Captive-Portal#
Mit dem Captive-Portal können Sie für nicht angemeldete Benutzer den Zugang zum Netzwerk einschränken. Zur vollständigen Benutzung des Netzwerks ist eine Anmeldung mit einem IServ-Account an der Webseite des Captive-Portals notwendig.
Warnung
Das Captive-Portal befindet sich derzeit noch in einer frühen Erprobungsphase bei einigen ausgewählten Kunden und ist noch nicht für den Regeleinsatz empfohlen. Zur Teilnahme an unserem Testprogramm wenden Sie sich bitte an unseren Support. Die nachfolgenden Informationen richten sich ausschließlich an Supportmitarbeitern und Administratoren teilnehmender Schulen.
Voraussetzungen#
Die Installation des Captive-Portals setzt derzeit einen Root-Zugang auf dem IServ oder einen Eingriff durch den Support voraus. Bitte stellen Sie zusammen mit dem Support sicher, dass Sie vor Ort die notwendige Infrastruktur zum Betrieb des Captive-Portals haben. Es wird vor Ort ein zusätzliches Netz benötigt, zu dem das Captive-Portal den Zugang regelt. Dieses muss unabhängig vom bestehenden lokalen Netzwerk sein. Dies kann zum Beispiel durch die Konfiguration eines eigenen VLANs auf der Netzwerkinfrastruktur und einer eigenen SSID für das WLAN des Captive-Portals sichergestellt werden.
Installation auf dem Portal-Server#
Das Paket iserv-captiveportal enthält das Captive-Portal, wie es für die Installation auf dem Portalserver benötigt wird. Dieses kann wie folgt installiert werden:
apt-get install iserv-captiveportal
Netzwerkkonfiguration#
Die Netzwerkschnittstelle zu dem Netzwerk, welches durch das Captive-Portal verwaltet werden soll, muss zunächst konfiguriert werden. Im Folgenden wird beispielhaft der Adressbereich 172.20.0.0/16 und die Schnittstelle mit dem Namen ens4 genutzt.
Hinweis
Der Adressbereich sollte ausreichend groß sein um jedem Gerät mindestens eine Adresse zuweise zu können. Eine Faustformel hierfür ist Anzahl Personen x 4 + Anzahl der PC-Arbeitsplätze. Für eine Schule mit 500 Anwendern und 50 PC-Arbeitsplätzen entspräche das 2050 Adressen. Der kleinste mögliche Adressbereich wäre also ein /22. Stellen Sie zunächst sicher, dass dieser Bereich nicht schon von anderen Diensten bereits genutzt wird!
Zur Konfiguration der Netzwerkschnittstelle können Sie iservcfg nutzen.
Konfiguration von Captive-Portal#
Das Captive-Portal selbst kann anschließend über die Datei /etc/iserv/captiveportal/config.yaml konfiguriert werden. Dabei wird das durch das Captive-Portal verwaltete Interface und der ihm zugewiesene Adressbereich aus dem vorherigen Abschnitt verwendet.
Für eine gewöhnliche Installation auf einem Portalserver müssen nur einige der möglichen Optionen gesetzt werden. Der Rest der Konfiguration wird automatisch bestimmt.
In unserem Beispiel würde eine vollständige Konfiguration auf dem Portalserver mein-iserv.test so aussehen:
captiveportal:
dhcp:
ens4:
range: 172.20.0.0/16
endpoints:
mein-iserv.test:
enabled: true
Das Captive-Portal reagiert auf Clients, die Adressen aus dem angegebenen Netzbereich verwenden und erlaubt die Anmeldung am Captive-Portal mit OpenID-Connect-Diensten, die unter den in endpoints aufgeführten Domains erreichbar sind. Ist die Option enabled auf true gesetzt, dann ist die Anmeldung mit diesem Dienst erlaubt.
Durch Ausführung von iservchk kann die Konfiguration abschließend geprüft und übernommen werden. Im so konfigurierten Netz sollte nun das Captive-Portal unter https://captiveportal.mein-iserv.test/ erreichbar sein.
Einschränkungen#
Im Folgenden werden bekannte Fehler aufgelistet.
Es wird dringend davon abgeraten das Captive-Portal im selben Netzwerk zu betreiben, welches durch den Portalserver verwaltet wird, da die Funktion einiger Dienste mit dem Captive-Portal in Konflikt stehen.
Ein Captive-Portal schützt nicht dagegen, dass unverschlüsselter Netzwerkverkehr mitgelesen wird! Sollten Sie das Captive-Portal auf einem unverschlüsselten Netzwerk betreiben, raten wir dringend zu Maßnahmen wie WiFi-Client-Isolation und raten vom Betrieb von auf IP-Multicast basierenden Diensten zur Diensterkennung (z.B. MDNS) ab. Zusätzlichen Schutz bietet auch Opportunistic Wireless Encryption (OWE), soweit dies von Ihren Access-Points und Endgeräten unterstützt wird.
Das Zusammenspiel mit manchen iOS-Geräten funktioniert nicht immer reibungslos. Es kann dabei dazu kommen, dass mehrere Versuche benötigt werden, um sich am Captive-Portal anzumelden. Das Problem wird zeitnah behoben.
Geräte, die durch das Captive-Portal angemeldet sind, können derzeit noch nicht über die Gerätesteuerung verwaltet werden.