WLAN-Workshop
Geplant ist ein WLAN Workshop, der zeigen soll, wie man eine WLAN Lösung mit einem Single-Signon System koppelt. Auf dieser Seite werden nun Wünsche und Ideen gesammelt, was in dem Workshop alles behandelt werden soll. Wie immer soll die Lösung mit möglichst allen Betriebssystemen und Umgebungen auf der Client- und Serverseite funktionieren.
Anforderungen
Die Aufgabe besteht darin, eine Anzahl verschiedener WLAN Accesspoints zu zu konfigurieren, so dass folgende Anforderungen erfüllt werden:
- zentrale Administration der Benutzer
- AAA (Authentifizierung, Autorisierung, Accounting) der Benutzer
- Betrieb mit möglichst vielen Plattformen (Linux, *BSD, Windows, MAC OS 10, u.A.)
- Einfache Konfiguration, der typische Windows User muss damit zurecht kommen
Der letzte Punkt verbietet praktisch einen Einsatz von EAP, da die meisten Anwender mit der Konfiguration überfordert sein dürften.
Lösung der o.g. Probleme
Die Ankopplung an ein unverschlüsseltes WLAN funktioniert eigentlich immer und ist mit wenigen Mausklicks unter Windows oder Linux erledigt. Deshalb verwenden wir ein unverschlüsseltes WLAN als Transportmedium. Die eigentliche Verbindung erfolgt über eine VPN Lösung, da wohl mind. 80% der der typischen Internet Cafe Kunden Windows benutzen und der Rest Linux oder MAC OS 10, ist die Wahl auf PPTP / MS-CHAPV2 gefallen, das von allen Plattformen gut unterstützt wird.
Als AAA Lösung wurde Radius mit einem LDAP Backend verwendet, so dass vorhandene Authentifizierungslösungen verwendet werden können. Der verwendete Radiusserver ist eine kommerzielle Lösung von http://www.open.com.au und nennt sich Radiator, ist in Perl implementiert und der Source Code ist verfügbar. Evtl. wird auch eine Lösung mit Free-Radius gezeigt, eine OpenSource Lösung die ebenfalls mit einem LDAP Backend benutzt werden kann.
Plattformen
Das zu realisierende Projekt besteht aus folgenden Komponenten:
- WLAN Accesspoint auf Basis von OpenWRT
- ggf. Access Konzentrator (Linux PC) für andere Accesspoints
- Radius Server (Radiator)
- LDAP Server (OpenLDAP / phpldapadmin)
LDAP und Radius Server können - müssen aber nicht - auf dem selben PC laufen. Im Workshop werden LDAP und Radius jedoch auf der gleichen Maschine laufen. Grundsätzlich kann als LDAP Server auch ein Windows 2003 Server benutzt werden, was wir mangels entsprechender Softwarelizenzen allerdings auf dem Workshop nicht zeigen können.
Themen
Auf dem Workshop werden folgende Themen behandelt:
- pptpd: PPTP Server / Konfiguration für MS-CHAPV2
- radiusclient1: Schnittstelle zwischen pptp/ppp und Radius
- Radiator Konfiguration, Besonderheiten bei LDAP und MS-CHAPV2
- OpenLDAP Radius Schema und Attribute
Es ist nicht Gegenstand des Workshops zu zeigen, wie nun die WLAN Karte im PC konfiguriert wird.
Beispiel Projekt
Es soll eine WLAN Lösung für ein Restaurant aufgebaut werden, bei dem sich nur registrierte User anmelden können. Da eine public Sign-On Lösung die Infrastruktur eines kompletten Webservers benötigt, wird hier auf eine bereits vorhandene Plattform zurückgegriffen. Die E-Mail Accounts bei taunusstein.net können dann auch für den WLAN Zugang benutzt werden. In Taunusstein-Hahn läuft bereits ein entsprechender Hotspot im Produktionsbetrieb.