID-Namen einfügen"

IP-Anpassungen:

Gerät > Uplink Kabelgebunden > Konfiguration > Netzwerk 

Statische IP:   172.16.0.150
Netzwerkmaske:  255.255.255.0
Bevorzugte DNS: 172.16.0.253
Gateway:        172.16.0.253

> Zur Warteschlange > Ausstehende Änderungen anwenden Geräte > Gerät einbinden (Überträgt Daten aus Einstellungen (s. unten))

Nach kurzer Wartezeit und einem Neustart ist der Access-Point nun einsatzbereit.

Anpassungen in Einstellungen/Erstellen der WLAN-Netze

In der Web-GUI von wifimanager.backbone auf Einstellungen > Drahtlose-Netzwerke > Drahtlos-Netzwerk hinzufügen gehen und folgenede Eintragungen vornehmen:

Neues RADIUS-Profil hinzufügen: 

Profilname: TJENER
IP: 172.16.0.41
Port: 1812
PW: <pwgen 24>

Benutztes PW danach bitte dokumentieren.

Für WLAN-teachers: 

SSID: WLAN-teachers
WPA-Enterprise
VLAN-ID: 21
WPA-Modus: Nur WPA2
RADIUS-Profil: TJENER

Für WLAN-students: 

SSID: WLAN-students
WPA-Enterprise
VLAN-ID: 22
WPA-Modus: Nur WPA2
RADIUS-Profil: TJENER

Für WLAN-edu: 

SSID: WLAN-edu
WPA-Enterprise
VLAN-ID: 23
WPA-Modus: Nur WPA2
RADIUS-Profil: TJENER

Für WLAN-guests: 

SSID: WLAN-guests
Offen
VLAN-ID: 24

Danach wechseln nach Geräte, den zu konfigurierenden AP auswählen und provisionieren auswählen. Die Konfiguration wird jetzt an den AP geschickt und dort gespeichert.

Anpassungen für Freeradius (u.A. LDAP)

Config aus /etc/freeradius/* übernehmen von tjener.kath oder tjener.ebg und entsprechend an neue Schule anpassen.

Anpassungen in {{{/etc/freeradius/modules/ldap}}}

ldap {
        #
        #  Note that this needs to match the name in the LDAP
        #  server certificate, if you're using ldaps.
        server = "ldap.intern"
        identity = "cn=freeradius,ou=freeradius,dc=skole,dc=skolelinux,dc=no"
        password = <24-stelliges Freeradius Tjener-Profil Passwort>
        basedn = "dc=skole,dc=skolelinux,dc=no"
        filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
        #base_filter = "(objectclass=radiusprofile)"

Nötige Anpassungen in LDAP

Mit Tool ldapvi (hier mit mcedit als Editor): 

sudo VISUAL=mcedit ldapvi --discover -D cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no -h ldap.intern -ZZZ
PW: <LDAP Admin-PW aus itzks-creds>

Aus Freeradius-PW einen SSHA-Hash erstellen: 

sudo slappasswd <Passwort>

Vorzunehmende Änderungen/Anpassungen: 

        copy "2 ou=people,..."-block
        > add ou=freeradius,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: organiuationalUnit
          ou: freeradius

        copy "11 cn=admin,..."
        > add cn=freeradius,ou=freeradius,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: organizationalRole
          objectClass: simpleSecurityObject
          cn: freeradius
          description: Freeradius Service-Account
          userPassword: {SSHA}<output von slappasswd>

Installation

Basisinstallation Jessie