Notebooks über WLAN an Domänen

german

#1

Hallo *,

habe da mal eine Frage bez. Notebooks, Schuleigene und private, die in ein Schulnetz per WLAN eingebunden werden sollen.
Die Beschreibung des Problems stammt aus einer Mail die ich vor kurzem geschrieben hatte.
Da ich das ganze nicht noch einmal erneut aufschreiben möchte, hört sich die Formulierung teilweise ein wenig seltsam für ein Forum an.

Das Problem mit der Domänen Anmeldung über WLAN ist, das das WLAN bei der Anmeldung noch nicht zur Verfügung steht. Die WLAN Verbindung wird erst aufgebaut wenn ein Benutzer angemeldet ist, was aber beim Punkt Windows Anmeldung schließlich noch nicht der Fall ist.

Daher ist keine Domänen Anmeldung über WLAN möglich.

Auch wenn das Notebook vorher über LAN in die Domäne gejoint wurde.

Hierbei handelt es sich um eine allgemeine Problematik mit der Domänen Anmeldung über WLAN bei Notebook.

Wichtig dabei ist, das kein lokales Profil eines Benutzers auf dem Notebook gespeichert ist. Sonst würde Windows dieses Profil laden und der User wäre angemeldet. Dies klappt aber bei den Dr. Kaiser geschützten Notebooks nicht. Weil kein User Profil eines Benutzers gespeichert bez. beim Shutdown verworfen sind. Versucht ein Benutzer sich an der Domäne anzumelden, bekommt er die Meldung das die Domäne nicht zur Verfügung steht. Ende!

Im Moment gehen wir den Weg, das auf den Notebooks ein lokaler User angelegt ist, mit dem sich jeder Benutzer lokal an dem Notebook anmelden muss. Startet dann der User einen Browser oder versucht auf ein Netzlaufwerk zuzugreifen, wird er nach seinen Domänen Anmelde Daten gefragt. Diese Abfrage kann aber durch aus mehrere Male erscheinen und der User muss sich jedes Mal neu authentifizieren. Das ist kein SSO mehr.

Daher die Frage, ob es nicht möglich ist, nach der lokalen Windows Anmeldung mit den Domänen Zugangsdaten eines Users per Script einmalig ein Kerberos Ticket zu bekommen mit dem dann alle weiteren authentifizierten Zugriffe, egal ob Browser oder File Share, ohne weitere Credentials möglich sind.

Hoffe auf konstruktive Lösungen. :wink:

Gruß
Raschke


#2

Hallo,

handelt es sich hierbei um eine Samba 4/AD Domäne?

Mit freundlichen Grüßen,
Tim Petersen


#3

Hallo,

ja, auf die Idee bin ich durch die in Samba 4 integrierten Kerberos Dienste gekommen. Im Moment läuft die Umgebung noch auf UCS 2.4 und Samba 3.

Gruß
Andreas Raschke


#4

Hallo,

ich vermute, dass Sie einige interessante Hinweise hierzu an [bug]24062[/bug] (insb. Comment 6) finden werden.
Eventuell ist Ihnen hiermit im Hinblick auf zukünftige Möglichkeiten ja schon geholfen?

Mit freundlichen Grüßen,
Tim Petersen


#5

Hallo Herr Petersen,

das sieht ja erst mal ganz gut aus. Ist das denn in UCS@school 2.4 schon enthalten, oder erst ab 3.0 verfügbar?

Dazu sollte es ein Wiki Eintrag geben, bez. das ganze im UCS@school Admin Handbuch beschrieben werden.

Gruß
Andreas Raschke


#6

Sehr geehrter Herr Raschke,

die Integration der Radius-Anbindung wurde zu UCS@School 3.0 umgesetzt. Die entsprechende Dokumentation wird über [bug]25940[/bug] bearbeitet. Ein Entwurf ist bereits am Bugeintrag verknüpft und kann gern eingesehen werden.

Mit freundlichen Grüßen,
Tim Petersen


#7

Hi jeder , Handelt es sich hierbei um eine Samba 4/AD Domäne?