Mathias Gopp Franz Pucher Felix Tiefenthaler ... - felixthec.at

Mathias Gopp
Franz Pucher
Felix Tiefenthaler
Diplomarbeit 2008/09
HTL Rankweil
Copyright (C) 2009 Mathias Gopp, Franz Pucher, Felix Tiefenthaler.
Permission is granted to copy, distribute and/or modify this document under the terms
of the GNU Free Documentation License, Version 1.3 or any later version published by
the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and
no Back-Cover Texts. A copy of the license is included in the section entitled “GNU
Free Documentation License”.

Inhaltsverzeichnis
I Einleitung 19
1 Motivation 21
2 Allgemein 23
2.1 Abstract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.1.1 Abstract – Deutsch . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.1.2 Abstract – Englisch . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.2 Kurzfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.2.1 Kurzfassung – Deutsch . . . . . . . . . . . . . . . . . . . . . . . 25
2.2.2 Kurzfassung – Englisch . . . . . . . . . . . . . . . . . . . . . . . 27
2.3 Projekt Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.4 Projektbezeichnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.5 Zielsetzung und allgemeine Funktionsbeschreibungen . . . . . . . . . . 31
2.6 Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.6.1 Organisationen . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.6.2 Technische Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . 32
2.7 Bezugsunterlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
2.7.1 Normen, gesetzliche Vorschriften und Literatur zum Stand der
Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
2.8 Leistungsbeschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
2.8.1 Need to Have . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
2.8.2 Nice to Have . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.9 Projektmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3 Grundlagen zur Thematik 35
3.1 Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2 Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.3 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.3.1 Was ist SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.3.2 SSH2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.3.3 RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

3.4 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.5 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.5.1 LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.6 WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.7 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.8 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.8.1 FreeRADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.9 Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.9.1 WPA2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.10 IEEE 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.11 Virtualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.12 Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.12.1 Extensible Authentication Protocol – EAP . . . . . . . . . . . . 50
3.12.2 PEAPv0/EAP-MSCHAPv2 . . . . . . . . . . . . . . . . . . . . 51
II Testumgebung 53
4 Allgemeines 55
4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2 Aufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.2.1 IP-Adressschema . . . . . . . . . . . . . . . . . . . . . . . . . . 57
III VMware ESXi Server 59
5 Allgemeines 61
5.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5.1.1 Grund für die Verwendung von VMware . . . . . . . . . . . . . 61
5.1.2 Begriffserklärung . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5.2 Bezugsquelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
5.3 Hardwareanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . 62
5.4 Verwendete Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
6 Installation 65
6.1 Vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.2 Installationsvorgang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
7 Konsole 71
7.1 Tastaturlayout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
7.2 Root-Passwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
7.3 Management Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

8 VMware Infrastructure Client 73
8.1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
8.2 Anmeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
8.3 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
8.3.1 Lizenz installieren . . . . . . . . . . . . . . . . . . . . . . . . . . 80
8.3.2 Zeitkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . 83
8.3.3 DNS Identifikation . . . . . . . . . . . . . . . . . . . . . . . . . 86
8.3.4 Start/Stop von Virtuellen Maschinen . . . . . . . . . . . . . . . 88
IV Virtuelle Maschinen 91
9 Microsoft Windows Server 93
9.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
9.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
9.2.1 Anlegen einer Virtuellen Maschine . . . . . . . . . . . . . . . . . 94
9.2.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.3 DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
9.3.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
9.3.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
9.4 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
9.4.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
9.4.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
9.5 Windows DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
9.5.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
9.5.2 Installation und Konfiguration . . . . . . . . . . . . . . . . . . . 127
9.6 WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
9.6.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
9.6.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
10 Debian GNU/Linux 5.0 Lenny 137
10.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
10.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
10.2.1 Anlegen einer Virtuellen Maschine . . . . . . . . . . . . . . . . . 137
10.2.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
10.3 Einführung in Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
10.4 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
10.4.1 IP-Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
10.4.2 Proxy-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . 163
10.4.3 Paketverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . 163
10.4.4 Zeitsynchronisation . . . . . . . . . . . . . . . . . . . . . . . . . 165
10.4.5 OpenSSH-Server . . . . . . . . . . . . . . . . . . . . . . . . . . 165

10.4.6 OpenSSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
10.4.7 FreeRADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
10.4.8 Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
10.4.9 Winbind . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
10.4.10 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
V Automatisierung 187
11 Tera Term 189
11.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
11.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
11.3 Verwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
11.4 Makrofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
11.5 Programmcode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
11.6 Umsetzung der Automatisierung . . . . . . . . . . . . . . . . . . . . . . 200
11.6.1 Batchdatei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
11.6.2 Erstellen und Bearbeiten einer .bat Datei . . . . . . . . . . . . . 200
11.6.3 Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
11.6.4 Verwendetes Makrofile . . . . . . . . . . . . . . . . . . . . . . . 203
11.6.5 Code des Makrofiles . . . . . . . . . . . . . . . . . . . . . . . . 203
12 Installationsskript 205
12.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
12.2 Skript-Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
12.3 Anleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
VI Access Point 209
13 Access Point 211
13.1 Access Point Eigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . 211
13.2 VLAN Routing und Bridging Konzept . . . . . . . . . . . . . . . . . . 211
13.3 Allgemeine Informationen . . . . . . . . . . . . . . . . . . . . . . . . . 212
13.4 Konfiguration – Console . . . . . . . . . . . . . . . . . . . . . . . . . . 214
13.4.1 Verbindungsaufbau . . . . . . . . . . . . . . . . . . . . . . . . . 214
13.4.2 Zurücksetzen eines Access Points . . . . . . . . . . . . . . . . . 215
13.4.3 Allgemeine Einstellungen . . . . . . . . . . . . . . . . . . . . . . 216
13.4.4 SSH Zugang aktivieren . . . . . . . . . . . . . . . . . . . . . . . 217
13.4.5 Telnet deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . 218
13.4.6 VLANs auf den Schnittstellen einrichten . . . . . . . . . . . . . 218
13.4.7 VLAN Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . 222

13.4.8 RADIUS Server bestimmen . . . . . . . . . . . . . . . . . . . . 222
13.4.9 SSID erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
13.4.10 SSID den Funkinterfaces zuweisen . . . . . . . . . . . . . . . . . 224
13.4.11 Speichern der running-config . . . . . . . . . . . . . . . . . . . . 225
13.5 Konfiguration – Webinterface . . . . . . . . . . . . . . . . . . . . . . . 226
13.5.1 Verbindungsaufbau . . . . . . . . . . . . . . . . . . . . . . . . . 226
13.5.2 Allgemeine Einstellungen . . . . . . . . . . . . . . . . . . . . . . 227
13.5.3 SSH Zugang aktivieren . . . . . . . . . . . . . . . . . . . . . . . 230
13.5.4 Telnet deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . 232
13.5.5 VLANs erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . 233
13.5.6 VLAN Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . 235
13.5.7 RADIUS Server bestimmen . . . . . . . . . . . . . . . . . . . . 236
13.5.8 SSID erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
13.5.9 Funkinterface aktivieren . . . . . . . . . . . . . . . . . . . . . . 240
13.6 running-config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
VII Qualitätssicherung 249
14 Wochenmails 251
14.1 Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
15 Besprechungsprotokolle 253
15.1 Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
16 Subversion 255
16.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
16.2 Verwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
16.3 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
17 Wiki 257
17.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
17.2 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
18 Stundenaufzeichnung 259
18.1 Mathias Gopp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
18.2 Franz Pucher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
18.3 Felix Tiefenthaler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
19 Zeitplan 263
20 Danksagung 267

Literaturverzeichnis 269
Glossar 271
Abkürzungsverzeichnis 273

Abbildungsverzeichnis
2.1 Netzwerküberblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.2 Network overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.1 HyperTerminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.2 HyperTerminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.3 HyperTerminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.4 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.5 RSA Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.6 RSA Entschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.7 DHCP Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.8 Typischer Ablauf einer Anmeldung am Funknetzwerk . . . . . . . . . . . 47
3.9 Prinzipieller Ablauf der Authentifizierung . . . . . . . . . . . . . . . . . . 49
3.10 Challenge Response Verfahren . . . . . . . . . . . . . . . . . . . . . . . . 51
4.1 Aufbau des Testnetzwerks . . . . . . . . . . . . . . . . . . . . . . . . . . 56
6.1 Erster Installationsbildschirm . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.2 Initialisierung der Hardware . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.3 Aufforderung zur Installation des VMware ESX Server 3i 3.5 . . . . . . . 67
6.4 Auswahl des Speicherorts für die Installation . . . . . . . . . . . . . . . . 68
6.5 Bestätigung der Installation . . . . . . . . . . . . . . . . . . . . . . . . . 68
6.6 Bildschirmanzeige nach beendeter Installation . . . . . . . . . . . . . . . 69
8.1 Download von VMware Infrastructure Client . . . . . . . . . . . . . . . . 73
8.2 Bestätigung des Downloads . . . . . . . . . . . . . . . . . . . . . . . . . . 74
8.3 Auswahl der Sprache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
8.4 Erstes Installationsfenster . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
8.5 Lizenzvereinbarungen akzeptieren . . . . . . . . . . . . . . . . . . . . . . 75
8.6 Benutzerinformationen angeben . . . . . . . . . . . . . . . . . . . . . . . 76
8.7 VMware Virtual Infrastructure-Update-Dienst installieren . . . . . . . . . 76
8.8 Installationspfad angeben . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
8.9 Installation starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
8.10 Installation fertig stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
8.11 Anmeldefenster von VMware Infrastructure Client . . . . . . . . . . . . . 79
8.12 Zertifikatwarnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

8.13 Übersicht des VMware Infrastructure Client . . . . . . . . . . . . . . . . . 80
8.14 Übersicht über die Konfiguration . . . . . . . . . . . . . . . . . . . . . . . 81
8.15 Lizenzverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
8.16 Lizenz eingeben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
8.17 Deaktivierung von Consolidated Backup durch Lizenzierung . . . . . . . . 82
8.18 Wegfall von Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
8.19 Lizenzübersicht mit eingetragener Lizenz . . . . . . . . . . . . . . . . . . 83
8.20 Beginn der Einstellung für die Zeitsynchronisation . . . . . . . . . . . . . 84
8.21 Manuelle Einstellung der Uhrzeit . . . . . . . . . . . . . . . . . . . . . . . 84
8.22 NTP Server hinzufügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
8.23 NTP Server angeben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
8.24 Übersicht der Zeitkonfiguration mit eingetragenen NTP Servern . . . . . 86
8.25 Einstellung der DNS Identifikation . . . . . . . . . . . . . . . . . . . . . . 87
8.26 DNS Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
8.27 Übersicht der DNS Identifikation . . . . . . . . . . . . . . . . . . . . . . . 88
8.28 Einstellungen für das automatische Starten/Stoppen von virtuellen Maschinen
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
8.29 Erfolgreiche Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . 90
8.30 Übersicht der Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . 90
9.1 Auswahl einer typischen Installation . . . . . . . . . . . . . . . . . . . . . 94
9.2 Angabe eines Namens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
9.3 Auswahl des Speicherortes . . . . . . . . . . . . . . . . . . . . . . . . . . 95
9.4 Auswahl des Gastbetriebssystems . . . . . . . . . . . . . . . . . . . . . . 95
9.5 Zuweisen von Arbeitsspeicher . . . . . . . . . . . . . . . . . . . . . . . . . 96
9.6 Auswahl der Netzwerkschnittstellen . . . . . . . . . . . . . . . . . . . . . 96
9.7 Größe der virtuellen Disk . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.8 Abschluss der Einrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.9 Virtuelle Maschine starten . . . . . . . . . . . . . . . . . . . . . . . . . . 98
9.10 Image einbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
9.11 Booten über das Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . 99
9.12 Treibersuche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
9.13 Setup starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
9.14 Windows Lizenzbedingung akzeptieren . . . . . . . . . . . . . . . . . . . 100
9.15 Partitionen erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
9.16 NTFS-Dateisystem erstellen . . . . . . . . . . . . . . . . . . . . . . . . . 101
9.17 Fortlaufender Installationsstand . . . . . . . . . . . . . . . . . . . . . . . 102
9.18 virtuelle Maschine neustarten . . . . . . . . . . . . . . . . . . . . . . . . . 102
9.19 Einrichtung der landesspezifischen Einstellungen . . . . . . . . . . . . . . 103
9.20 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
9.21 Benutzerinformationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
9.22 Product Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

9.23 Lizenzierungsmodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
9.24 Computername und Administratorkennwort konfigurieren . . . . . . . . . 105
9.25 Unsicheres Passwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
9.26 Datum- und Uhrzeiteinstellungen . . . . . . . . . . . . . . . . . . . . . . 106
9.27 Netzwerkeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
9.28 Arbeitsgruppe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
9.29 Anmeldefenster nach erfolgreich abgeschlossener Installation . . . . . . . . 108
9.30 Serververwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
9.31 Installations-Assistent Infos . . . . . . . . . . . . . . . . . . . . . . . . . . 110
9.32 DNS-Serverdienst auswählen . . . . . . . . . . . . . . . . . . . . . . . . . 110
9.33 DNS-Installation starten . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
9.34 DNS-Windows CD einlegen . . . . . . . . . . . . . . . . . . . . . . . . . . 111
9.35 DNS-Installationsvorgang . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
9.36 DNS-Überprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
9.37 DNS-Lookupzone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
9.38 DNS-Zonenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
9.39 DNS-Zonenname . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
9.40 DNS-Dynamische Updates . . . . . . . . . . . . . . . . . . . . . . . . . . 114
9.41 DNS-Serveranfragen weiterleiten . . . . . . . . . . . . . . . . . . . . . . . 115
9.42 DNS-Installation fertig stellen . . . . . . . . . . . . . . . . . . . . . . . . 115
9.43 DNS-Installation fertig stellen . . . . . . . . . . . . . . . . . . . . . . . . 116
9.44 Serververwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
9.45 Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
9.46 Auswahl Domänencontroller (Active Directory) . . . . . . . . . . . . . . . 118
9.47 Installationsassistent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
9.48 Installationsassistent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
9.49 Kompatibilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
9.50 Neuer Domänencontroller . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
9.51 Neuer Domänencontroller in Gesamtstruktur . . . . . . . . . . . . . . . . 121
9.52 Installation erfolgreich beenden . . . . . . . . . . . . . . . . . . . . . . . . 121
9.53 NetBIOS-Domäne benennen . . . . . . . . . . . . . . . . . . . . . . . . . 122
9.54 Pfad der Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
9.55 Pfad der Kopie der öffentlichen Dateien . . . . . . . . . . . . . . . . . . . 123
9.56 Serverprogramm Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . 123
9.57 Verzeichnisdienst Passwort . . . . . . . . . . . . . . . . . . . . . . . . . . 124
9.58 Auflistung der Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . 124
9.59 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
9.60 Installation mit Installationsassistent beenden. . . . . . . . . . . . . . . . 125
9.61 Installation erfolgreich beenden . . . . . . . . . . . . . . . . . . . . . . . . 126
9.62 DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
9.63 DHCP-Installationsassistent . . . . . . . . . . . . . . . . . . . . . . . . . 128
9.64 DHCP-Installationsassistent . . . . . . . . . . . . . . . . . . . . . . . . . 128

9.65 DHCP-Installationsassistent . . . . . . . . . . . . . . . . . . . . . . . . . 129
9.66 DHCP-Installationsassistent . . . . . . . . . . . . . . . . . . . . . . . . . 129
9.67 DHCP-Adressbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
9.68 DHCP-Adressbereiche ausschließen . . . . . . . . . . . . . . . . . . . . . . 130
9.69 DHCP-Leasetime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
9.70 DHCP-Optionen konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . 131
9.71 DHCP-Router IP angeben . . . . . . . . . . . . . . . . . . . . . . . . . . 132
9.72 DHCP-DNS Server angeben . . . . . . . . . . . . . . . . . . . . . . . . . 132
9.73 DHCP-WINS Server angeben . . . . . . . . . . . . . . . . . . . . . . . . . 133
9.74 DHCP-Bereich aktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
9.75 DHCP-Bereich fertig stellen . . . . . . . . . . . . . . . . . . . . . . . . . 134
9.76 DHCP-Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
9.77 WINS-Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
9.78 WINS-Installation bestätigen . . . . . . . . . . . . . . . . . . . . . . . . . 135
9.79 WINS-Installationsvorgang . . . . . . . . . . . . . . . . . . . . . . . . . . 136
9.80 WINS-fertig stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
10.1 Neue virtuelle Maschine erstellen . . . . . . . . . . . . . . . . . . . . . . . 138
10.2 Auswahl einer typischen Installation . . . . . . . . . . . . . . . . . . . . . 138
10.3 Angabe eines Namens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
10.4 Auswahl des Speicherortes . . . . . . . . . . . . . . . . . . . . . . . . . . 139
10.5 Auswahl des Gastbetriebssystems . . . . . . . . . . . . . . . . . . . . . . 140
10.6 Zuweisen von Arbeitsspeicher . . . . . . . . . . . . . . . . . . . . . . . . . 140
10.7 Auswahl der Netzwerkschnittstellen . . . . . . . . . . . . . . . . . . . . . 141
10.8 Zuweisen des virtuellen Festplattenspeichers . . . . . . . . . . . . . . . . . 141
10.9 Abschluss der Einrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . 142
10.10 Virtuelle Maschine hochfahren . . . . . . . . . . . . . . . . . . . . . . . . 143
10.11 CD-Image einbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
10.12 Konsole öffnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
10.13 Kein Betriebssystem gefunden . . . . . . . . . . . . . . . . . . . . . . . . 144
10.14 Installer boot menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
10.15 Auswahl der Sprache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
10.16 Auswahl des Landes/Gebiet . . . . . . . . . . . . . . . . . . . . . . . . . 145
10.17 Tastaturbelegung festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . 146
10.18 Hardware-Erkennung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
10.19 CD-Image durchsuchen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
10.20 Eingabe des Rechnernamens . . . . . . . . . . . . . . . . . . . . . . . . . 147
10.21 Eingabe des Domainnamens . . . . . . . . . . . . . . . . . . . . . . . . . 148
10.22 Partitionierungsprogramm laden . . . . . . . . . . . . . . . . . . . . . . . 148
10.23 Auswahl der Partitionsmethode . . . . . . . . . . . . . . . . . . . . . . . 149
10.24 Auswahl der Festplatte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
10.25 Auswahl des Partitionsschemas . . . . . . . . . . . . . . . . . . . . . . . . 150

10.26 Übersicht über die Konfiguration . . . . . . . . . . . . . . . . . . . . . . . 150
10.27 Letzte Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
10.28 Installation des Grundsystems . . . . . . . . . . . . . . . . . . . . . . . . 151
10.29 Root-Passwort einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
10.30 Root-Passwort bestätigen . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
10.31 Benutzer anlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
10.32 Benutzer anlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
10.33 Benutzer-Passwort festlegen . . . . . . . . . . . . . . . . . . . . . . . . . 154
10.34 Benutzer-Passwort bestätigen . . . . . . . . . . . . . . . . . . . . . . . . . 154
10.35 Zusätzliche CDs DVDs einlesen . . . . . . . . . . . . . . . . . . . . . . . 155
10.36 Ergänzung Netzwerkspiegel . . . . . . . . . . . . . . . . . . . . . . . . . 155
10.37 Konfiguration von apt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
10.38 Teilnahme an der Paketverwendungserfassung . . . . . . . . . . . . . . . . 156
10.39 Auswahl der zu installierenden Software . . . . . . . . . . . . . . . . . . . 157
10.40 Installation des Bootloaders GRUB . . . . . . . . . . . . . . . . . . . . . 157
10.41 CD-Image entfernen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
10.42 CD-Image trennen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
10.43 Bootloader GRUB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
10.44 Loginbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
11.1 Bestätigen für den nächsten Schritt . . . . . . . . . . . . . . . . . . . . . 190
11.2 Akzeptieren der Bedingungen . . . . . . . . . . . . . . . . . . . . . . . . . 190
11.3 Auswahl des Speicherortes . . . . . . . . . . . . . . . . . . . . . . . . . . 191
11.4 Auswahl der Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . 191
11.5 Sprache auswählen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
11.6 start menu folder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
11.7 Additional Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
11.8 start Install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
11.9 Installation erfolgreich beenden . . . . . . . . . . . . . . . . . . . . . . . . 194
11.10 TeraTerm starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
11.11 LogMeTT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
11.12 Macro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
11.13 Add Child . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
11.14 Macrofile benennen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
11.15 Additional Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
11.16 Datei erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
11.17 txt umbenennen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
11.18 Warnung bei umbenennen . . . . . . . . . . . . . . . . . . . . . . . . . . 201
11.19 .bat Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
11.20 Datei bearbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
11.21 Bsp .bat Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
13.1 Online Hilfe des Access Points . . . . . . . . . . . . . . . . . . . . . . . . 212

13.2 Blaues Rollover Kabel am Console Port . . . . . . . . . . . . . . . . . . . 214
13.3 Telnet Verbindung zum AP . . . . . . . . . . . . . . . . . . . . . . . . . . 215
13.4 Verbindung zum Webinterface . . . . . . . . . . . . . . . . . . . . . . . . 226
13.5 Passworteingabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
13.6 Home-Bereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
13.7 Hostnamen ändern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
13.8 Bestätigen durch Apply . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
13.9 Warnung bestätigen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
13.10 enable Passwort ändern und verschlüsseln . . . . . . . . . . . . . . . . . . 229
13.11 Neues enable Passwort eingeben . . . . . . . . . . . . . . . . . . . . . . . 230
13.12 Admin User anlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
13.13 Userliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
13.14 SSH aktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
13.15 Funkinterface Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
13.16 Native VLAN erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
13.17 VLAN Warnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
13.18 VLANs erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
13.19 VLAN Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
13.20 VLANs verschlüsseln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
13.21 RADIUS Server Daten eintragen . . . . . . . . . . . . . . . . . . . . . . . 237
13.22 SSID erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
13.23 Authentifizierungsmethode der SSID festlegen . . . . . . . . . . . . . . . 238
13.24 Key Management WPA2 . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
13.25 SSID in guest mode setzen . . . . . . . . . . . . . . . . . . . . . . . . . . 239
13.26 Key Management WPA2 . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
13.27 Guest Mode SSID auf beiden Interfaces . . . . . . . . . . . . . . . . . . . 240
13.28 Funkinterface aktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
13.29 Funkinterface Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
18.1 Stundenaufteilung Mathias Gopp . . . . . . . . . . . . . . . . . . . . . . . 260
18.2 Gesamtaufwand Mathias Gopp . . . . . . . . . . . . . . . . . . . . . . . . 260
18.3 Stundenaufteilung Franz Pucher . . . . . . . . . . . . . . . . . . . . . . . 261
18.4 Gesamtaufwand Franz Pucher . . . . . . . . . . . . . . . . . . . . . . . . 261
18.5 Stundenaufteilung Felix Tiefenthaler . . . . . . . . . . . . . . . . . . . . . 262
18.6 Gesamtaufwand Felix Tiefenthaler . . . . . . . . . . . . . . . . . . . . . . 262
19.1 Zeitplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
19.2 Balkendiagramm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

Tabellenverzeichnis
4.1 IP-Adressschema der Testumgebung . . . . . . . . . . . . . . . . . . . . . . 57
5.1 Hardwareangaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Eidesstattliche Erklärung
Ich versichere an Eides statt, dass ich die entsprechend gekennzeichneten Teile der
vorliegenden Diplomarbeit selbstständig verfasst, keine anderen als die angegebenen
Quellen und Hilfsmittel benutzt, sowie alle wörtlich oder sinngemäß übernommenen
Stellen in der Arbeit gekennzeichnet habe.
Ferner gestatte ich der Höheren Technischen Bundeslehr- und Versuchsanstalt Rankweil
(HTL Rankweil), die vorliegende Diplomarbeit unter Beachtung insbesondere datenschutzrechtlicher
und wettbewerbsrechtlicher Vorschriften für Lehre und Forschung zu
benutzen.
Declaration of Oath
I declare by oath that all accordingly indicated parts of my thesis (diploma) were
independently written by myself, no other than the indicated sources and aids have
been used and that all parts of the thesis which have been taken over, either literally or
in a general manner, have been accordingly indicated. Furthermore I permit the Higher
Technical College and Laboratory (Rankweil) (Höhere Technische Bundeslehr- und
Versuchsanstalt Rankweil-HTL) to use the thesis (diploma) for teaching and research,
paying attention to data security and competition protection regulations.
Mathias Gopp
Franz Pucher
Felix Tiefenthaler
16

Liebe Leser,
die vorliegende Diplomarbeit wurde während des Schuljahres 2008/09 in der HTL
Rankweil von der Projektgruppe AIR09 der Klasse 5AHELI erstellt.
In diesem Dokument möchten wir Ihnen zuerst einen Überblick über die Thematik
Wireless LAN geben. Dabei erläutern wir alle von uns behandelten Themengebiete
und versuchen diese in zusammengefasster Form wiederzugeben.
Zunächst werden wir über die geleisteten Arbeiten Auskunft geben. Anhand dieser Dokumentation
soll es möglich sein, die von uns getätigten Arbeitsschritte reproduzieren
zu können. Damit die Dokumentation für Aussenstehende besser lesbar ist, möchten
wir hiermit eine kleine Anleitung zur Verfügung stellen. Die Dokumentation ist in
Themenbereiche aufgegliedert. Allgemeine Informationen zum Projekt finden Sie im
Kapitel Einleitung. Unter diesem Kapitel finden Sie auch eine etwas ausführlichere
Beschreibung zu einzelnen Themengebieten. Im Kapitel Testumgebung zeigen wir den
Aufbau unseres Testnetzwerks. Im Kapitel VMware ESXi Server zeigen wir die Installation
eines VMware ESXi Servers inklusive Installation eines VMware Infrastructure
Clients. Ebenfalls wird in diesem Kapitel die Konfiguration des ESXi Servers erläutert.
Im nächsten Kapitel Virtuelle Maschinen zeigen wir die Installation und Konfiguration
unserer Virtuellen Maschinen. Dieses Kapitel beschreibt den wichtigsten Teil unserer
Diplomarbeit. Danach wird die Automatisierung der Access Point-Konfiguration sowie
die automatisierte Konfiguration des Debian Servers beschrieben. Anschließend
folgt noch die Installation und Konfiguration der Access Points. Als letzten Punkt beschreiben
wir noch die zur Qualitätssicherung unternommenen Schritte. Sollten Sie in
der Dokumentation irgendwelche unbekannten Begriffe oder Abkürzungen finden, sind
diese am Ende des Dokuments im Glossar bzw. Abkürzungsverzeichnis erklärt. Informationen
zu den von uns verwendeten Quellen erhalten Sie im Literaturverzeichnis.
Zusätzlich zu dieser Dokumentation existiert der Anhang Security Appendix sowie eine
CD-ROM. Im Security Appendix sind alle sicherheitsrelevanten Informationen enthalten,
die in dieser Dokumentation durch bzw. ersetzt wurden.
Auf der CD-ROM befinden sich das Installationsmedium für den VMware ESXi
Server, weiterführende Literatur dazu, das Debian Installationsmedium, das Debian
Installationsskript mit allen dazugehörigen Dateien und das Windows Server 2003 R2
Installationsmedium.
Uns ist es ein spezielles Anliegen, dass die von uns gemachten Erfahrungen der Öffentlichkeit
zugänglich sind. Denn wie sich im Laufe der Arbeiten herausgestellt hat, ist
es bei einer teilweise sehr komplizierten Thematik nicht möglich, nur Anleitungen im
Internet zu befolgen. Irgendwelche Fehler tauchen beinahe immer auf. Es gibt jedoch
eine Reihe von Anlaufstellen im Internet, wo derartige Probleme behandelt werden und
oft auch sehr gute Lösungsansätze gefunden werden. Aus diesem Grund möchten wir
17

gerne all jenen Benutzern helfen, die vielleicht vor der selben Aufgabe wie wir standen
und an einem Punkt angelangt sind, wo es einfach nicht mehr weiter geht. Dies ist auch
der Grund dafür, dass wir unsere Arbeit unter die GNU Free Documentation License
stellen.
Wir freuen uns, am Ende unserer Diplomarbeit viele Erfolge aufweisen zu können. Über
das gesamte Jahr hinweg konnten wir ein funktionierendes Funknetzwerk aufbauen, das
in Zukunft hoffentlich an der HTL Rankweil zum Einsatz kommt.
Mit freundlichen Grüßen
Mathias Gopp, Franz Pucher, Felix Tiefenthaler
5AHELI 2008/09
18

Teil I
Einleitung
19

1 Motivation
Für uns war sehr schnell klar, dass unsere Diplomarbeit mit Informatik zu tun haben
muss, da wir vor allem sehr an Netzwerktechnik interessiert sind. Wir beschäftigen uns
zudem auch in unserer Freizeit sehr viel mit der Thematik.
In der Schule haben wir bereits ein nützliches Grundwissen hierzu erlernt, welches für
die Umsetzung unserer Aufgabe sehr hilfreich war. Der Erfolg eines Projektes hängt mit
Sicherheit zu einem großen Teil von der Motivation der Projektmitglieder ab. Es war
nicht immer einfach, Rückschläge und vor allem Stillstände in der Entwicklung über
eine längere Zeit hindurch wegzustecken. Umso mehr erhielten wir durch das Erreichen
kleiner Zwischenziele während des Projektverlaufs immer wieder einen Motivationsschub,
der uns zum weiteren Arbeiten bekräftigt hat.
Funknetzwerke sind eine geniale Errungenschaft der Technik. Durch den nunmehr geschaffenen
Freiraum in Bezug auf Flexibilität und Bequemlichkeit kann die Produktivität
erhöht werden. Ein effizientes, zukunftsweisendes und vor allem sicheres Gesamtkonzept
konnte so ausgearbeitet werden.
Auch für unsere Zukunft soll diese Thematik einen hohen Stellenwert haben und unser
späteres Berufsleben maßgeblich beeinflussen. Durch die Vielfalt der in der Arbeit
behandelten Themen sehen wir uns einer zukünftigen Arbeit in diesem Gebiet durchaus
gewachsen.
21

2 Allgemein
2.1 Abstract
2.1.1 Abstract – Deutsch
Die Anbindung von Netzwerk-Clients über Funk-Vernetzung (WLAN) bietet gegenüber
der Kabel-Anbindung gerade beim Einsatz von Notebooks in Schulen große Vorteile:
Die lästigen Netzwerkkabel fallen weg, die Sitzordnung in der Klasse ist wesentlich
flexibler. Wenn die Funkvernetzung im ganzen Schulgebäude verfügbar ist, steht diese
flexible Netzanbindung sowohl den Schülern als auch den Lehrern zur Verfügung.
Ein weiterer Punkt betrifft die Sicherheit des Netzwerkes. Durch die Umstellung des
vorhandenen Netzwerkes im vorherigen Schuljahr wurden die technischen Voraussetzungen
für eine zuverlässige und sichere Funk-LAN-Verbindung geschaffen. Durch den
neuen WLAN Standard 802.11n und die WPA-Verschlüsselung kann eine zukunftssichere
Lösung realisiert werden. Der Zugriff auf das Netzwerk wird über ein Authentifizierungsverfahren
geregelt. Das Endziel ist es, ein Funk-Netzwerk zu schaffen, auf das
flächendeckend vom gesamten Schulgelände aus auf möglichst sichere Art und Weise
zugegriffen werden kann.
2.1.2 Abstract – Englisch
The connection of network clients over a wireless LAN connection offers several advantages
for work in school compared to conventional cable connection: Annoying network
cables are no more necessary, seating arrangements in the classroom is more flexible.
If the wireless connection is available in the whole campus this connection can be used
both by teachers and students. Another important point is the security of the network.
Because of the network improvements in the last year the technical requirements for a
secure and reliable wireless LAN connection are fulfilled. The connection to the network
will be arranged over authentication. The final aim is to establish a wireless network
that can be accessed from every part of the campus in a secure way. Using the new
23

2.1. ABSTRACT KAPITEL 2. ALLGEMEIN
wireless LAN standard 802.11n and the WPA encryption a future-proof solution can
be realized.
24

KAPITEL 2. ALLGEMEIN
2.2. KURZFASSUNG
2.2 Kurzfassung
2.2.1 Kurzfassung – Deutsch
Die Aufgabenstellung unserer Diplomarbeit war, ein sicheres und zuverlässiges Funknetzwerk
für unsere Schule zu realisieren.
Die Anbindung von Netzwerk-Clients über Funk-Vernetzung (WLAN) bietet gegenüber
der Kabel-Anbindung gerade beim Einsatz von Notebooks in Schulen große Vorteile:
Die lästigen Netzwerkkabel fallen weg, die Sitzordnung in der Klasse ist wesentlich
flexibler. Wenn die Funkvernetzung im ganzen Schulgebäude verfügbar ist, steht diese
flexible Netzanbindung sowohl den Schülern als auch den Lehrern zur Verfügung.
Ein weiterer Punkt betrifft die Sicherheit des Netzwerkes. Durch die Umstellung des
vorhandenen Netzwerkes im vorherigen Schuljahr wurden die technischen Voraussetzungen
für eine zuverlässige und sichere Funk-LAN-Verbindung geschaffen. Durch den
neuen WLAN Standard 802.11n und die WPA-Verschlüsselung kann eine zukunftssichere
Lösung realisiert werden. Der Zugriff auf das Netzwerk wird über das Authentifizierungsverfahren
802.1X in Verbindung mit einem FreeRADIUS Server geregelt.
Zudem werden die Benutzergruppen durch verschiedene virtuelle Netzwerke (VLAN)
getrennt, um zusätzliche Sicherheit zu schaffen. Das Endziel ist es, ein Funk-Netzwerk
zu schaffen, auf das flächendeckend vom gesamten Schulgelände aus auf möglichst sichere
Art und Weise zugegriffen werden kann.
Im Laufe der Diplomarbeit wurde zu den einzelnen Themen Recherche betrieben und
ein bestmögliches Konzept erstellt. Dieses wurde anschließend in einem Testbetrieb
umgesetzt und für den Produktivbetrieb vorbereitet. Der Produktivbetrieb wurde im
Rahmen einer kleinen Benutzergruppe durchgeführt.
Im folgenden wird kurz gezeigt wie unser Projekt funktioniert:
25

2.2. KURZFASSUNG KAPITEL 2. ALLGEMEIN
Abbildung 2.1: Netzwerküberblick
Im Bild ist zu sehen, dass die grün eingekreisten Komponenten schon vorhanden sind.
Wir mussten die nicht eingekreisten Komponenten installieren und konfigurieren. Es
ist der prinzipielle Ablauf einer Authentifizierung zu erkennen.
Wie läuft eine Anmeldung am Funknetzwerk ab
Grundsätzlich unterscheiden wir zwischen drei verschiedenen Benutzergruppen. Zum
einen gibt es die Benutzergruppe der Lehrer, die Zugriff auf alle Ressourcen hat. Dann
gibt es die Benutzergruppe Schüler, die nur Zugriff auf das Internet hat. Als letztes
versucht sich ein Benutzer mit falschen Benutzerdaten am Netzwerk anzumelden.
Zuerst erklären wir die Anmeldung eines Lehrers. Der Lehrer meldet sich mit seinen
Benutzerdaten am Access Point an. Dieser leitet die Informationen an den Authentifizierungsserver
weiter. Der Authentifizierungsserver vergleicht die Benutzerinformationen
mit den in der Benutzerdatenbank vorhandenen. Je nachdem ob die Informationen
übereinstimmen, teilt der Authentifizierungsserver dies dem Access Point mit. Gleichzeitig
sucht der Authentifizierungsserver die zum Benutzer gehörende Benutzergruppe
in der Benutzerdatenbank. Anhand dieser Benutzergruppe entscheidet der Authentifizierungsserver
dann, auf welche Ressourcen der Benutzer zugreifen darf und teilt dies
dann ebenfalls dem Access Point mit. Ist dieser Vorgang erfolgreich, hat der Benutzer
Zugriff auf die schulinternen Netzwerkressourcen sowie auf das Internet.
Meldet sich ein Schüler am Netzwerk an, läuft der Vorgang im Prinzip genau gleich ab.
Der einzige Unterschied ist die andere Benutzergruppe, die schlussendlich dazu führt,
26

KAPITEL 2. ALLGEMEIN
2.2. KURZFASSUNG
dass der Benutzer nur Zugriff auf das Internet hat.
Meldet sich ein Benutzer mit falschen Benutzerdaten an, hat dieser keinen Zugriff auf
irgendwelche Ressourcen. Er gelangt dann in ein separates Netzwerk.
2.2.2 Kurzfassung – Englisch
The connection of network clients over a wireless LAN connection offers several advantages
for work in school compared to conventional cable connection: Annoying network
cables are no more necessary, seating arrangements in the classroom is more flexible.
If the wireless connection is available in the whole campus this connection can be used
both by teachers and students. Another important point is the security of the network.
Because of the network improvements in the last year the technical requirements for
a secure and reliable wireless LAN connection are fulfilled. The connection to the network
will be arranged over the authentication protocol 802.1X and the authentication
server FreeRADIUS. Additionally the user groups were separated by different networks
in order to get more security. The final aim is to establish a wireless network that can
be accessed from every part of the campus in a secure way. Using the new wireless LAN
standard 802.11n and the WPA encryption a future-proof solution can be realized.
During the work for the dissertation we collected information to each topic and carried
out the best concept. Afterwards this concept was transformed into a test mode and
prepared for the production business mode. This production mode was tested by a
small user-group. The following picture gives a short review of the function of our
project.
27

2.2. KURZFASSUNG KAPITEL 2. ALLGEMEIN
Abbildung 2.2: Network overview
The green surrounded components are already available in the network of the school.
We had to install an configure all the other components shown. Now we are going to
show how the login of a user works.
Basically there are three different user-groups. On the one hand there is the usergroup
“teachers” which has access to all of the resources. The next user-group is called
“student”. This group has only access to the internet. Finally there is a user that tries
to login to the network with wrong user information.
At first we want to explain the registration of a teacher: The teacher enters his user
information into the access point. The access point forwards this information to the
authorization server. The authorization server compares this information with the information
in the user database. Now the authorization server tells the access point if
the user is allowed to access the network or not without any restrictions. Simultaneously
the authorization server searches for the user-group belonging to the user. Based on
this information the authorization server decides which network resources the user has
access to. After this authorization process the user has access to the network.
If a student tries to login to the network, the authorization process is very similar.
The only difference between the authorization process of a teacher and a student is the
user-group. As a result of this the student only has access to the internet.
At least a user with wrong user information tries to get access to the network. The
28

KAPITEL 2. ALLGEMEIN
2.2. KURZFASSUNG
authorization server recognizes this user as a unknown user and so the user is not
allowed to use any resources on the network.
29

2.3. PROJEKT TEAM KAPITEL 2. ALLGEMEIN
2.3 Projekt Team
Mathias Gopp
• Verwaltung Windows Server
• Verwaltung Windows Dienste
• Automatisierung der Access Point Konfiguration
Franz Pucher
• Konfiguration der Access Points
• Verwaltung des Testnetzwerks
• Automatisierung der Access Point Konfiguration
Felix Tiefenthaler
• Projektleiter
• Verwaltung Debian Server
• Verwaltung Debian Dienste
Prof. Dipl.Ing. Dr. Roland Sandholzer
• Projektbetreuer
30

KAPITEL 2. ALLGEMEIN
2.4. PROJEKTBEZEICHNUNG
2.4 Projektbezeichnung
Der Name des Projekts setzt sich aus drei Buchstaben und zwei Zahlen zusammen. Die
drei Buchstaben AIR kommen aus dem Englischen und bedeuten übersetzt Luft. Dies
soll ein Indiz dafür sein, dass das Projekt mit Luft zu tun hat. In unserem Fall bedeutet
dies, dass die Übertragung der Informationen über die Luft – kabellos – passiert. Die
zwei Zahlen 09 stehen hierbei für das Jahr 2009, in dem die Diplomarbeit erstellt
wurde.
2.5 Zielsetzung und allgemeine
Funktionsbeschreibungen
Das Endziel ist es, ein Funknetzwerk, ein sogenanntes Wireless Local Area Network
(WLAN) zu schaffen, auf das flächendeckend, vom gesamten Schulgelände aus, auf möglichst
sichere Art und Weise zugegriffen werden kann. Ein großer Vorteil dabei ist, dass
durch solch eine Lösung sowohl den Schülern, als auch den Lehrern eine komfortable
und flexible Möglichkeit geboten werden kann, auf ihre persönlichen Daten zuzugreifen.
Aus diesem Grund ist vor allem die Sicherheit der Anbindung an das bestehende
Netzwerk wichtig und wird dementsprechend auch berücksichtigt. Das Funknetzwerk
soll in mehreren Stufen ausgebaut werden, welche nicht in einem einzige Schuljahr
realisiert werden können. In der ersten Stufe soll ein Testaufbau für ein eingeschränktes
Benutzerfeld (z.B. Notebook-Klassen) errichtet werden. Die daraus resultierenden
Erfahrungen und Informationen werden dann in die nächste Ausbaustufe einfließen.
Dabei wird ein Funknetzwerk für eine breitere Auswahl an Testpersonen aufgebaut.
Dies könnte z.B. durch eine Funkabdeckung im Bereich der Klassenräume stattfinden.
In der dritten Ausbaustufe wird dann das gesamte Gebäude flächendeckend mit dem
Funknetzwerk ausgestattet.
2.6 Begriffe
2.6.1 Organisationen
Um die Einheitlichkeit und Übersichtlichkeit der Dokumentation zu wahren, sind hier
nur die Organisationen aufgezählt. Die Erklärung findet sich im Abkürzungsverzeichnis.
31

2.7. BEZUGSUNTERLAGEN KAPITEL 2. ALLGEMEIN
• American National Standards Institute (ANSI)
• European Telecommunications Standards Institute (ETSI)
• Institute of Electrical and Electronics Engineers (IEEE)
• Internationale Fernmelde Union (ITU)
2.6.2 Technische Begriffe
Viele technische Begriffe sind im Abkürzungsverzeichnis bzw. dem Glossar genau erklärt.
2.7 Bezugsunterlagen
2.7.1 Normen, gesetzliche Vorschriften und Literatur zum
Stand der Technik
Im Folgenden sind die WLAN-Standards aufgelistet und beschrieben. Alle Standards
entstammen dem Institute of Electrical and Electronics Engineers (IEEE) . Der WLAN-
Standard wird in der Norm 802.11 beschrieben. Aus Gründen der Übersichtlichkeit
haben wir diese Punkte im Abschnitt Glossar genauer erklärt. [19]
2.8 Leistungsbeschreibung
2.8.1 Need to Have
• Einarbeiten in die Thematik
• Evaluation verschiedener Lösungsvarianten
• Erstellung eines Lösungskonzepts
Sicherheit
Zuverlässigkeit
QS-Anforderungen
Kosten
32

KAPITEL 2. ALLGEMEIN
2.9. PROJEKTMANAGEMENT
• Beschaffung der Hardware und Software
• Einrichtung einer Testinstallation mit einer begrenzten Anzahl von Access Points
• Test der Installation
• Überführung dieser Variante in den Produktivbetrieb (Rollout)
• Erstellung eines Konzepts für eine flächendeckende Versorgung der Schule mit
WLAN
• Abklärung der Anforderungen
• Kostenvoranschlag
2.8.2 Nice to Have
• Realisierung und Test einer flächendeckenden Lösung
• Voice over IP (VoIP) über WLAN (Roaming)
2.9 Projektmanagement
Die Aufgaben der Projektmitglieder überschneiden sich teilweise. Die grobe Aufteilung
der Arbeiten sieht wie folgt aus: Mathias Gopp ist für die Konfiguration des Windows
Servers sowie dessen Dienste verantwortlich. Franz Pucher verwaltet den Access
Point und Felix Tiefenthaler ist Projektleiter und für den Bereich Debian Server und
FreeRADIUS Server verantwortlich.
Weitere Informationen bezüglich des Projektmanagements können dem Abschnitt VII
entnommen werden.
Die einzelnen Arbeitsaufwände können aus dem Zeitplan in Abschnitt 19 entnommen
werden.
33

2.9. PROJEKTMANAGEMENT KAPITEL 2. ALLGEMEIN
34

3 Grundlagen zur Thematik
3.1 Allgemein
Im folgenden Themenbereich werden die unterschiedlichsten Grundlagen zur Thematik
Netzwerktechnik, WLAN, Verschlüsselungen usw. näher erläutert. Diese Grundlagen
sind notwendig um ein Basiswissen für das Projekt zu erlangen. Mögliche Fehlerquellen
können mit Hilfe dieses Wissens schneller und effizienter gefunden und behoben
werden. Deshalb stand am Anfang unserer Diplomarbeit die Recherche, die uns einen
Einblick in diese Thematik gab. Wir konnten uns somit schon im Vorhinein mit gewissen
Themenbereichen befassen und erlangten so schrittweise neues Wissen. Einiges an
Vorwissen konnten wir schon aus dem Unterricht mitnehmen, wodurch der Einstieg in
die Thematik WLAN doch erheblich erleichtert wurde.
3.2 Telnet
Telecommunication Network (Telnet) ist ein Netzwerkprotokoll, mit dessen Hilfe Access
Points bzw. auch Router und Switche konfiguriert werden können. Da dieses Protokoll
über keine Verschlüsselung verfügt, wird es heute nur mehr selten verwendet und sollte
nicht über ein allgemein zugängliches Netzwerk betrieben werden, da gesendete Daten
und die Passwörter im Klartext übermittelt werden. Früher wurde das Protokoll für
die Fernwartung von Geräten verwendet, jedoch wurde dieses Protokoll durch das wesentlich
sicherere Protokoll Secure Shell (SSH) ersetzt. Telnet verwendet den Port 23.
[11]
Hier wird kurz gezeigt, wie über das HyperTerminal von Windows eine Telnetverbindung
zu einem Gerät hergestellt werden kann.
35

3.2. TELNET KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
Abbildung 3.1: HyperTerminal
Abbildung 3.2: HyperTerminal
Abbildung 3.3: HyperTerminal
36

KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
3.3. SSH
Nun sollte sich ein weiteres Fenster öffnen, mit dem das Gerät über die Kommandozeile
konfiguriert werden kann.
3.3 SSH
3.3.1 Was ist SSH
SSH ist ein Netzwerkprotokoll, welches verwendet wird, um auf entfernte Geräte zugreifen
zu können. In der ersten Version SSH1 wurden einige Schwachstellen gefunden,
weshalb SSH2 entwickelt worden ist. Gundsätzlich sollte es vermieden werden, eine
Verbindung zu einem Gerät mit einem unsicheren Protokoll wie z.B. SSH1 oder Telnet
aufzubauen, da hier sämtliche Daten und Passwörter unverschlüsselt übertragen
werden. [12]
3.3.2 SSH2
Wie schon erwähnt dient SSH für den Zugriff auf entfernte Geräte. Das Netzwerk zwischen
diesen Geräten ist meist das Internet oder ein lokales Netzwerk. SSH2 stellt eine
sichere, verschlüsselte Verbindung über das Netzwerk mit einem anderen Gerät her.
Die Datenübertragung geschieht über den Port 22. Es wird eine RSA Verschlüsselung
verwendet, die im nächsten Kapitel noch näher erläutert wird. Eine einfache SSH-
Verbindung kann folgendermaßen in einer Linux-Kommandozeile ausgeführt werden:
ssh @
Abbildung 3.4: SSH
37

3.3. SSH KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
Wir verwenden SSH um Access Points fernwarten zu können. So können wir von einer
zentralen Stelle sämtliche Access Points konfigurieren und verwalten. Dies ist recht
vorteilhaft, da die Access Points sich meist an schwer zugänglichen Stellen befinden.
3.3.3 RSA
RSA ist eine Verschlüsselung, die sowohl für die Verschlüsselung der Daten als auch
zur digitalen Signatur verwendet werden kann. Die Verschlüsselung arbeitet mit zwei
Schlüsseln, einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel
ist bekannt und wird zur Prüfung der verschlüsselten bzw. signierten Daten verwendet.
Der private Schlüssel wird geheim gehalten und kann nur mit großem Rechenaufwand
aus dem öffentlichen Schlüssel berechnet werden. Mit dem privaten, geheimen Schlüssel
können die Daten wieder dekodiert und somit gelesen werden. [13]
Im folgenden Bild wird symbolisch gezeigt, wie die Daten verschlüsselt werden:
Abbildung 3.5: RSA Verschlüsselung
Im folgenden Bild wird symbolisch gezeigt, wie die Daten entschlüsselt werden:
38

KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
3.3. SSH
Abbildung 3.6: RSA Entschlüsselung
39

3.4. DHCP KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
3.4 DHCP
Das Dynamic Host Configuration Protocol (DHCP) ist für die Vergabe von IP-Adressen
in einem Netzwerk zuständig. Vorrangig ist der DHCP-Server für die dynamische Zuweisung
von IP-Adressen zuständig. Dies ist in großen Netzwerken von Vorteil, da es ein
enormer Aufwand wäre, bei jedem netzwerkfähigen Gerät alle Netzwerkdaten einzeln
einzugeben. Der DHCP-Server übermittelt einem Client folgende Daten:
• IP-Adresse
• Subnetmask
• DNS-Server
• Gateway
• Router
• DNS
• WINS
• . . .
Die DHCP-Anfragen werden über den UDP-Port 67 an den DHCP-Servers gestellt.
Der DHCP-Server antwortet dem Client auf UDP-Port 68. Dabei übermittelt er dem
Client alle wichtigen Daten, wie z.B. eine eindeutige IP-Adresse, Subnetzmaske, DNS-
Server, . . . . Der DHCP-Server bestimmt ebenfalls die lease time der IP-Adresse. Die
lease time ist die Zeit, in der ein Client die IP-Adresse behalten darf. Ist diese Zeit abgelaufen,
muss er erneut eine IP-Adresse beim DHCP-Server beantragen. Eine statische
Zuweisung der IP-Adresse kann aufgrund der MAC-Adresse des Clients erfolgen.
Im folgenden Blockschaltbild [14] wird gezeigt, wie ein PC zu seinen DHCP-Daten
kommt:
40

KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
3.4. DHCP
Abbildung 3.7: DHCP Daten
Erklärung des Ablaufs der IP-Adressvergabe:
• DHCPDISCOVER: Ein PC der noch keine IP-Adresse besitzt, schickt ein
Datenpaket an alle Teilnehmer im Netzwerk (Broadcast) und sucht nach einem
DHCP-Server von dem er die benötigten Daten bekommt.
• DHCPOFFER: Alle DHCP-Server melden sich beim Client.
• DHCPREQUEST: Nun kann sich der Client PC einen DHCP-Server aussuchen,
von welchem er die IP-Adresse bekommt. Meist wird der DHCP-Server
gewählt, welcher am schnellsten auf die Anfrage reagiert hat.
• DHCPACK: Sendet dem Client die benötigten Daten und eine Bestätigung für
die erfolgreiche Adressvergabe.
• DHCPRELEASE: Der Client teilt dem Server mit, dass er seine Daten inklusive
IP-Adresse nicht mehr braucht und an andere Geräte vergeben kann. Dies
41

3.5. ACTIVE DIRECTORY KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
geschieht, wenn sich der Client vom Netzwerk abmeldet.
Nun kann noch der Fall auftreten, dass sich der DHCP-Server in einem anderen Netzwerk
befindet. DHCP-Anfragen werden mittels Broadcast gestellt. Broadcasts werden
von Routern nicht weitergeleitet. Daher muss im Router mit Hilfe der IP-Helper-
Adresse eingestellt werden, wohin er derartige Anfragen weiterleiten soll. Somit ist es
nun möglich IP-Adressen in anderen Netzen zu vergeben.
3.5 Active Directory
Das Microsoft Active Directory (AD) wird dazu verwendet, die Netzwerkstruktur zu
gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise
Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Geräte wie
Drucker und Scanner und deren Eigenschaften. Jeder Ressource können bestimmte
Rechte erteilt werden, um die Sicherheit im Netzwerk zu erhöhen. Jede Ressource
kann sich wiederum in einer oder mehreren Gruppen befinden. So gibt es z.B. eine
Gruppe namens Schüler in welcher sich alle Benutzeraccounts der Schüler befinden.
Diese Gruppenzugehörigkeit dient wiederum der Sicherheit. Der Informationsaustausch
nach außen funktioniert über das LDAP Protokoll, über welches Informationen über
Benutzer und Gruppen abgefragt werden können. [15]
3.5.1 LDAP
Lightweight Directory Access Protocol (LDAP) erlaubt die Abfrage und die Modifikation
von Informationen eines Verzeichnisdienstes. Das Windows Active Directory weist
eine LDAP-Architektur auf, wodurch es möglich ist, die Daten aus der Datenbank mittels
LDAP zu lesen. LDAP ist in einer Baumstruktur aufgebaut, wodurch es möglich
ist, durch einfache Befehle auf einen gewissen Pfad in der Baumarchitektur zuzugreifen
und dadurch die gewünschten Informationen zu bekommen. [16]
3.6 WINS
Windows Internet Naming Service (WINS) dient der Namensauflösung in einem Netzwerk.
Die Namensauflösung wird für das lokale Netzwerk, aber nicht für das Internet,
benötigt. Der WINS-Server speichert jede IP-Adresse mit dem zugehörigen Namen des
42

KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
3.7. DNS
Gerätes. Ändert sich eines von beiden, so wird dies vom WINS-Server automatisch
erkannt und selbstständig geändert. Das größte Problem des WINS-Server ist es, veraltete
Einträge zu löschen. Daher ist es ratsam, so wenig WINS-Server wie möglich in
einem Netzwerk zu verwenden. [17]
3.7 DNS
Domain Name System (DNS) ist zuständig für die Namensauflösung im Netzwerk bzw.
dem Internet und ist somit einer der wichtigsten Dienste. Man verwendet ihn für das
Umwandeln eines Domainnamen in eine IP-Adresse (forward lookup). Beim reverse
lookup wird die bekannte IP-Adresse in einen Domainnamen umgewandelt. Der Datenaustausch
erfolgt über den UDP/TCP Port 53. DNS-Server sind nicht nur im Internet
vorhanden, sondern können auch im LAN verwendet werden. Es ist natürlich klar, dass
bei solchen Datenmengen und Anfragen nicht nur ein DNS-Server vorhanden ist. Die
DNS-Server sind hirarchisch gegliedert und arbeiten die Anfragen ab. [18]
43

3.8. RADIUS KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
3.8 RADIUS
Remote Authentication Dial-In User Service (RADIUS) ist ein Client-Server-Protokoll
das zur Authentifizierung, Autorisierung und zum Accounting (AAA) von Benutzern
bei Einwahlverbindungen in ein Computernetzwerk dient. RADIUS ist der defacto-
Standard bei der zentralen Authentifizierung von Einwahlverbindungen über Modem,
ISDN, VPN, WLAN (IEEE 802.1X) und DSL. Ein RADIUS-Server ist ein zentraler
Authentifizierungsserver, an den sich alle Remote Access Services (RAS), gelegentlich
auch über einen RADIUS-Proxy-Server, wenden. Der RADIUS-Server übernimmt
dabei für den RAS-Dienst die Authentifizierung, das heißt die Überprüfung von Benutzername
und Kennwort. Ebenso werden Parameter für die Verbindung zum Client
bereitgestellt. Die dabei verwendeten Daten entnimmt der RADIUS-Server eigenen
Konfigurationsdateien, eigenen Konfigurationsdatenbanken oder ermittelt diese durch
Anfragen an weitere Datenbanken oder Verzeichnisdienste, in denen die Zugangsdaten
wie Benutzername und Kennwort gespeichert sind. [1]
3.8.1 FreeRADIUS
FreeRADIUS ist ein modular aufgebauter, sehr leistungsfähiger und viele Funktionen
umfassender RADIUS-Server. FreeRADIUS ist ein OpenSource Projekt und somit für
eine große Anzahl an Betriebssystemen verfügbar. Aus diesem Grund ist FreeRADIUS
einer der am häufigsten eingesetzten RADIUS-Server.
Es galt einen unseren Anforderungen entsprechenden Authentifizierungsserver zu finden.
Aufgrund der Homogenität im Schulnetzwerk, wo eigentlich fast ausschließlich
Microsoft Windows Server zum Einsatz kommen, sollte der Microsoft IAS Server verwendet
werden. Da die in der Schule eingesetzte Lizenz für Windows Server 2003 R2
nur maximal 50 Access Points zulässt, musste ein anderer Authentifizierungsserver gefunden
werden, welcher eine größere Anzahl von Access Points unterstützt.
Nach kurzer Recherche stießen wir auf das Open Source Projekt FreeRADIUS und
waren von dessen Fähigkeiten und Leistungsmerkmalen rasch überzeugt. Nach ersten
Tests erschien uns FreeRADIUS im Vergleich zu Microsoft IAS Server auch um einiges
übersichtlicher, verständlicher und logischer aufgebaut. Alle gewünschten Funktionen
konnten mit dem FreeRADIUS Server bestens umgesetzt werden.
44

KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
3.9. VERSCHLÜSSELUNG
3.9 Verschlüsselung
Oberstes Ziel unserer Diplomarbeit war es, für die Sicherheit im Funknetzwerk zu sorgen.
Ein Funknetzwerk ist aufgrund seiner Ausbreitung über die Luft im Vergleich
zu einem verkabelten Netzwerk wesentlich leichter angreifbar. Ein Angreifer kann beispielsweise
auf dem Parkplatz parken und mit seinem Laptop versuchen, das Funknetzwerk
anzugreifen. Damit ein derartiger Angreifer keine Möglichkeit hat, die vom
Access Point bzw. vom Benutzer gesendeten Daten mitzulesen, werden diese Daten verschlüsselt.
Wir haben uns für die Wi-Fi Protected Access 2 (WPA2) Verschlüsselung
entschieden. Wir wollten eine gegenwärtig als sicher geltende Verschlüsselung einsetzen.
Dabei gingen wir einen Kompromiss ein: Ältere Laptops mit alten Funknetzwerkkarten
können unter Umständen nicht mit der WPA2 Verschlüsselung kompatibel sein.
3.9.1 WPA2
WPA2 ist ein Sicherheitsstandard für Funknetzwerke. Der Standard wurde laut
IEEE 802.11 a/b/g/n implementiert und basiert auf der Advanced Encryption Standard
(AES) Technologie. WPA2 ist der Nachfolger von WPA, was wiederum eine Weiterentwicklung
von Wired Equivalent Privacy (WEP) ist. WPA2 gilt im Vergleich zu
WEP als weitgehend sicher. Für WPA2 sind bisher nur Passwortangriffe bekannt. [5]
Verschlüsselung
Die Verschlüsselung erfolgt nach dem symmetrischen Kryptosystem Advanced Encryption
Standard (AES). [6]
Authentifizierung
Zur Authentifizierung bieten sich zwei Möglichkeiten: zum einen kann ein sogenannter
pre-shared key verwendet werden, zum anderen kann ein Authentifizierungsserver verwendet
werden. Pre-shared keys werden meist nur in privaten Installationen verwendet,
da die Verwaltung der Schlüssel zu aufwändig wird. Eine solche Art der Authentifizierung
wird oft als Personal bezeichnet.
Ein Authentifizierungsserver, wie wir ihn verwenden (siehe Abschnitt 3.8.1), wird zum
großen Teil in Unternehmen mit vielen Benutzern verwendet. Dabei wird als Authen-
45

3.9. VERSCHLÜSSELUNG KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
tifizierungsserver ein RADIUS Server verwendet. Der RADIUS Server bietet durch
die Möglichkeit einer zentralen Benutzerverwaltung vor allem in großen Netzwerken
wesentliche Vorteile. Durch Kombination von WPA2 und RADIUS kann eine Authentifizierung
am Access Point mittels EAP realisiert werden.
Sicherheit
WPA2 erfüllt die strengen Sicherheitsvorschriften für Datenaustausch in US-Behörden
nach FIPS 140-2. [4]
46

KAPITEL 3. GRUNDLAGEN ZUR THEMATIK 3.10. IEEE 802.1X
3.10 IEEE 802.1X
IEEE 802.1X [7][8][9] ist eine Methode zur Authentifizierung und Autorisierung an
IEEE 802-Netzwerken. Die Authentifizierung erfolgt über einen Authenticator. In einem
LAN ist dies z.B. ein physikalischer Port, in einem Funknetzwerk entspricht dies
dem Access Point. Der Authenticator leitet eine Anfrage weiter an einen Authentifizierungsserver,
der dann aufgrund der Benutzerinformationen entscheidet, ob ein Benutzer
Zugriff zum Netzwerk erhält. Anhand des in Abbildung 3.8 gezeigten Ablaufs kann der
Anmeldevorgang an einem Funknetzwerk erklärt werden:
Abbildung 3.8: Typischer Ablauf einer Anmeldung am Funknetzwerk
• Punkt 1: Ein Benutzer meldet sich mit Benutzername und Passwort am Access
Point an.
• Punkt 2: Der Access Point leitet die empfangenen Daten an den Authentifizierungsserver
weiter.
• Punkt 3: Der Authentifizierungsserver vergleicht die von ihm empfangenen Benutzerdaten
mit den in der Benutzerdatenbank vorhandenen. Je nach Übereinstimmung
teilt der Authentifizierungsserver das Ergebnis dem Access Point mit.
• Punkt 4: Anhand der Benutzerinformationen kann der Authentifizierungsserver
entscheiden, auf welche Ressourcen der Benutzer Zugriff hat. Der Authentifizie-
47

3.11. VIRTUALISIERUNG KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
rungsserver sendet diese Information in Form einer VLAN-ID dem Access Point
zu. Dieser weist dann dem Benutzer das entsprechende VLAN zu.
3.11 Virtualisierung
Virtualisierung (siehe Abschnitt 5.1.1) bezeichnet Methoden, die es erlauben, Ressourcen
eines Computers (insbesondere im Server-Bereich) zusammenzufassen oder aufzuteilen.
Für unser Projekt war dieser Umstand von sehr großer Bedeutung. Durch die Virtualisierung
von mehreren Betriebssystemen samt der zugehörigen Netzwerkinfrastruktur
(Switch) auf einer Hardware konnten wir unser gesamtes Testnetzwerk auf einem einzigen
physikalischen Server abbilden. Daraus entstand die Möglichkeit der zentralen
Verwaltung, die uns sehr viel Arbeitsaufwand ersparte.
Durch den Einsatz von virtuellen Maschinen wird es auch möglich, Momentanabbilder,
sogenannte Snapshots zu erstellen. Ein Snapshot ist im Prinzip ein Backup eines
gesamten Betriebssystems inklusive aller Daten auf der Festplatte und aller Daten im
Arbeitsspeicher. Wird ein Snapshot nach einer neuen Installation angelegt, kann somit
jederzeit zu diesem in Sekundenschnelle zurückgekehrt werden. Somit können auch
umfangreiche und aufwändige Arbeitsschritte durch Wiederherstellung des Snapshots
rückgängig gemacht werden.
Durch die Abstraktionsschicht zwischen Hardware und virtueller Maschine ist es möglich
Maschinen ohne weitere Installation von Treibern von einer Hardware auf eine
andere zu verschieben. So kann zum Beispiel eine in einem Testnetzwerk verwendete
virtuelle Maschine einfach auf einen im Produktivbetrieb befindlichen Virtualisierungsserver
verschoben werden. [10]
48

KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
3.12. AUTHENTIFIZIERUNG
3.12 Authentifizierung
Unter Authentifizierung versteht man die Prüfung der Echtheit von Daten. In unserem
Fall bezieht sich der Authentifizierungsvorgang auf die Feststellung der Identität des
Benutzers. Mittels Authentifizierung können unberechtigte Zugriffe auf das Netzwerk
verhindert werden.
Die Authentifizierung kann durch
• Wissen (z.B: Passwörter oder PINs)
• Besitz (z.B: Ausweis, Chipkarte)
• ein persönliches Merkmal (z.B: Fingerabdruck, Unterschrift, Netzhaut)
erfolgen. [27]
Abbildung 3.9: Prinzipieller Ablauf der Authentifizierung
49

3.12. AUTHENTIFIZIERUNG KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
3.12.1 Extensible Authentication Protocol – EAP
Als Ablaufprotokoll für die Authentifizierung empfiehlt IEEE 802.1X das Extensible
Authentication Protocol (EAP) bzw. Varianten davon. Dieses Protokoll ermöglicht verschiedene
Authentifizierungsverfahren und lässt sich auf neuere Verfahren erweitern,
wie das Wort Extensible andeutet. Welches Verfahren gewählt wird, handeln der Benutzer
(Client) und der Server vor der eigentlichen Authentifizierung aus.
Nach erfolgreichem Abschluss des Authentifizierungsverfahren ist der Benutzer mit seinen
Rechten im Netz angemeldet.
Die konkrete Umsetzung des EAPs erfolgt bei uns durch den FreeRADIUS Server.
Von EAP gibt es verschiedene Varianten die sich hauptsächlich darin unterscheiden, in
welchem Maße sie Zertifikate einsetzen:
• EAP-TLS (EAP with Transport Layer Security)
• PEAP (Protected EAP)
• EAP-TTLS (EAP with Tunneled Transport Layer Security
• LEAP (Lightweight EAP)
Wir setzen auf das weit verbreitete PEAP. [27]
50

KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
3.12. AUTHENTIFIZIERUNG
3.12.2 PEAPv0/EAP-MSCHAPv2
PEAPv0 bzw. EAP-MSCHAPv2 ist eine Variante bei dem für den Authentifizierungsserver
ein Zertifikat ausgestellt werden muss. Im ersten Schritt wird ein sicherer Tunnel
zwischen Client und Authentifizierungserver aufgebaut. Nach dem Tunnelaufbau
erfolt im zweiten Schritt die eigentliche Authentifizierung nach MS-CHAPv2. Bei MS-
CHAPv2 handelt es sich um ein Challenge Response Verfahren. Beim Challenge Response
Verfahren wird eine direkte Übertragung des Passwortes vermieden. Beide Seiten,
Benutzer und Authentifizierer, sind im Besitz des entsprechenden Passwortes. Bei
einer Anmeldung erzeugt der Authentifizierer eine Zufallszahl und sendet diese als Herausforderung
(Challenge) an den Benutzer. Dieser berechnet daraus, unter Verwendung
seines Passwortes, einen Hashwert und sendet diesen als Antwort (Response) zurück.
Der Authentifizierer vergleicht diese Antwort mit seinen eigenen Berechnungen. Stimmt
beides überein, so ist der Benutzer authentifiziert. [27]
Abbildung 3.10: Challenge Response Verfahren
51

3.12. AUTHENTIFIZIERUNG KAPITEL 3. GRUNDLAGEN ZUR THEMATIK
52

Teil II
Testumgebung
53

4 Allgemeines
4.1 Einführung
Bei unserer Diplomarbeit wurden sämtliche Arbeitsschritte zuerst in einem Testnetzwerk
erprobt, bevor sie dann in den Produktivbetrieb übernommen wurden. Das Testen
dieser Arbeitsschritte in einer Testumgebung bietet mehrere Vorteile: Dadurch, dass
die Testumgebung jener im Produktivbetrieb sehr ähnlich ist, war eine Überführung
vom Testbetrieb in den Produktivbetrieb mit nur wenig Problemen möglich. Die Erfahrungen,
die im Testbetrieb gesammelt wurden, waren für den Produktivbetrieb sehr
wertvoll, da auftretende Probleme sehr schnell beseitigt werden konnten.
In Absprache mit unserem Projektbetreuer haben wir uns entschieden, die in dieser
Dokumentation gezeigten Arbeitsschritte ausschließlich auf das Testnetzwerk zu beziehen.
Dies geschieht nicht zuletzt aus sicherheitstechnischen Gründen. Anhand der
Dokumentation dieser Arbeitsschritte soll es für jeden möglich sein, unsere Arbeit nachvollziehen
und selbst nachbauen zu können. Die für die Administratoren der Schule
relevanten Informationen sind in einer separaten Dokumentation enthalten.
55

4.2. AUFBAU KAPITEL 4. ALLGEMEINES
4.2 Aufbau
Die folgende Übersicht zeigt den prinzipiellen Aufbau unseres Testnetzwerkes:
Abbildung 4.1: Aufbau des Testnetzwerks
56

KAPITEL 4. ALLGEMEINES
4.2. AUFBAU
4.2.1 IP-Adressschema
Schnittstelle IP-Adresse Netzwerkmaske
Router (Verbindung Schulnetzwerk) 172.20.32.2 255.255.0.0
Router (Subinterface FA0/0.10) 10.0.10.1 255.255.255.0
Router (Subinterface FA0/0.20) 10.0.20.1 255.255.255.0
Router (Subinterface FA0/0.30) 10.0.30.1 255.255.255.0
Router (Subinterface FA0/0.40) 10.0.40.1 255.255.255.0
Router (Subinterface FA0/0.50) 10.0.50.1 255.255.255.0
ITDC1.IT.HTLR 172.20.1.41 255.255.0.0
Switch (VLAN 10) 10.0.10.2 255.255.255.0
Access Point 10.0.10.101 255.255.255.0
VMware ESXi Server 10.0.20.10 255.255.255.0
Windows Server 2003 R2 10.0.20.11 255.255.255.0
Debian 5.0 10.0.20.12 255.255.255.0
Verwaltung (VLAN 10) 10.0.10.xxx 255.255.255.0
Schüler (VLAN 30) 10.0.30.xxx 255.255.255.0
Lehrer (VLAN 40) 10.0.40.xxx 255.255.255.0
Nichtauthentifiziert (VLAN 50) 10.0.50.xxx 255.255.255.0
Tabelle 4.1: IP-Adressschema der Testumgebung
57

4.2. AUFBAU KAPITEL 4. ALLGEMEINES
58

Teil III
VMware ESXi Server
59

5 Allgemeines
5.1 Einführung
5.1.1 Grund für die Verwendung von VMware
An der HTL Rankweil kommen eine große Anzahl von Benutzern zusammen, welche mit
Hilfe eines Servers verwaltet werden. Verschiedene Server haben verschiedene Aufgaben.
Da es nicht effizient ist, dass jeder Server eine eigene Hardware besitzt, bzw. dies
viel zu teuer wäre, virtualisiert man die Server. So ist es möglich auf einer Hardware
mehrere virtuelle Server zu installieren und gleichzeitig zu betreiben. Dies ist eine
enorme Kostenersparnis. Zudem ist es möglich von den virtuellen Maschinen snapshots
zu machen, welche das zurücksetzen des Servers auf einen früheren Zeitpunkt enorm
erleichtern.
Wir verwenden zur Bereitstellung der Serverdienste einen Dell PowerEdge 4400 Server.
Das darauf installierte Betriebssystem ist ein VMware ESX Server 3.5i. Dieses
Betriebssystem bietet die Möglichkeit, mehrere Betriebssysteme gleichzeitig auf einer
Hardware betreiben zu können. Dies hat den großen Vorteil, dass ein virtualisiertes Betriebssystem
ohne große Probleme auf jedem anderen Server eingesetzt werden kann.
5.1.2 Begriffserklärung
Für den Betrieb von mehreren Betriebssystemen auf einer Server-Hardware wird ein
Wirtsbetriebssystem benötigt, welches den Gastbetriebssystemen die erforderlichen
Mittel zur Verfügung stellt und so eine Abstraktionsschicht bietet. Der große Vorteil
dabei ist, dass das Gastsystem für das Wirtsbetriebssystem konfiguriert ist. So ist
es möglich, das Gastbetriebssystem auf jeder anderen Hardware einzusetzen, auf der
das Wirtsbetriebssystem installiert ist.
Der VMware ESX Server 3.5i bietet die Möglichkeit der Virtualisierung von Betriebs-
61

5.2. BEZUGSQUELLE KAPITEL 5. ALLGEMEINES
systemen ohne Installation eines ressourcenfressenden Wirtsbetriebssystems. Die verwendete
Version VMware ESX Server 3.5i ist als kostenlose Testversion verfügbar.
Die Virtualisierung von Betriebssystemen ermöglicht eine sehr effiziente Nutzung von
Ressourcen. Dies ist vor allem dann von Vorteil, wenn kleine Serverinstallationen von
Nöten sind, da hier nicht mehr die gesamten Hardwareressourcen nur für ein Betriebssystem
verwendet werden.
5.2 Bezugsquelle
Die von uns verwendete Version von VMware ESXi Server ist 3.5i. Sie ist auf der CD
enthalten. Das Image des VMware ESXi Servers sowie die dazu benötigte Seriennummer
kann unter
http://www.vmware.com/download/esxi/getesxi.html
nach einer kurzen Registrierung erhalten werden.
5.3 Hardwareanforderungen
Informationen zu den Hardwareanforderungen bzw. zur Systemkompatibilität können
aus den beigelegten Dateien
GuestOS_guide.pdf
vi35_io_guide.pdf
vi35_systems_guide.pdf
entnommen werden.
5.4 Verwendete Hardware
In der folgenden Tabelle finden sich noch einige Hardwareangaben zu unserem Dell
PowerEdge 4400 Server. [33]
62

KAPITEL 5. ALLGEMEINES
5.4. VERWENDETE HARDWARE
63

5.4. VERWENDETE HARDWARE KAPITEL 5. ALLGEMEINES
Prozessor
Prozessor Typ
Prozessor Geschwindigkeit
Arbeitsspeicher
RAM Technologie
Festplattenspeicher - RAID
Anzahl der Festplatten
RAID Konfiguration
Hotspare
Verfügbarer Festplattenspeicher
Intel Pentium III Xeon
2 x 1 GHz
SDRAM 4GB
8 x 36GB
RAID 5 + Hotspare
2 x 36GB = 72GB
5 x 36GB = 180GB
Netzwerk
Netzwerktyp 10/100 Network Adapter x 1
CD/DVD
CD/DVD Typ
Lesegeschwindigkeit
Audio/Video
Installierter Video Speicher
CD-ROM
40x (CD)
4MB
Sonstige Eigenschaften
Spannungsversorgungstyp
Cold Swap Power Supply - 320 Watt
Integrierte Ein/Ausgabe Schnittstellen USB 1.1 x 2, Serial Port x 2
RJ45 Lan Port x 1
PS/2 Maus x 1, PS/2 Tastatur x 1
Parallel Port (ECP/EPP/SPP) x 1
Diskettenlaufwerk
3.5“ 1.44 MB floppy
Tabelle 5.1: Hardwareangaben
64

6 Installation
6.1 Vorbereitung
Bevor mit der Installation begonnen werden kann, muss das heruntergeladene Image
auf ein bootfähiges Medium kopiert werden, um anschließend davon booten zu können.
Da der von uns verwendete Server nicht von einem USB-Stick booten kann, haben wir
das Image auf eine CD gebrannt.
6.2 Installationsvorgang
Das Dokumentieren der VMware ESX Server Installation ist recht umständlich. Screenshots
können nicht einfach über die Tastenkombination Strg + Druck erzeugt werden
und ein Foto des Bildschirms erzielt nicht dieselbe Qualität, wie sie gewünscht wäre.
Aus diesem Grund haben wir die Screenshots aus folgendem online Tutorial verwendet
http://www.petri.co.il/how-do-you-install-vmware-esx-server-3i-esxi.htm.
1. Installations-CD in CD-Laufwerk des Servers einlegen.
2. Sollte der Server automatisch von der CD booten, kann dieser Punkt übersprungen
werden. Ansonsten muss im BIOS des Servers das Booten von einer CD
aktiviert werden.
3. Nachdem der Server von der CD gebootet hat, erscheint der in Abbildung 6.1
gezeigte Bildschirm.
65

6.2. INSTALLATIONSVORGANG KAPITEL 6. INSTALLATION
Abbildung 6.1: Erster Installationsbildschirm
4. Sobald der Ladevorgang von Abbildung 6.1 abgeschlossen ist, erscheint der in
Abbildung 6.2 gezeigte Bildschirm.
Abbildung 6.2: Initialisierung der Hardware
66

KAPITEL 6. INSTALLATION
6.2. INSTALLATIONSVORGANG
5. Nachdem die Hardware initialisiert ist, erscheint eine Eingabeaufforderung wie
sie in Abbildung 6.3 gezeigt wird. Diese wurde von uns mit der Taste ENTER
quittiert. Anschließend mussten die Lizenzbestimmungen mit der Taste F11 akzeptiert
werden.
Abbildung 6.3: Aufforderung zur Installation des VMware ESX Server 3i 3.5
6. Nun muss die Fesplatte, auf der der VMware ESX Server installiert werden soll,
ausgewählt werden. In unserem Fall war nur eine Festplatte installiert und so
wählten wir diese mit der Taste ENTER aus (siehe Abbildung 6.4).
67

6.2. INSTALLATIONSVORGANG KAPITEL 6. INSTALLATION
Abbildung 6.4: Auswahl des Speicherorts für die Installation
7. Abschließend muss die Installation des VMware ESX Servers noch mit der Taste
F11 bestätigt werden (siehe Abbildung 6.5)
Abbildung 6.5: Bestätigung der Installation
68

KAPITEL 6. INSTALLATION
6.2. INSTALLATIONSVORGANG
8. Nachdem die Installation abgeschlossen ist, erscheint der in Abbildung 6.6 gezeigte
Bildschirm. Die IP Adresse, RAM Speicherkapazität und CPU Angaben
stimmt nicht mit denen unseres Testnetzwerks überein, da dies, wie zu Beginn
der Installation erklärt, nicht unsere eigenen Screenshots sind.
Abbildung 6.6: Bildschirmanzeige nach beendeter Installation
69

6.2. INSTALLATIONSVORGANG KAPITEL 6. INSTALLATION
70

7 Konsole
Der VMware ESX Server ist nun installiert und muss jetzt konfiguriert werden. Ausgangspunkt
dabei ist die in Abbildung 6.6 gezeigte Bildschirmanzeige 1 . Mit der Taste
F2 wird das Customize System Menü aufgerufen, von dem aus alle weiteren Einstellungen
vorgenommen werden.
Die Dokumentation zur weiteren Konfiguration des VMware ESX Servers mittels VMware
Infrastructure Client finden Sie im Abschnitt 8.3.
7.1 Tastaturlayout
Als erstes muss das Tastaturlayout eingestellt werden. Dies ist wichtig, weil wir im
nächsten Schritt das Root-Passwort einstellen und auf dem VMware ESX Server standardmäßig
das Default–Layout (amerikanisch) eingestellt ist. Es unterscheidet sich von
dem von uns auf den Client-Rechnern eingestellten Layout, mit welchem wir dann
später über den VMware Infrastructure Client den Server verwalten.
1. Im Customize System–Menü den Menüpunkt Configure Keyboard wählen.
2. Anschließend mit den Pfeiltasten auf den Punkt German wechseln.
3. Mit der Leer-Taste (Space) auswählen.
4. Die Einstellung mit der Taste Enter bestätigen.
1 Diese kann auch ohne Farbe (schwarz) dargestellt sein. In diesem Fall ist der Bildschirmschoner
aktiviert. Durch Drücken einer Taste kann dieser beendet werden.
71

7.2. ROOT-PASSWORT KAPITEL 7. KONSOLE
7.2 Root-Passwort
Das Root-Passwort wird verwendet, um zum einen in das Menü Customize System zu
gelangen, und zum anderen über einen Client-Rechner mit dem VMware Infrastructure
Client den Server zu verwalten.
1. Im Customize System–Menü den Menüpunkt Configure Root Password wählen.
2. Hier geben wir das Root Passwort ein, welches später auch zur Anmeldung über
den VMware Infrastructure Client am Server verwendet wird. Wir wählten hier
als Passwort .
3. Die Eingabe des Passworts mit der Taste Enter bestätigen.
7.3 Management Netzwerk
Das Management Netzwerk wird zur Verwaltung des Servers benötigt. Der VMware
ESX Server erhält eine eigene IP-Adresse, über die der Server mit dem VMware Infrastructure
Client verwaltet werden kann. Sämtliche darauf laufende Virtuelle Maschinen
erhalten eigene IP-Adressen.
1. Im Customize System–Menü den Menüpunkt Configure Management Network
wählen.
2. Nun muss der Menüpunkt IP Configuration gewählt werden
3. Anschließend mittels Pfeiltasten auf den Punkt Set static IP address and network
configuration wechseln.
4. Mit der Leer-Taste (Space) auswählen.
5. Nun mit den Pfeiltasten auf den Punkt IP Address wechseln und die IP-Adresse
10.0.20.10 eingeben.
6. Jetzt mit den Pfeiltasten auf den Punkt Subnet Mask wechseln und die Subnetzmaske
255.255.255.0 eingeben.
7. Abschließend mit den Pfeiltasten auf den Punkt Default Gateway wechseln und
das Standard-Gateway 10.0.20.1 eingeben.
8. Die ganze Konfiguration kann nun mit der Taste Enter abgespeichert werden.
72

8 VMware Infrastructure Client
Der VMware Infrastructure Client dient zur Verwaltung von virtuellen Maschinen auf
einem VMware ESX Server. Das Programm ist kostenlos erhältlich und wird mit dem
VMware ESX Server mitgeliefert. Es kann mit einem Webbrowser vom ESX Server
heruntergeladen werden.
8.1 Installation
1. Der Infrastructure Client kann direkt vom laufenden VMware ESX Server heruntergeladen
werden. Dazu muss die IP-Adresse des VMware ESX Servers im
Webbrowser eingegeben werden, die im Abschnitt 7.3 konfiguriert wurde.
Abbildung 8.1: Download von VMware Infrastructure Client
Auf der in Abbildung 8.1 gezeigten Webseite kann der VMware Infastructure
Client über den Link Download VMware Infrastructure Client heruntergeladen
73

8.1. INSTALLATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
werden. Eine Dokumentation kann über den Link VMware Infrastructure 3 Documentation
geladen werden 1
2. Vor dem Herunterladen von VMware Infastructure Client muss der Download
bestätigt werden. Dieser Schritt kann sich von Browser zu Browser unterscheiden
und kann sogar je nach Einstellung komplett ausfallen.
Abbildung 8.2: Bestätigung des Downloads
3. Sobald die Installation abgeschlossen ist, kann die heruntergeladene Installationsdatei
geöffnet werden. Dabei erscheint das Dialogfenster,wie in Abbildung 8.3
gezeigte. Als Sprache haben wir Deutsch (Deutschland) ausgewählt.
Abbildung 8.3: Auswahl der Sprache
4. Den in Abbildung 8.4 gezeigte Dialog haben wir mit Weiter bestätigt.
1 Um die Dokumentation herunterladen zu können, wird eine Internetverbindung benötigt.
74

KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
8.1. INSTALLATION
Abbildung 8.4: Erstes Installationsfenster
5. Im nächsten Installationsfenster muss die Lizenzvereinbarung akzeptiert werden.
Wir haben die Vereinbarung, wie in Abbildung 8.5 gezeigt, akzeptiert und mit
Weiter bestätigt.
Abbildung 8.5: Lizenzvereinbarungen akzeptieren
6. Als nächstes müssen die Benutzerinformationen eingegeben werden. Wir haben
hier die in Abbildung 8.6 gezeigten Angaben gemacht.
75

8.1. INSTALLATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
Abbildung 8.6: Benutzerinformationen angeben
7. Nun kann der Update-Dienst von VMware Infrastructure installiert werden. Wir
haben diese Option nicht verwendet und haben mit Weiter bestätigt.
Abbildung 8.7: VMware Virtual Infrastructure-Update-Dienst installieren
8. Im in Abbildung 8.8 gezeigten Dialog kann der Installationspfad ausgewählt werden.
Wir haben die Standardeinstellung verwendet und sind mit der Taste Weiter
fortgefahren.
76

KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
8.1. INSTALLATION
Abbildung 8.8: Installationspfad angeben
9. Im letzten Installationsdialog kann die Installation mit Installieren gestartet werden.
Abbildung 8.9: Installation starten
10. Nach ca. zwei Minuten ist das Programm fertig installiert. Es erscheint der in
Abbildung 8.10 gezeigte Dialog. Wir haben die Installtion mit Fertig stellen abgeschlossen.
77

8.2. ANMELDUNG KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
Abbildung 8.10: Installation fertig stellen
8.2 Anmeldung
Der VMware ESX Server wird über den in Abschnitt 8 installierten Client verwaltet.
Alle Einstellungen können ausschließlich über dieses Programm vorgenommen werden.
Nachdem der VMware Infrastructure Client installiert wurde, muss dieser gestartet
werden. Es erscheint das in Abbildung 8.11 gezeigte Anmeldefenster. Hier müssen nun
die Anmeldedaten, die in Abschnitt 7.2 und in Abschnitt 7.3 definiert wurden, für den
VMware ESX Server angegeben werden.
78

KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
8.2. ANMELDUNG
Abbildung 8.11: Anmeldefenster von VMware Infrastructure Client
Zunächst kann mit View Certificate das Zertifikat installiert werden bzw. mit Ignore
ignoriert werden.
Abbildung 8.12: Zertifikatwarnung
Nach erfolgreicher Anmeldung erscheint das in Abbildung 8.13 gezeigte Fenster.
79

8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
Abbildung 8.13: Übersicht des VMware Infrastructure Client
8.3 Konfiguration
Nach jeder erfolgreichen Anmeldung am VMware ESX Server erscheint das in Abbildung
8.13 gezeigte Fenster. Von hier aus können alle weiteren Operationen unternommen
werden.
Als erstes müssen noch einige Einstellungen am Server vorgenommen werden. Diese
können im Reiter Configuration getätigt werden (siehe Abbildung 8.14).
8.3.1 Lizenz installieren
1. Zunächst muss der Server lizenziert werden. Wir wählen dazu auf der linken Seite
im Menü Software den Punkt Licensed Features aus.
80

KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
8.3. KONFIGURATION
Abbildung 8.14: Übersicht über die Konfiguration
Abbildung 8.15: Lizenzverwaltung
81

8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
2. Anschließend wählen wir Licence Source – Edit. . . aus und geben dann eine Seriennummer
ein, die wir wie in Abschnitt 5.2 gezeigt, besorgt haben.
Abbildung 8.16: Lizenz eingeben
3. Die Testversion von VMware ESX Server bietet alle integrierten Funktionen. Da
wir nur im Besitz einer eingeschränkten Lizenz sind, fällt durch die Aktivierung
die Funktion Consolidated Backup weg (siehe Abbildung 8.17). Wir bestätigen
dies mit OK
Abbildung 8.17: Deaktivierung von Consolidated Backup durch Lizenzierung
4. Nun erscheint nochmals eine ähnliche Meldung die uns auf den selben Missstand
82

KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
8.3. KONFIGURATION
hinweist. Wir bestätigen mit Ja.
Abbildung 8.18: Wegfall von Funktionen
5. Nachdem die Lizenz installiert wurde, wird diese in der Lizenzübersicht angezeigt.
Abbildung 8.19: Lizenzübersicht mit eingetragener Lizenz
8.3.2 Zeitkonfiguration
Damit die Uhrzeit des Servers jederzeit richtig eingestellt ist, verwenden wir Network
Time Protocol (NTP) zur Zeitsynchronisierung. Dies bietet vor allem dann einen großen
Vorteil, wenn Log-Files durchgesehen werden müssen, weil man sicher sein kann, dass
die darin vermerkte Uhrzeit mit der tatsächlichen übereinstimmt.
1. Zur Konfiguration der NTP Server gehen wir widerum von der Konfigurationsübersicht
aus und wählen den Menüpunkt Time Configuration im Menü Software.
Dort wählen wir Properties. . . um ins Konfigurationsmenü zu gelangen.
83

8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
Abbildung 8.20: Beginn der Einstellung für die Zeitsynchronisation
2. Es erscheint nun ein Fenster in dem die Uhrzeit manuell eingestellt werden kann.
Dies ist jedoch recht ungenau. Aus diesem Grund wählen wir Options. . . .
Abbildung 8.21: Manuelle Einstellung der Uhrzeit
3. Im nun erscheinenden Fenster wählen wir NTP Settings aus dem linken Menü.
Danach kann mit dem Button Add. . . ein neuer NTP Server hinzugefügt werden.
84

KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
8.3. KONFIGURATION
Abbildung 8.22: NTP Server hinzufügen
4. Als NTP Server geben wir zum einen 0.at.pool.ntp.org und zum anderen 1.at.pool.ntp.org
ein. Die Eingaben müssen einzeln erfolgen.
Abbildung 8.23: NTP Server angeben
5. Nach erfolgreicher Eingabe der beiden NTP Server sieht die Übersicht wie in
Abbildung 8.24 aus. Nun ist die Zeitsynchronisation aktiv.
85

8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
Abbildung 8.24: Übersicht der Zeitkonfiguration mit eingetragenen NTP Servern
8.3.3 DNS Identifikation
1. Zur Konfiguration der DNS Identifikation wählen wir in der Konfigurationsübersicht
den Menüpunkt DNS and Routing im Menü Software. Hier wählen wir
anschließend Properties. . . .
86

KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
8.3. KONFIGURATION
Abbildung 8.25: Einstellung der DNS Identifikation
2. Nun wählen wir die in Abbildung 8.26 gezeigten Einstellungen.
Abbildung 8.26: DNS Einstellungen
3. Nach erfolgreicher Eingabe der Daten sieht die Übersicht wie in Abbildung 8.27
aus.
87

8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
Abbildung 8.27: Übersicht der DNS Identifikation
8.3.4 Start/Stop von Virtuellen Maschinen
Wird der VMware ESX Server gestartet oder heruntergefahren, müssen standardmäßig
alle virtuellen Maschinen manuell gestartet oder gestoppt werden. Die Einstellung Virtual
Machine Startup/Shutdown erlaubt es, diesen Vorgang zu automatisieren. Die in
den folgenden Abbildungen gezeigten Virtuellen Maschinen sind jene, die in Abschnitt
9.2.1 und in Abschnitt 10.2.1 angelegt werden
1. Zur Konfiguration der Einstellungen für das automatische Starten/Stoppen der
virtuellen Maschinen wählen wir im Konfigurationsmenü den Menüpunkt Virtual
Machine Startup/Shutdown aus dem Menü Software aus.
88

KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
8.3. KONFIGURATION
Abbildung 8.28: Einstellungen für das automatische Starten/Stoppen von virtuellen
Maschinen
2. Über Properties. . . gelangen wir ins nächste Menü. Hier werden die Einstellungen
– wie in Abbildung 8.29 gezeigt – vorgenommen. Die Einstellungen Default
Startup Delay und Default Shutdown Delay bewirken eine Wartezeit zwischen
Herunterfahren bzw. Starten des VMware ESX Servers und dem Herunterfahren
bzw. Starten der virtuellen Maschinen.
89

8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT
Abbildung 8.29: Erfolgreiche Konfiguration
3. Nach erfolgreicher Einstellung sieht die Übersicht für das automatische Starten/-
Stoppen der virtuellen Maschinen wie in Abbildung 8.30 aus.
Abbildung 8.30: Übersicht der Einstellungen
90

Teil IV
Virtuelle Maschinen
91

9 Microsoft Windows Server
9.1 Warum
Nach einer langen Evaluationsphase haben wir uns schlussendlich für den Microsoft
Windows Server 2003 R2 entschieden. Wir haben im Laufe unserer Diplomarbeit Erfahrungen
mit Windows Server 2003, Windows Server 2008 und Windows Server 2003
R2 gesammelt und sind nun zu folgenden Ergebnissen gekommen:
Windows Server 2003 ist momentan bei uns an der Schule auf den Servern installiert. In
naher Zukunft soll jedoch Windows Server 2003 R2 zum Einsatz kommen, da ohnehin
eine Neuinstallation der Server bevorsteht, und aus diesem Grund eine neuere Version
verwendet werden soll.
Windows Server 2008 sollte ursprünglich bei der Neuinstallation der Server verwendet
werden. In unserer Testinstallation stellte sich jedoch heraus, dass dieses Betriebssystem
sehr ressourcenfressend ist und für unsere Zwecke keine wirklichen Vorteile
bietet.
Schlussendlich blieb uns noch der Testversuch mit Windows Server 2003 R2. Dieser
hat gezeigt, dass dieses Betriebssystem die besten Voraussetzungen bietet. Im Laufe
unserer Tests stießen wir jedoch auf ein größeres Manko. Der Internet Authentication
Server (IAS) Dienst, den wir auf dem Server installiert haben, bietet in der Standard
Version nur die Möglichkeit der Benutzung mit 50 Access Points. Aus diesem Grund
mussten wir uns eine alternative Lösung ausdenken, die wir in Abschnitt 3.8.1 genauer
erläutern.
9.2 Installation
Nach erfolgreicher Anmeldung am VMware ESX Server (siehe Abschnitt 8.2) erscheint
das in Abbildung 8.13 gezeigte Fenster.
93

9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER
9.2.1 Anlegen einer Virtuellen Maschine
1. Hier kann über Create a new virtual machine im unteren Bereich eine neue virtuelle
Maschine angelegt werden.
2. Im nun erscheinenden Fenster wählen wir eine typische virtuelle Maschine durch
den Punkt Typical. Wir bestätigen mit Next.
Abbildung 9.1: Auswahl einer typischen Installation
3. Als nächstes vergeben wir der virtuellen Maschine einen Namen. Wir wählen
Windows Server 2003 R2 Standard. Weiter mit Next.
Abbildung 9.2: Angabe eines Namens
4. Im nächsten Schritt muss der Speicherort der virtuellen Maschine angegeben
werden. In unserem Fall ist nur der [datastore1] verfügbar und so wählen wir
diesen aus. Mit Next fahren wir fort.
94

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.2. INSTALLATION
Abbildung 9.3: Auswahl des Speicherortes
5. Nun muss das Gastbetriebssystem angegeben werden. Wir wählen unserem Betriebssystem
entsprechend Microsoft Windows Server 2003, Standard Edition
(32-bit) aus. Zum nächsten Schritt mit Next.
Abbildung 9.4: Auswahl des Gastbetriebssystems
6. Hier wird nun die dem Gastsystem zur Verfügung stehende Anzahl an Arbeitsspeicher
eingestellt. Wir wählen hier 1024 MB und fahren mit Next fort.
95

9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.5: Zuweisen von Arbeitsspeicher
7. Als nächstes defininieren wir die Anzahl an Netzwerkadaptern. Wir wählen eine
NIC aus dem Netzwerk VM Network aus. Als Adaptertyp wählen wir Flexible.
Die Netzwerkverbindung soll beim Starten der Virtuellen Maschine automatisch
gestartet werden. Dies wird duch die Option Connect at Power On aktiviert.
Abbildung 9.6: Auswahl der Netzwerkschnittstellen
8. Zuletzt wählen wir die Größe der virtuellen Disk aus. Dies ist die Größe jener
Disk, die der Virtuellen Maschine später als Festplattenspeicher zur Verfügung
steht. Hier wurden von uns 30 GB eingestellt.
96

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.2. INSTALLATION
Abbildung 9.7: Größe der virtuellen Disk
9. Als Abschluss wird eine Übersicht über die getätigten Einstellungen angezeigt.
Sofern keine Fehler ersichtlich sind, kann mit Finish abgeschlossen werden. Ansonsten
muss ein Haken bei Edit this virtual machine settings before submitting
gesetzt werden und mit Continue bestätigt werden.
Abbildung 9.8: Abschluss der Einrichtung
9.2.2 Installation
In den folgenden Schritten wird gezeigt, wie der Windows Server 2003 R2 als virtuelle
Maschine installiert wird.
1. Zunächst starten wir die virtuelle Maschine, die wir zuvor eingerichtet haben.
Mit Rechtsklick und Power On starten wir die Maschine.
97

9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.9: Virtuelle Maschine starten
2. Nun bindet man das CD-Image ein. Dazu klickt man auf Connect CD-DVD 1
und dann auf Connect to ISO image.... Nun muss man noch das richtige Image
auswählen.
Abbildung 9.10: Image einbinden
3. Hier sieht man den Boot-Vorgang der Virtuellen Maschine. Zu Beginn wird versucht,
über das Netzwerk zu booten. Schlägt dieser Versuch fehl, wird von einem
lokalen Medium (CD/DVD/Image) gebootet.
98

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.2. INSTALLATION
Abbildung 9.11: Booten über das Netzwerk
4. Nun beginnt die Installation von Windows Server 2003 R2. Die Installation sucht
zunächst selbstständig die Treiber.
Abbildung 9.12: Treibersuche
5. Wir drücken nun Enter um mit der Installation zu starten.
99

9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.13: Setup starten
6. Wir stimmen mit F8 den Windows Lizenzbedingungen zu.
Abbildung 9.14: Windows Lizenzbedingung akzeptieren
7. Wir fahren fort mit Enter, da wir schon eine passende Partitionsgröße beim Erstellen
der virtuellen Maschine festgelegt haben.
100

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.2. INSTALLATION
Abbildung 9.15: Partitionen erstellen
8. Hier wählen wir Partition mit dem NTFS-Dateisystem formatieren
aus. Mit Enter setzen wir die Installation fort.
Abbildung 9.16: NTFS-Dateisystem erstellen
9. Hier sieht man den fortlaufenden Stand der Installation.
101

9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.17: Fortlaufender Installationsstand
10. Die virtuelle Maschine startet nun automatisch neu. Mit der Eingabetaste kann
man das Neustarten sofort bestätigen.
Abbildung 9.18: virtuelle Maschine neustarten
11. Nun beginnt die Installation auf der grafischen Oberfläche automatisch.
102

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.2. INSTALLATION
Abbildung 9.19: Einrichtung der landesspezifischen Einstellungen
12. Wir bestätigen mit Weiter um mit der Installation fortzufahren.
Abbildung 9.20: Installation
13. Wir geben hier als Name Informationstechnik und als Organisation HTL Rankweil
an.
103

9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.21: Benutzerinformationen
14. Hier ist der Product Key einzugeben und dann mit Weiter zu bestätigen.
Abbildung 9.22: Product Key
15. Hier kann der Lizenzierungsmodus angegeben werden. Wir wählen hier Pro Server
Anzahl der gleichzeitigen Verbindungen 1000. Für jede Verbindung ist eine eigene
Clientzugriffslizenz notwendig. aus. Wir bestätigen nun mit Weiter.
104

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.2. INSTALLATION
Abbildung 9.23: Lizenzierungsmodus
16. Nun ist der Computername und das Administratorkennwort anzugeben. Als Computername
verwenden wir AIR09-DC1. Das Kennwort sollte mindestens 8 Zeichen
haben und sicher sein. Das Kennwort muss zur Bestätigung 2 mal eingegeben
werden. Nun bestätigen wir mit Weiter.
Abbildung 9.24: Computername und Administratorkennwort konfigurieren
17. Hier sieht man die Fehlermeldung, falls das Kennwort nicht sicher sein sollte. Man
kann es nun erneut ändern oder aber das unsichere Kennwort verwenden. Es ist
jedoch aus sicherheitstechnischen Gründen zu empfehlen, ein sicheres Passwort
zu verwenden.
105

9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.25: Unsicheres Passwort
18. Nun sind Datum und Uhrzeit anzugeben. Das aktuelle Datum wird vom Server
selbst aus dem BIOS ausgelesen. Falls es nicht stimmen sollte, ist es händisch
zu ändern. Bei der Zeitzone wählen wir (GMT+01:00) Amsterdam, Berlin,
Rom, Stockholm, Wien aus. Ebenfalls wählen wir die Option Uhr automatisch
auf Sommer-/Winterzeit umstellen aus. Wir fahren mit Weiter fort.
Abbildung 9.26: Datum- und Uhrzeiteinstellungen
19. Nun werden die Netzwerkeinstellungen konfiguriert. Wir wählen hier Standardeinstellungen
aus und bestätigen mit Weiter.
106

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.2. INSTALLATION
Abbildung 9.27: Netzwerkeinstellungen
20. Unser Server befindet sich in keiner Domäne, da er später selbst Domänenserver
wird. Deshalb wählen wir hier Nein, dieser Computer ist entweder... und
ARBEITSGRUPPE aus.
Abbildung 9.28: Arbeitsgruppe
21. Nun ist die Installation beendet und wir können uns mit Strg+Alt+Entf einloggen.
107

9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.29: Anmeldefenster nach erfolgreich abgeschlossener Installation
108

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.3. DNS-SERVER
9.3 DNS-Server
9.3.1 Warum
Der DNS Server wird zur Namensauflösung in einem Netzwerk benötigt. Genauere
Informationen finden Sie im Abschnit 3.7.
9.3.2 Installation
In den folgenden Schritten wird gezeigt, wie man den DNS-Dienst auf einem Windows
Server 2003 R2 installiert.
1. Zunächst öffnet man das Fenster der Serververwaltung.
2. Wir wählen Funktionen hinzufügen oder entfernen.
Abbildung 9.30: Serververwaltung
3. Nun kommen wir zu einem Fenster mit einigen Informationen. Wir kommen zum
nächsten Schritt mit Weiter.
109

9.3. DNS-SERVER KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.31: Installations-Assistent Infos
4. Wir wählen hier den DNS-Server Dienst aus und bestätigen mit Weiter.
Abbildung 9.32: DNS-Serverdienst auswählen
5. Hier bestätigen wir mit Weiter um die Installation zu starten.
110

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.3. DNS-SERVER
Abbildung 9.33: DNS-Installation starten
6. Jetzt wird man nach der Original-CD von Windows Server 2003 R2 gefragt. Es ist
notwendig, diese einzulegen, oder wie in unserem Fall, sie als Image zu mounten.
Wie man ein Image einer Virtuellen Maschine mountet findet man im Kapitel:
Microsoft Windows Server 2003 R2 /Installation. Wenn die CD gemountet oder
sich im CD-Laufwerk befindet, bestätigen wir mit OK.
Abbildung 9.34: DNS-Windows CD einlegen
7. Die Installation beginnt automatisch.
111

9.3. DNS-SERVER KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.35: DNS-Installationsvorgang
8. Da sich in unserem Netzwerk noch kein DNS-Server befindet, kann man die Überprüfung
weglassen und mit Weiter fortfahren.
Abbildung 9.36: DNS-Überprüfung
9. Da wir nur über ein kleines Testnetzwerk verfügen, wählen wir hier Eine Forward-
Lookupzone erstellen (für kleine Netzwerke empfohlen) aus und bestätigen mit
Weiter.
112

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.3. DNS-SERVER
Abbildung 9.37: DNS-Lookupzone
10. Weil wir diesen Server selbst betreiben, wählen wir hier Dieser Server verwaltet
die Zone aus. Es wird mit Weiter bestätigt.
Abbildung 9.38: DNS-Zonenverwaltung
11. Wir nennen unsere Zone tit.air09 und bestätigen mit Weiter.
113

9.3. DNS-SERVER KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.39: DNS-Zonenname
12. Hier können wir auswählen, ob wir dynamische Updates für unseren DNS-Server
zulassen. Aufgrund dessen, dass wir im nächsten Schritt ein Windows Active
Directory installieren, wählen wir hier Nur sichere dynamische Updates zulassen
(Für Active Directory empfohlen) aus. Wir bestätigen mit Weiter.
Abbildung 9.40: DNS-Dynamische Updates
13. Wir wählen hier Ja, der Server soll Abfragen an DNS-Server mit folgenden IP-
Adressen weiterleiten: aus. Nun geben wir folgenden IP-Adressen an: 194.183.128.35
und 194.183.128.35. Es wird mit Weiter bestätigt.
114

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.3. DNS-SERVER
Abbildung 9.41: DNS-Serveranfragen weiterleiten
14. Nun bestätigen wir das Fertigstellen der Installation mit Hilfe des Installationsassistenten
mit Fertig stellen.
Abbildung 9.42: DNS-Installation fertig stellen
15. Wir bestätigen nochmals die Fertigstellung der Installation mit Fertig stellen. Die
Installation ist nun erfolgreich abgeschlossen.
115

9.3. DNS-SERVER KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.43: DNS-Installation fertig stellen
116

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.4. ACTIVE DIRECTORY
9.4 Active Directory
9.4.1 Warum
Das Microsoft AD verwaltet die Benutzer einer Domäne. Somit können verschiedene
Benutzer angelegt werden. Das Active Directory trägt wesentlich zur Sicherheit eines
Netzwerks bei, da jeder Benutzer einen eigenen Acount besitzt und ein eigenes Passwort.
Zudem kann jeder Benutzer in bestimmte Gruppen mit bestimmten Rechten
gegeben werden.
9.4.2 Installation
In den folgenden Schritten wird gezeigt, wie man das Active Directory auf einem Windows
Server 2003 R2 installiert.
1. Zunächst öffnet man das Fenster der Serververwaltung.
2. Nun wählen wir Funktionen hinzufügen oder entfernen.
Abbildung 9.44: Serververwaltung
3. Hier kommen wir zu einem Fenster mit einigen Informationen. Wir kommen zum
nächsten Schritt mit Weiter.
117

9.4. ACTIVE DIRECTORY KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.45: Informationen
4. Im folgenden Schritt wählen wir Domänencontroller (Active Directory) aus und
bestätigen mit Weiter.
Abbildung 9.46: Auswahl Domänencontroller (Active Directory)
5. Es wird gefragt, ob wir mit Hilfe des Installationsassistenten den Vorgang fortsetzen
wollen, wir bestätigen mit Weiter.
118

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.4. ACTIVE DIRECTORY
Abbildung 9.47: Installationsassistent
6. Wir bestätigen mit Weiter für den Installationsvorgang.
Abbildung 9.48: Installationsassistent
7. Nun wird man über die Kompatibiltät von Windows Server 2003 R2 mit dem
Active Directory informiert. Zum nächsten Schritt mit Weiter.
119

9.4. ACTIVE DIRECTORY KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.49: Kompatibilität
8. Da unser Netzwerk neu ist, verfügt es noch über keinen Domänencontroller, deshalb
wählen wir Domänencontroller für eine neue Domäne.
Abbildung 9.50: Neuer Domänencontroller
9. In diesem Fenster wählen wir Domäne in einer neuen Gesamtstruktur. Diese
Option wählt man, wenn es sich um die erste Domäne in einem Netzwerk handelt.
120

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.4. ACTIVE DIRECTORY
Abbildung 9.51: Neuer Domänencontroller in Gesamtstruktur
10. Im folgenden Schritt geben wir unserer Domäne einen Namen. Unsere Domäne
heißt tit.air09. Mit Weiter kommen wir zum nächsten Schritt.
Abbildung 9.52: Installation erfolgreich beenden
11. Die NetBIOS-Domäne nennen wir TIT. Mit Weiter kommen wir zum nächsten
Schritt.
121

9.4. ACTIVE DIRECTORY KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.53: NetBIOS-Domäne benennen
12. Hier kann der Pfad zur Datenbank geändert werden. Wir empfehlen aber, sie auf
dem Standardpfad zu lassen. Wir bestätigen mit Weiter.
Abbildung 9.54: Pfad der Datenbank
13. Nun kann angegeben werden, wo die Kopie der veröffentlichten Daten gespeichert
werden sollte. Wir bestätigen mit Weiter.
122

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.4. ACTIVE DIRECTORY
Abbildung 9.55: Pfad der Kopie der öffentlichen Dateien
14. Im folgenden Schritt wählten wir Nur mit Windows 2000- oder Windows Server
2003 Betriebssystemen kompatible Berechtigungen. Wir haben uns zu diesem
Schritt entschlossen, da die Sicherheit des Servers im Vordergrund stand, und der
Server wichtige Funktionen und Daten enthält. Somit kann ausgeschlossen werden,
dass fremde Programme auf unseren Server zugreifen können. Wir bestätigen
mit Weiter.
Abbildung 9.56: Serverprogramm Berechtigungen
15. Um Verzeichnisdienste wiederherstellen zu können, ist ein eigenes Passwort notwendig.
Wir haben hier das Passwort verwendet. Wir bestätigen
mit Weiter.
123

9.4. ACTIVE DIRECTORY KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.57: Verzeichnisdienst Passwort
16. Hier wird nochmals aufgelistet, was wir zuvor an Einstellungen getroffen haben.
Wir bestätigen mit Weiter.
Abbildung 9.58: Auflistung der Einstellungen
17. Die Installation kann einige Minuten in Anspruch nehmen, je nach Leistung der
Hardware.
124

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.4. ACTIVE DIRECTORY
Abbildung 9.59: Installation
18. Durch das Bestätigen mit Fertig stellen können wir die Installation mit dem
Installationsassistenten erfolgreich beenden.
Abbildung 9.60: Installation mit Installationsassistent beenden.
19. Durch nochmaliges Bestätigen mit Fertig stellen können wir die Installation erfolgreich
beenden.
125

9.4. ACTIVE DIRECTORY KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.61: Installation erfolgreich beenden
126

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.5. WINDOWS DHCP
9.5 Windows DHCP
9.5.1 Warum
Der Windows DHCP Server ist dafür zuständig, dass jeder Benutzer des Netzwerkes automatisch
eine einzigartige IP-Adresse bekommt. Durch diesen Mechanismus kann eine
mehrfache verteilung einer IP-Adresse an Geräte im Netzwerk größtenteils verhindert
werden.
9.5.2 Installation und Konfiguration
In den folgenden Schritten wird gezeigt, wie man den Windows DHCP-Server auf einem
Windows Server 2003 R2 installiert und wie man ihn konfiguriert.
1. Wir wählen hier DHCP-Server aus und bestätigen mit Weiter.
Abbildung 9.62: DHCP-Server
2. Wir starten die Installation mit Weiter.
127

9.5. WINDOWS DHCP KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.63: DHCP-Installationsassistent
3. Die Installation läuft vorerst komplett automatisch.
Abbildung 9.64: DHCP-Installationsassistent
4. Wir bestätigen mit Weiter.
128

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.5. WINDOWS DHCP
Abbildung 9.65: DHCP-Installationsassistent
5. Jetzt geben wir den Namen des Adressbereiches an. Wir nehmen hier AIR09-
MANAGEMENT. Bestätigung mit Weiter.
Abbildung 9.66: DHCP-Installationsassistent
6. Hier geben wir den IP-Adressbereich und die Netzwerkmaske an und bestätigen
mit Weiter. In unserem Fall haben wir 10.0.10.100 als Start-IP-Adresse und
10.0.10.200 als End-IP-Adresse angegeben.Wir haben eine 24 Bit Netzwerkmaske
verwendet.
129

9.5. WINDOWS DHCP KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.67: DHCP-Adressbereich
7. Nun können wir, falls nötig, noch gewisse Adressbereiche aus dem Adresspool
ausschließen. Bestätigen mit Weiter.
Abbildung 9.68: DHCP-Adressbereiche ausschließen
8. Wir wählen hier die Leasetime für die IP-Adresse. Falls einem zu wenige IP-
Adressen zur Verfügung stehen, kann man die Leasetime auch kürzer wählen, da
dann nicht verwendete IP-Adressen schneller wieder verfügbar sind. Bestätigen
mit Weiter.
130

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.5. WINDOWS DHCP
Abbildung 9.69: DHCP-Leasetime
9. Wir wählen Ja, diese Optionen jetzt konfigurieren.
Abbildung 9.70: DHCP-Optionen konfigurieren
10. Hier geben wir die IP-Adresse des Routers an 10.0.20.1. Dabei ist es wichtig, dass
man nach dem Eingeben der IP-Adresse auf Hinzufügen klickt. Nun bestätigen
wir mit Weiter.
131

9.5. WINDOWS DHCP KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.71: DHCP-Router IP angeben
11. Nun geben wir die IP-Adresse unseres Windows Servers an, da er ebenfalls die
Rolle des Domänen- und DNS-Servers übernimmt. Die IP-Adresse unseres Servers
lautet 10.0.20.11. Es ist wichtig, dass man nach dem Eingeben der IP-Adresse
auf Hinzufügen klickt. Nun Bestätigen mit Weiter.
Abbildung 9.72: DHCP-DNS Server angeben
12. Hier geben wir die IP-Adresse unseres WINS-Servers an. Die IP-Adresse unseres
Servers lautet 10.0.20.11. Hierbei ist es wichtig, dass man nach dem Eingeben
der IP-Adresse auf Hinzufügen klickt. Nun bestätigen wir mit Weiter.
132

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.5. WINDOWS DHCP
Abbildung 9.73: DHCP-WINS Server angeben
13. Wir wählen hier Ja, diesen Bereich jetzt aktivieren und bestätigen mit Weiter
Abbildung 9.74: DHCP-Bereich aktivieren
14. Wir bestätigen mit Fertig stellen, damit unser DHCP-Bereich erstellt wird.
133

9.6. WINS KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.75: DHCP-Bereich fertig stellen
15. Im folgenden Bild sieht man unsere DHCP-Einstellungen für unser Testnetzwerk.
Hierbei werden IP-Adressen an die VLANs 10 (Management), 20 (Server),
30 (PUBLIC=Schüler), 40 (PRIVATE=Lehrer) und 50 (test=Native VLAN) vergeben.
Abbildung 9.76: DHCP-Struktur
9.6 WINS
9.6.1 Warum
WINS dient zur Namensauflösung in einem Netzwerk. Siehe Kapitel: Grundlagen zur
Thematik /WINS.
134

KAPITEL 9. MICROSOFT WINDOWS SERVER
9.6. WINS
9.6.2 Installation
In den folgenden Schritten wird gezeigt, wie man den WINS-Server auf einem Windows
Server 2003 R2 installiert.
1. Wir wählen beim Serverkonfigurations-Assistenten den WINS-Server aus und
bestätigen mit Weiter.
Abbildung 9.77: WINS-Installation
2. Hier wird die Installation mit Weiter bestätigt.
Abbildung 9.78: WINS-Installation bestätigen
3. Die Installation wird automatisch ausgeführt.
135

9.6. WINS KAPITEL 9. MICROSOFT WINDOWS SERVER
Abbildung 9.79: WINS-Installationsvorgang
4. Wir bestätigen mit Fertig stellen den erfolgreichen Abschluss der Installation.
Abbildung 9.80: WINS-fertig stellen
136

10 Debian GNU/Linux 5.0 Lenny
10.1 Warum
Bei den ersten Authentifizierungstests mit dem IAS – Internetauthentifizierungsdienst
der in Windows Server 2003 integriert ist, traten Probleme bezüglich der Verbindung
zwischen Authentifizierungsserver und Access Point auf. Außerdem können mit der
Windows Server 2003 R2 Version, welche wir im Testnetzwerk installiert haben, maximal
50 Access Points mit dem IAS verbunden werden. Diese Anzahl erschien uns
für das HTL Funknetzwerk zu gering und wir überlegten uns einen anderen RADIUS
Server zu verwenden.
Wir entschieden uns für den wesentlich mächtigeren und zudem frei verfügbaren Free
RADIUS Server. Als Betriebssystem für das FreeRADIUS Paket fiel unsere Wahl auf
Debian, da es sehr gut für Serverdienste geeignet ist. Außerdem haben wir diese Linux-
Distribution gewählt, weil die meisten Pakete in einer stabilen Version zur Verfügung
stehen und somit gleich auf Anhieb funktionieren.
10.2 Installation
Nach erfolgreicher Anmeldung am VMware ESX Server (siehe Abschnitt 8.2) erscheint
das in Abbildung 8.13 gezeigte Fenster.
10.2.1 Anlegen einer Virtuellen Maschine
1. Hier kann über New Virtual Machine... im Kontextmenü unseres ESXi-Servers
eine neue Virtuelle Maschine angelegt werden.
137

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Abbildung 10.1: Neue virtuelle Maschine erstellen
2. Im nun erscheinenden Fenster wählen wir eine typische virtuelle Maschine durch
den Punkt Typical. Wir bestätigen mit Next
Abbildung 10.2: Auswahl einer typischen Installation
3. Als nächstes vergeben wir der virtuellen Maschine einen Namen. Wir wählten
Debian 5.0. Weiter mit Next.
138

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
Abbildung 10.3: Angabe eines Namens
4. Im nächsten Schritt muss der Speicherort der virtuellen Maschine angegeben
werden. In unserem Fall ist nur der [datastore1] verfügbar und so wählen wir
diesen aus. Mit Next fahren wir fort.
Abbildung 10.4: Auswahl des Speicherortes
5. Nun muss das Gastbetriebssystem angegeben werden. Da uns bei der Auswahl
Debian nicht zur Verfügung stand, haben wir Other Linux (32-bit) ausgewählt.
Zum nächsten Schritt mit Next.
139

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Abbildung 10.5: Auswahl des Gastbetriebssystems
6. Hier wird nun die dem Gastsystem zur Verfügung stehende Größe des Arbeitsspeichers
eingegeben. Wir wählen hier 1024 MB und fahren mit Next fort.
Abbildung 10.6: Zuweisen von Arbeitsspeicher
7. Bei der Anzahl an Netzwerkadaptern wählen wir eine NIC aus dem Netzwerk
VM Network aus. Als Adaptertyp wählen wir Flexible. Die Netzwerkverbindung
soll beim Starten der Virtuellen Maschine automatisch gestartet werden. Dies
wird duch die Option Connect at Power On aktiviert.
140

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
Abbildung 10.7: Auswahl der Netzwerkschnittstellen
8. Als letzten Punkt definieren wir die Größe der virtuellen Festplatte. Hier haben
wir uns für 30 GB auf datastore1 entschieden, da uns insgesamt noch 35,7 GB
auf der physikalischen Festplatte zur Verfügung standen.
Abbildung 10.8: Zuweisen des virtuellen Festplattenspeichers
9. Als Abschluss wird eine Übersicht über die getätigten Einstellungen angezeigt.
Sofern keine Fehler ersichtlich sind, kann mit Finish abgeschlossen werden. Ansonsten
muss ein Haken bei Edit this virtual machine settings before submitting
gesetzt werden und mit Continue fortgefahren werden.
141

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Abbildung 10.9: Abschluss der Einrichtung
142

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
10.2.2 Installation
1. Die soeben erstellte virtuelle Maschine Debian 5.0 wird nun durch einen Klick
auf Power On im Kontextmenü hochgefahren.
Abbildung 10.10: Virtuelle Maschine hochfahren
2. Das CD-Image debian-500-i386-CD-1, welches für die Installation von Debian 5.0
benötigt wird, muss über Connect to ISO image... eingebunden werden.
Abbildung 10.11: CD-Image einbinden
3. Für die weiteren Schritte muss die Konsole der virtuellen Maschine geöffnet werden.
Dies geschieht durch einen Klick auf folgendes Symbol Launch Virtual Machine
Console.
Abbildung 10.12: Konsole öffnen
143

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
4. Wir erkennen nun, dass noch kein Betriebssystem auf unserer virtuellen Maschine
installiert ist. Durch die Tastenkombination Strg + Alt + Insert wird die Maschine
neu gestartet. Im Normalfall sollte das System nun von dem CD-Image
booten. Sollte dies nicht der Fall sein, muss im BIOS (wird durch Drücken der
ESC-Taste beim Systemstart betreten) die Bootreihenfolge angepasst werden.
Abbildung 10.13: Kein Betriebssystem gefunden
5. Nach dem Neustart erscheint das Installer boot menu von Debian. Hier wählen
wir Install aus. Dies geschieht mit Hilfe der Pfeil-Tasten. Bestätigt wird eine
Auswahl mit der Enter-Taste
Abbildung 10.14: Installer boot menu
6. Nach dem Bestätigen wird der Kernel gestartet und wir gelangen zur ersten
Auswahl. Bei der Sprachauswahl haben wir German - Deutsch gewählt. Bestätigt
wird wieder mittels Enter-Taste
144

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
Abbildung 10.15: Auswahl der Sprache
7. Bei der Auswahl des Landes haben wir Österreich ausgewählt.
Abbildung 10.16: Auswahl des Landes/Gebiet
8. Die Tastaturbelegung wurde auf Deutsch festgelegt.
145

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Abbildung 10.17: Tastaturbelegung festlegen
9. Im Anschluss wird eine Erkennung der Hardware ausgeführt um das CD-ROM-
Laufwerk zu finden.
Abbildung 10.18: Hardware-Erkennung
10. Danach wird das CD-Image durchsucht um zusätzliche Komponenten zu laden.
146

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
Abbildung 10.19: CD-Image durchsuchen
11. Nach einer Weile gelangt man zur Einrichtung des Netzwerks. Bei dem Rechnernamen
haben wir air09-rs (air09-radiusserver) gewählt. Durch Drücken der
Tabulator-Taste kann zwischen den Optionen gewechselt werden. Wechsel auf
Weiter und bestätigen mit Enter-Taste
Abbildung 10.20: Eingabe des Rechnernamens
12. Da unsere Domaine tit.air09 heißt, haben wir dies hier eingegeben und bestätigt.
147

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Abbildung 10.21: Eingabe des Domainnamens
13. Nach der Konfiguration des Netzwerks wird die Festplatte und andere Hardware
eingelesen und anschließend das Programm für die Partitionierung geladen.
Abbildung 10.22: Partitionierungsprogramm laden
14. In der darauf folgenden Auswahl kann nun die Partitionsmethode gewählt werden.
Wir haben hier Geführt - verwende vollständige Festplatte gewählt, da wir unsere
gesamte virtuelle Disk mit 30 GB für Debian 5.0 verwenden wollen. Bestätigen
durch Enter-Taste
148

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
Abbildung 10.23: Auswahl der Partitionsmethode
15. Im nächsten Schritt wird die Festplatte ausgewählt, welche partitioniert werden
soll. Hier erscheint unsere VMware Virtual disk. Bestätigen der Auswahl durch
die Enter-Taste.
Abbildung 10.24: Auswahl der Festplatte
16. Da es für unseren Fall nicht nötig ist, separate Partitionen zu erstellen, haben wir
uns für das erste Partitionsschema entschieden: Alle Dateien auf eine Partition
(für Anfänger empf.).
149

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Abbildung 10.25: Auswahl des Partitionsschemas
17. Nach einer kurzen Prüfung (Errechnung der neuen Partitionen) gelangt man zu
einer Übersicht der getätigten Einstellungen bezüglich der Partitionen und Einhängepunkte.
Hier können gegebenenfalls Änderungen getätigt werden. Sollten
die Einstellungen in Ordnung sein, wird mit Partitionierung beenden und Änderungen
übernehmen fortgefahren.
Abbildung 10.26: Übersicht über die Konfiguration
18. Zum Schluss folgt noch ein Hinweis und eine Warnung. Hier hat man nochmals
die Möglichkeit, etwaige Fehler zu korrigieren. Wir wählen mittels Tabulator Ja
150

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
aus und bestätigen mit der Enter-Taste.
Abbildung 10.27: Letzte Zusammenfassung
19. Nachdem die Festplatte formatiert und partitioniert wurde, folgt die Installation
des Grundsystems.
Abbildung 10.28: Installation des Grundsystems
20. Während der Installation muss das Passwort für den Root-Benutzer festgelegt
werden. Wir haben hier eingegeben.
151

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Abbildung 10.29: Root-Passwort einrichten
21. Im Anschluss muss das eingegebene Root-Passwort zur Überprüfung bestätigt
werden.
Abbildung 10.30: Root-Passwort bestätigen
22. Danach wird ein Benutzerkonto mit eingeschränkten Benutzerrechten angelegt.
Hier muss als Erstes der volle Name des Benutzers eingegeben werden. Wir haben
hier air09 geschrieben.
152

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
Abbildung 10.31: Benutzer anlegen
23. Auch bei der Eingabe des Benutzernamens für das Konto haben wir air09 eingegeben.
Abbildung 10.32: Benutzer anlegen
24. Hier muss ebenfalls ein Passwort gesetzt werden, welches bei uns gleich wie das
Root-Passwort lautet: . Dies ist im produktiven Betrieb aus Sicherheitsgründen
nicht zu empfehlen.
153

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Abbildung 10.33: Benutzer-Passwort festlegen
25. Zur Bestätigung das Passwort erneut eingeben: .
Abbildung 10.34: Benutzer-Passwort bestätigen
26. Wir werden gefragt, ob wir zusätzliche Medien einlesen wollen. Wir wählen hier
Nein.
154

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
Abbildung 10.35: Zusätzliche CDs DVDs einlesen
27. Auch bei der Frage, ob ein Netzwerkspiegel zur Ergänzung der Software auf dem
CD-Image verwendet werden soll, haben wir Nein gewählt.
Abbildung 10.36: Ergänzung Netzwerkspiegel
28. Nach diesen Fragen dauert es noch einige Zeit bis die Paketverwaltung apt (Advanced
Packaging Tool) konfiguriert ist.
155

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Abbildung 10.37: Konfiguration von apt
29. Dann steht man noch vor der Entscheidung, ob man an der Paketverwendungserfassung
teilnehmen will. Hier werden wöchentlich Statistiken an die Distributions-
Entwickler gesendet. Wir nehmen daran nicht teil und wählen Nein.
Abbildung 10.38: Teilnahme an der Paketverwendungserfassung
30. Bei der Installation der passenden Software haben wir lediglich das Standard-
System mittels der Leer-Taste ausgewählt und die Installation durch Weiter bestätigt.
156

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
Abbildung 10.39: Auswahl der zu installierenden Software
31. Nach der Installation der ausgewählten Software wird noch der Bootloader GRUB
installiert. Hier muss gesagt werden, dass der GRUB-Bootloader in den Master
Boot Record installiert werden soll. Bestätigen der Frage mit Ja.
Abbildung 10.40: Installation des Bootloaders GRUB
32. Während die Installation beendet wird, wird darauf hingewiesen, dass das CD-
Image vor dem Neustart entfernt werden muss.
157

10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Abbildung 10.41: CD-Image entfernen
33. Dazu klicken wir auf Disconnect CD/DVD 1 und danach auf Disconnect from
F:\debian-500-i386-CD-1.iso. Jetzt kann der Hinweis in Abbildung 10.41 mit
Weiter bestätigt werden.
Abbildung 10.42: CD-Image trennen
34. Nach der Beendigung der Installation wird das System neu gestartet und man
gelangt zum Bootloader GRUB. Hier wählen wir Debian GNU/Linux, kernel
2.6.26-1-686.
158

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.2. INSTALLATION
Abbildung 10.43: Bootloader GRUB
35. Nach dem Hochfahren erscheint der Loginbereich. Jetzt kann man sich mit dem
bei der Installation erstellten Benutzer air09 oder als Administrator root einloggen.
Abbildung 10.44: Loginbereich
159

10.3. EINFÜHRUNG IN LINUX KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.3 Einführung in Linux
Wie im Folgenden Abschnitt noch erklärt wird, verwenden wir auf unserem Debian
Server keine grafische Oberfläche. Dies ist vor allem dann sinnvoll, wenn nur auf sehr
leistungsschwache Hardware zurückgegriffen wird, da in solch einem Fall nicht zusätzliche
Ressourcen durch das Betreiben einer grafischen Oberfläche verschwendet werden.
Aus diesem Grund müssen sämtliche Arbeiten am Server über die Konsole getätigt
werden.
Auf die Konsole kann über mehrere Arten zugegriffen werden. Eine Möglichkeit ist der
Zugriff über den VMware Infrastructure Client, wie er in Abschnitt 3 gezeigt wird.
Eine andere Möglichkeit ist der Zugriff über eine SSH-Sitzung wie in Abschnitt 10.4.5
gezeigt wird.
Um mit Linux richtig produktiv arbeiten zu können, müssen einige Befehle bekannt
sein. Viele Befehle benötigen Root-Rechte. Damit ein Benutzer mit rRoot-Rechten arbeiten
kann, muss lediglich in der Kommandozeile su und das Benutzerpasswort eingegeben
werden. In der folgenden Tabelle wird ein kleiner Überblick über die wichtigsten
Befehle gegeben:
su
cd
cp
mv
rm
mkdir
pwd
Allgemeine Befehle
Verleiht dem Benutzer Root-Rechte
Wechselt das Arbeitsverzeichnis
Kopiert Dateien und Verzeichnisse
Verschiebt eine Datei
Löscht eine Datei
Erstellt ein Verzeichnis
Zeigt das aktuelle Verzeichnis an
chown
chmod
Befehle zur Rechteverwaltung
Legt die Gruppenzugehörigkeit fest
Verändert die Zugriffsrechte von Dateien
Befehle zur Benutzerverwaltung
adduser Fügt einen Benutzer hinzu
deluser Löscht einen Benutzer
usermod Benutzerkonto bearbeiten
160

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
df
du
top
ps
kill
Befehle zur Systemüberwachung
Gibt den Speicherplatz aller eingehängten Laufwerke aus
Gibt den Speicherverbrauch von Verzeichnissen aus
Gibt die Prozessorauslastung zurück
Gibt alle laufenden Prozesse zurück
Beendet einen Prozess nach der Prozess-ID
less
more
tail
clear
grep
wget
Sonstige nützliche Befehle
Zeigt eine Textdatei in einem scrollbaren Fenster an
Wie less, scrollt jedoch nicht zurück
Gibt die letzten Zeilen einer Datei zurück
Löscht den momentanen Bildschirminhalt
Durchsuchen von Dateien
Dateien und Webseiten aus dem Internet herunterladen
Zusätzlich empfiehlt es sich, bei Problemen entweder das Wiki [21] bzw. das Forum
[22] von ubuntuusers aufzusuchen. Viele auftretende Probleme wurden dort bereits
behandelt und oft wird auch ein Lösungsweg beschrieben.
Um eine Textdatei verändern zu können, verwenden wir den Editor pico. Im folgenden
eine kurze Anleitung zur Verwendung von pico:
1. Editor mit Dateiname der zu verändernden Datei aufrufen: pico text.txt
2. Es öffnet sich der Editor und es wird die Textdatei angezeigt. Diese kann nun
verändert werden.
3. Ist das Bearbeiten abgeschlossen, kann das Programm mit STRG + X beendet
werden. Sind Veränderungen vorgenommen worden, fragt das Programm, ob diese
gespeichert werden sollen. Dies Frage kann mit J bestätigt werden.
4. Danach wird abgefragt, unter welchem Dateinamen die Datei abgespeichert werden
soll. Mit der Taste ENTER kann die Datei unter dem selben Dateinamen
abgespeichert werden.
10.4 Konfiguration
Damit das Betriebssystem die von uns geforderten Aufgaben erfüllen kann, muss es
speziell dafür konfiguriert werden.
161

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Im Folgenden wird die Konfiguration der einzelnen Komponenten genauer erklärt.
Schlussendlich soll ein voll funktionsfähiges System zur Verfügung stehen. Viele der
hier beschriebenen Arbeitsschritte stammen ursprünglich von diversen Anleitungen im
Internet. Trotz der teilweise sehr detaillierten Anleitungen war es nicht immer möglich,
diese direkt für uns zu übernehmen. Oftmals traten Fehler auf, die es zuerst zu lösen
galt.
Anfangs müssen sämtliche Einstellungen am Server direkt über den VMware Infrastructure
Client getätigt werden, weil zu diesem Zeitpunkt keine andere Schnittstelle
verfügbar ist. Der Zugriff auf diese Schnittstelle kann, wie in Abschnitt 10.2.2, Punkt
35 gezeigt, vorgenommen werden. Anschließend erscheint die Konsole der Virtuellen
Maschine. Durch Klicken in die Konsole kann mit der Eingabe der Einstellungen begonnen
werden. Als Erstes muss die Anmeldung am System durch einen Benutzer mit
Administratorrechten erfolgen. Dabei kann der in Abschnitt 22 gezeigte Benutzername
verwendet werden. Wir geben daher folgende Daten ein:
air09-rs login: air09
password:
10.4.1 IP-Adresse
Damit der Server eigenständig und unabhängig von anderen Faktoren (DHCP-Server,
. . . ) zuverlässig eine IP-Adresse erhält, stellen wir direkt im Server eine statische IP-
Adresse ein. Diese IP-Adresse wird auf das Interface eth0 des Servers angewendet,
welches wir in Abschnitt 7.3 im VMware ESXi Server konfiguriert haben. Folgende
Befehle sind dazu erforderlich:
pico /etc/network/interfaces
Die Zeile iface eth0 inet dhcp muss durch die folgenden Zeilen ersetzt werden:
iface eth0 inet static
address 10.0.20.12
netmask 255.255.0.0
gateway 10.0.20.1
dns-nameservers 10.0.20.11
162

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
Wichtig ist dabei, dass dns-nameservers der IP-Adresse des Active Directory entspricht,
auf dem üblicherweise ein DNS-Server läuft. Nach dem Abspeichern muss das
Interface mit dem Befehl
/etc/init.d/networking restart
neugestartet werden. Wenn keine Probleme aufgetreten sind, erscheint folgende Meldung:
Reconfiguring network interfaces...done
10.4.2 Proxy-Einstellungen
Da an der HTL Rankweil ein Zugang zum Internet ausschließlich über einen Proxy-
Server möglich ist, muss dieser auch auf dem Debian-Server eingestellt werden. Wir
stellen diesen für den Benutzer air09, mit dem wir uns am Server angemeldet haben,
ein. Dazu werden folgende Befehle benötigt:
pico /home/air09/.profile
Am Ende dieser Datei müssen folgende Zeilen angehängt werden, wobei die Adresse
192.168.103.1 den Proxy-Server und 8080 den Proxy-Port repräsentiert.
export http_proxy=http://192.168.103.1:8080
export https_proxy=http://192.168.103.1:8080
export HTTP_PROXY=$http_proxy
export HTTPS_PROXY=$https_proxy
10.4.3 Paketverwaltung
Über die Paketverwaltung kann eine Vielzahl von bereits vorkompilierten Programmen
heruntergeladen und installiert werden. Standardmäßig greift Debian dabei zusätzlich
auf die Installations-CD zu. Da dies für den alltäglichen Serverbetrieb aber nicht sehr
163

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
praktikabel ist, deaktivieren wir dies und stellen zusätzlich weitere Paketquellen ein.
Danach sollte das Konfigurationsfile unter pico /etc/apt/sources.list wie folgt
aussehen:
#
# deb cdrom:[Debian GNU/Linux 5.0.0 _Lenny_ - Official i386 CD Binary-1 \
20090214-16:29]/ lenny main
# deb cdrom:[Debian GNU/Linux 5.0.0 _Lenny_ - Official i386 CD Binary-1 \
20090214-16:29]/ lenny main
deb http://ftp.at.debian.org/debian lenny main
deb-src http://ftp.at.debian.org/debian lenny main
deb http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates main
deb http://volatile.debian.org/debian-volatile lenny/volatile main
deb-src http://volatile.debian.org/debian-volatile lenny/volatile main
Anschließend müssen die Paketquellen mit dem Befehl
apt-get update
erneuert werden.
Wenn keine Probleme aufgetreten sind, erscheint folgende Meldung:
Paketlisten werden gelesen... Fertig
Damit das System möglichst sicher ist, empfiehlt es sich, regelmäßig Updates zu installieren.
Dies geschieht mit dem Befehl
apt-get upgrade
Wenn keine Updates verfügbar sind, erscheint folgende Meldung:
164

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut
Lese Status-Informationen ein... Fertig
0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Sollten Updates verfügbar sein, muss auf die ausgegebenen Meldungen eingegangen
werden.
10.4.4 Zeitsynchronisation
Eine Zeitsynchronisation mit einem Zeitserver ist zwingend erforderlich, da Kerberos
nur eine geringe Zeitdifferenz zwischen dem Active Directory und sich selbst duldet. Wir
synchronisieren deshalb die Uhrzeit auf unserem Server mit dem zentralen Server der
Schule, um sicher zu gehen, dass unsere Zeit mit der im Schulnetzwerk übereinstimmt.
Aus diesem Grund muss der NTP-Dienst installiert werden:
apt-get install ntpdate
Anschließend wird mit dem Befehl ntpdate -u itdc1.it.htlr eine Zeitsynchronisation
mit dem Server ITDC1.IT.HTLR eingestellt. Wird die Zeit erfolgreich abgeglichen,
folgt die Meldung
24 Apr 10:35:17 ntpdate[3233]: step time server
172.20.1.41 offset -101.858334 sec
10.4.5 OpenSSH-Server
Nachdem die wichtigsten Einstellungen getätigt sind, kann eine zweite Konfigurationsschnittstelle
– SSH – eingerichtet werden.
Installation
Dazu installiert man den OpenSSH-Server aus den Paketquellen mit dem Befehl
165

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
apt-get install openssh-server
Nach erfolgreicher Installation erscheint die Meldung
Restarting OpenBSD Secure Shell Sherver: sshd
Nun kann jeder Rechner, der über ein Netzwerk Zugang zum Server hat, über einen
SSH-Client mit dem Befehl
ssh air09@10.0.20.12
und den entsprechenden Anmeldedaten auf den Sever zugreifen.
Dienst verwalten
Mit dem Befehl
/etc/init.d/ssh {start|stop|reload|force-reload|restart|try-restart|status}
kann der Dienst verwaltet werden. Nach Änderung der Konfiguration sollte der Dienst
neu gestartet werden.
10.4.6 OpenSSL
Damit für den FreeRADIUS Server Zertifikate angelegt werden können, muss OpenSSL
installiert werden. Wir installieren OpenSSL aus den Paketquellen mit dem Befehl
Installation
apt-get install openssl
Ist die Installation erfolgreich abgeschlossen, erscheint folgende Meldung
Richte openssl ein (0.9.8g-15+lenny1) ...
166

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
Certificate Authority und Zertifikate erstellen
Sowohl TLS als auch PEAP benötigen Server- und Clientzertifikate für ihre Funktion.
Mit dem soeben installierten Dienst OpenSSL können wir diese Zertifikate erstellen 1 .
Anschließend müssen diese im FreeRADIUS Server eingetragen, an die Clients verteilt
und installiert werden. Die hier verwendeten Passwörter müssen später in der Konfigurationsdatei
/etc/freeradius/eap.conf von FreeRADIUS entsprechend eingetragen
werden. Im Folgenden wird erklärt, wie diese Zertifikate erstellt werden:
1. Ins Zertifikatverzeichnis wechseln: cd /etc/ssl/
2. Arbeitsverzeichnis erstellen: mkdir CA
3. Ins Arbeitsverzeichnis wechseln: cd CA
4. Zielverzeichnis für Zertifikate erstellen: mkdir newcerts private
5. Die Seriennummer des nächsten zu erstellenden Zertifikats in serial schreiben:
echo ’01’ > serial
6. Die Datei zur Aufzeichnung der bisher erstellten Zertifikate erstellen: touch index.txt
7. Die Konfigurationsdatei erstellen und öffnen: pico openssl.cnf
8. Mit dem Befehl pico openssl.cnf wird eine Konfigurationsdatei angelegt und geöffnet.
Wir fügen folgende Informationen hinzu:
#
# OpenSSL configuration file.
#
# Establish working directory.
dir = .
[ ca ]
default_ca = CA_default
[ CA_default ]
serial = $dir/serial
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/cacert.pem
private_key = $dir/private/cakey.pem
1 Eine Anleitung für das Erstellen einer Certificate Authority sowie für das Erstellen von Zertifikaten
kann unter [25] gefunden werden. Die folgende Anleitung basiert auf diesem Artikel.
167

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
default_days = 365
default_md = md5
preserve = no
email_in_dn = no
nameopt = default_ca
certopt = default_ca
policy = policy_match
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ req ]
default_bits = 1024 # Size of keys
default_keyfile = key.pem # name of generated keys
default_md = md5 # message digest algorithm
string_mask = nombstr # permitted characters
distinguished_name = req_distinguished_name
req_extensions = v3_req
[ req_distinguished_name ]
# Variable name Prompt string
#---------------------- ----------------------------------
0.organizationName = Organization Name (company)
organizationalUnitName = Organizational Unit Name (department, division)
emailAddress = Email Address
emailAddress_max = 40
localityName = Locality Name (city, district)
stateOrProvinceName = State or Province Name (full name)
countryName = Country Name (2 letter code)
countryName_min = 2
countryName_max = 2
commonName = Common Name (hostname, IP, or your name)
commonName_max = 64
# Default values for the above, for consistency and less typing.
# Variable name Value
168

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
#------------------------------ ------------------------------
0.organizationName_default = HTL Rankweil
localityName_default = Rankweil
stateOrProvinceName_default = Vorarlberg
countryName_default = AT
[ v3_ca ]
basicConstraints = CA:TRUE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always
[ v3_req ]
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
9. Nachdem die Datei abgespeichert wurde, erstellen wir mit folgendem Befehl unsere
Certificate Authority:
openssl req -new -x509 -extensions \
v3_ca -keyout private/cakey.pem \
-out cacert.pem -days 365 -config ./openssl.cnf
10. Nach Eingabe des obigen Befehls werden der Reihe nach einige Daten abgefragt,
die wir wie folgt beantworten:
Generating a 1024 bit RSA private key
.....................++++++
..++++++
writing new private key to ’private/cakey.pem’
Enter PEM pass phrase:

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Locality Name (city, district) [Rankweil]:
State or Province Name (full name) [Vorarlberg]:
Country Name (2 letter code) [AT]:
Common Name (hostname, IP, or your name) []: AIR09-RS.TIT.AIR09
11. Nun können wir unser Zertifikat mit folgendem Befehl erstellen:
openssl req -new -nodes -out req.pem \
-config ./openssl.cnf
12. Nach Eingabe des obigen Befehls werden der Reihe nach einige Daten abgefragt,
die wir wie folgt beantworten:
Generating a 1024 bit RSA private key
.....................++++++
..++++++
writing new private key to ’key.pem’
-----
You are about to be asked to enter information that will be
incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name
or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ’.’, the field will be left blank.
-----
Organization Name (company) [HTL Rankweil]:
Organizational Unit Name (department, division) []: IT |
Email Address []: roland.sandholzer@htlr.snv.at
Locality Name (city, district) [Rankweil]:
State or Province Name (full name) [Vorarlberg]:
Country Name (2 letter code) [AT]:
Common Name (hostname, IP, or your name) []: AIR09-RS.TIT.AIR09
13. Nun können wir unser Zertifikat mit folgendem Befehl erstellen:
openssl ca -out cert.pem -config ./openssl.cnf -infiles req.pem
14. Nach Eingabe des obigen Befehls werden der Reihe nach einige Daten abgefragt,
die wir wie folgt beantworten:
Using configuration from ./openssl.cnf
Enter pass phrase for ./private/cakey.pem:
170

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
Check that the request matches the signature
Signature ok
The Subject’s Distinguished Name is as follows
organizationName :PRINTABLE:’HTL Rankweil’
organizationalUnitName:PRINTABLE:’IT’
localityName
:PRINTABLE:’Rankweil’
stateOrProvinceName :PRINTABLE:’Vorarlberg’
countryName
:PRINTABLE:’AT’
commonName
:PRINTABLE:’ITRS01.IT.HTLR’
Certificate is to be certified until May 7 09:04:49 2010 GMT
(365 days)
Sign the certificate [y/n]: y
1 out of 1 certificate requests certified, commit [y/n] y
Write out database with 1 new entries
Data Base Updated
15. Abschließend muss das random_file erstellt werden:
cd /etc/freeradius/
openssl dhparam -out certs/dh 1024
10.4.7 FreeRADIUS
Damit der FreeRADIUS-Server unseren Anforderungen gerecht wird, benötigen wir die
Unterstützung von OpenSSL seitens FreeRADIUS. Die FreeRADIUS-Pakete die in den
Paketquellen von Debian und Ubuntu enthalten sind unterstützen OpenSSL standardmäßig
aus lizenzrechtlichen Gründen nicht 2 . Aus diesem Grund muss das OpenSSL
Modul in FreeRADIUS von Hand eingebunden und kompiliert werden. Im Folgenden
werden die dazu benötigten Schritte genauer erklärt.
Pakete laden
Bevor FreeRADIUS kompiliert werden kann, müssen die dazu benötigten Pakete geladen
und installiert werden 3 . Dies geschieht mit folgendem Befehl.
2 Laut https://bugs.launchpad.net/ubuntu/+source/freeradius/+bug/283807
3 Dieser Schritt entspricht dem ersten Schritt auf der Seite http://www.howtoforge.com/
setting-up-a-freeradius-based-aaa-server-with-mysql-and-management-with-daloradius
171

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
apt-get install debhelper libltdl3-dev libpam0g-dev \
libmysqlclient15-dev build-essential libgdbm-dev \
libldap2-dev libsasl2-dev libiodbc2-dev libkrb5-dev \
snmp autotools-dev dpatch libperl-dev libtool dpkg-dev \
libpq-dev libsnmp-dev libssl-dev libpcap-dev python-dev
Nach Überprüfung der Pakete muss das Installieren bestätigt werden:
0 aktualisiert, 74 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Es müssen 51,6MB an Archiven heruntergeladen werden.
Nach dieser Operation werden 146MB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren [J/n]
Wenn die Installation erfolgreich abgeschlossen ist, folgt die Meldung
Richte build-essential ein (11.4) ...
Sourcen laden und Kompilieren
Als nächstes muss der Sourcecode von FreeRADIUS heruntergeladen werden 4 . Dieser
kann ebenfalls wie die vorkompilierten Pakete über die Paketquellen besorgt werden.
Folgende Befehle sind notwendig:
cd ~
apt-get source freeradius=2.0.4+dfsg-6
Wurde der Code ordnungsgemäß heruntergeladen, erscheint diese Meldung:
dpkg-source: extrahiere freeradius nach freeradius-2.0.4+dfsg
dpkg-source: Information: entpacke freeradius_2.0.4+dfsg.orig.tar.gz
dpkg-source: Information: wende freeradius_2.0.4+dfsg-6.diff.gz an
4 Dieser Schritt entspricht dem ersten Schritt auf der Seite http://www.howtoforge.com/
setting-up-a-freeradius-based-aaa-server-with-mysql-and-management-with-daloradius
172

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
Anschließend wechseln wir in das Verzeichnis, in dem sich der Sourcecode befindet:
cd freeradius-2.0.4+dfsg/
Nun müssen die von uns benötigten Module rlm_eap_tls, rlm_eap_ttls, rlm_eap_peap
und openssl eingebunden werden. Dazu müssen folgende Zeilen in debian/rules
...
--without-rlm_eap_tls \
--without-rlm_eap_ttls \
--without-rlm_eap_peap \
...
--without-openssl \
...
gegen diese Zeilen ausgetauscht werden:
...
--with-rlm_eap_tls \
--with-rlm_eap_ttls \
--with-rlm_eap_peap \
...
--with-openssl \
...
Anschließend müssen folgende Zeilen gelöscht werden:
for pkg in ${pkgs} ; do \
if dh_shlibdeps -p $$pkg -- -O 2>/dev/null | grep -q libssl; then \
echo "$$pkg links to openssl" ;\
exit 1 ;\
fi ;\
done
Danach muss in der Datei debian/control in der Zeile
173

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Build-Depends: autotools-dev, debhelper (>= 6.0.7), libgdbm-dev, . . .
der Ausdruck libssl-dev angehängt werden. Nun sind alle Voraussetzungen für das Kompilieren
erfüllt. Bevor das Kompilieren gestartet werden kann, muss wieder ins Verzeichnis
~/freeradius-2.0.4+dfsg/ gewechselt werden. Anschließend wird das Kompilieren
mit dem Befehl
dpkg-buildpackage -rfakeroot
gestartet. Je nach eingesetzter Hardware kann dieser Vorgang zwischen 5 und 20 Minuten
dauern. Ist der Vorgang abgeschlossen, erscheint folgende Meldung:
dpkg-genchanges >../freeradius_2.0.4+dfsg-6_i386.changes
dpkg-genchanges: füge Originalquellen beim Hochladen nicht hinzu
dpkg-buildpackage: Binär und Diff hochzuladen (Originalquellen NICHT
enthalten)
dpkg-buildpackage: Warnung: Konnte .dsc- und .changes-Datei nicht
signieren
Installation
Nun befinden sich eine Reihe von Installationsdateien im Ordner
~/freeradius-2.0.4+dfsg/. Wir installieren einige der Dateien mit folgenden Befehlen
5 :
dpkg -i libfreeradius2_2.0.4+dfsg-6_i386.deb \
freeradius-common_2.0.4+dfsg-6_all.deb \
freeradius_2.0.4+dfsg-6_i386.deb \
freeradius-krb5_2.0.4+dfsg-6_i386.deb \
freeradius-ldap_2.0.4+dfsg-6_i386.deb \
freeradius-utils_2.0.4+dfsg-6_i386.deb
5 Dieser Schritt entspricht dem ersten und dem zweiten Schritt auf der Seite [23]
174

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
Konfiguration
Die Konfiguration des FreeRADIUS Servers setzt sich aus mehreren Konfigurationsdateien
zusammen. Die Dateien finden sich im Verzeichnis /etc/freeradius/. In der
Datei radiusd.conf lässt sich das allgemeine Verhalten von FreeRADIUS einstellen. In
der Datei user werden Einstellungen zur Art der Benutzerauthentifizierung getätigt.
In der Datei clients.conf werden alle Access Points, die Zugriff auf den FreeRADIUS
Server haben sollen, eingetragen. Dies sind soweit die wichtigsten Dateien. Nun werden
die benötigten Einstellungen genauer erklärt. Die hier getätigten Schritte entstammen
der Anleitung auf der Seite http://wiki.freeradius.org/FreeRADIUS_Active_
Directory_Integration_HOWTO
In der Datei /etc/freeradius/radiusd.conf verändern wir folgende Werte bzw. fügen wir
folgende Werte hinzu:
modules {
exec ntlm_auth {
wait = yes
program = "/usr/bin/ntlm_auth ntlm_auth
--request-nt-key
--domain=TIT.AIR09
--username=%{mschap:User-Name}
--password=%{User-Password}"
}
...
ldap {
server = "10.0.20.11"
basedn = "dc=tit,dc=air09"
filter = "(sAMAccountName=%{%{Stripped-User-Name}
:-%{%{User-Name}:-none}})"
base_filter = "(objectclass=user)"
start_tls = no
dictionary_mapping = ${raddbdir}/ldap.attrmap
ldap_connections_number = 5
groupname_attribute = "cn"
groupmembership_attribute = memberOf
groupmembership_filter = "(|(&(objectClass=group)
(member=%{check:LDAP-UserDn}))
(&(objectClass=GroupOfNames)(member=%{check:Ldap-UserDn})))"
timeout = 4
timelimit = 3
175

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
}
net_timeout = 1
}
...
chap {
authtype = MS-CHAP
}
...
mschap {
...
with_ntdomain_hack = yes
...
ntlm_auth = "/usr/bin/ntlm_auth
--request-nt-key
--username=%{mschap:User-Name:-None}
--domain=%{mschap:NT-Domain:-TIT.AIR09}
--challenge=%{mschap:Challenge:-00}
--nt-response=%{mschap:NT-Response:-00}"
...
}
In der Datei /etc/freeradius/eap.conf verändern wir folgende Werte bzw. fügen wir
folgende Werte hinzu:
eap {
...
default_eap_type = peap
...
}
...
tls {
...
private_key_password =
private_key_file = /etc/ssl/CA/key.pem
...
certificate_file = /etc/ssl/CA/cert.pem
...
CA_file = /etc/ssl/CA/cacert.pem
...
random_file = /dev/urandom
}
176

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
...
ttls {
...
default_eap_type = mschapv2
...
}
In der Datei /etc/freeradius/clients.conf werden alle Access Points eingetragen, von
denen FreeRADIUS Anfragen beantworten soll. Die hier unter secret eingetragenen
Passwörter müssen später auf den Access Points jeweils passend eingetragen werden.
Dabei müssen die Einträge wie folgt aussehen:
...
client 10.0.10.101/24 {
secret =
shortname = 10.0.10.101
nastype = cisco
}
client 10.0.10.102/24 {
secret =
shortname = 10.0.10.102
nastype = cisco
}
...
In der Datei /etc/freeradius/sites-enabled/default verändern wir folgende Werte bzw.
fügen wir folgende Werte hinzu:
authenticate {
...
ntml_auth
...
}
In der Datei /etc/freeradius/sites-enabled/inner-tunnel verändern wir folgende Werte
bzw. fügen wir folgende Werte hinzu:
177

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
authenticate {
...
ntml_auth
...
}
Abschließend muss jener Benutzer, mit dem der FreeRADIUS Server gestartet wird,
zu einer zusätzlichen Gruppe hinzugefügt werden. Dies ist deshalb notwendig, da FreeRADIUS
auf winbind zugreifen muss, aber nicht die entsprechende Berechtigung hat.
Wir fügen deshalb den Benutzer freerad in die Gruppe winbindd_priv hinzu:
usermod -G winbindd_priv freerad
Dienst verwalten
Mit dem Befehl
/etc/init.d/freeradius {start|stop|restart|force-reload}
kann der Dienst verwaltet werden. Nach Änderung der Konfiguration sollte der Dienst
neu gestartet werden.
Mit dem Befehl freeradius -X kann der FreeRADIUS Server im Debug-Modus gestartet
werden. Es wird nun genau protokolliert, was der Dienst macht.
Mit dem Befehl
tail -f /var/log/freeradius/radius.log
können die Log-Dateien überprüft werden.
10.4.8 Samba
Wir benutzen den Samba Server 6 nicht der Datenfreigabe wegen, sondern nur um ein
paar darin enthaltene Tools zu verwenden, wie z.B. winbind und NTML.
6 Die hier getätigten Arbeitsschritte entstammen der Anleitung auf [24]
178

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
Installation
Wir installieren dieses Paket über die Paketquellen mit dem Befehl:
apt-get install samba
Nach Überprüfung der Pakete muss das Installieren bestätigt werden:
0 aktualisiert, 5 neu installiert, 0 zu entfernen und 5 nicht aktualisiert.
Es müssen 7957kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 21,4MB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren [J/n]
Während der Installation wird nach der Domäne gefragt, in der der Samba-Server
stehen soll.
Bitte geben Sie die Arbeitsgruppe an, in der der Server bei Anfragen von
Clients erscheinen soll. Beachten Sie, dass dieser Parameter auch den
Domain-Namen festlegt, der für die Einstellung security=domain verwendet wird.
Wir geben hier die Domäne TIT ein. Anschließend kann eingestellt werden, ob per
DHCP gelieferte Daten über Samba an die Clients weitergegeben werden sollen.
Wenn Ihr Computer IP-Adress-Informationen von einem DHCP-Server im Netzwerk
bezieht, kann es sein, dass auch Informationen über WINS-Server
(>NetBIOS-Name-Server

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Wir bestätigen diese Frage mit JA. Ist die Installation erfolgreich abgeschlossen, erscheint
folgende Meldung
Fertig.
Starting Samba daemons: nmbd smbd.
Konfiguration
Als nächstes wird der Samba Server konfiguriert. Wir verändern bzw. ergänzen die
Konfigurationsdatei /etc/samba/smb.conf um folgende Zeilen:
[global]
...
workgroup = tit
...
security = ads
...
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /bin/bash
winbind use default domain = yes
winbind separator = /
password server = *
encrypt passwords = yes
client use spnego = yes
name resolve order = host wins lmhosts
realm = TIT.AIR09
...
[homes]
...
comment = Home Directories
browseable = no
writeable = yes
...
Dienst verwalten
Mit dem Befehl
180

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
/etc/init.d/samba {start|stop|restart|force-reload}
kann der Dienst verwaltet werden. Nach Änderung der Konfiguration sollte der Dienst
neu gestartet werden. Mit dem Befehl
tail -f /var/log/samba/log.nmbd /var/log/samba/log.smbd
können die Log-Dateien überprüft werden.
10.4.9 Winbind
Winbind benötigen wir, um den Sambaserver an das Active Directory als Memberserver
binden zu können. Wir installieren das Paket widerum aus den Paketquellen mit dem
Befehl
Installation
apt-get install winbind
Konfiguration
In der Datei /etc/nsswitch.conf müssen folgende Zeilen wie folgt angepasst werden:
passwd:
group:
files winbind
files winbind
Ist die Installation erfolgreich abgeschlossen, erscheint folgende Meldung
Starting the Winbind daemon: winbind.
181

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Dienst verwalten
Mit dem Befehl
/etc/init.d/winbind {start|stop|restart|force-reload}
kann der Dienst verwaltet werden. Nach Änderung der Konfiguration sollte der Dienst
neu gestartet werden. Mit dem Befehl
tail -f /var/log/samba/log.winbindd*
können die Log-Dateien überprüft werden.
10.4.10 Kerberos
Kerberos wird gemeinsam mit Samba zur Authentisierung am Active Directory mittels
NTLM benötigt. Wir installieren 7 das Paket aus den Paketquellen mit dem Befehl
Installation
apt-get install krb5-kdc krb5-admin-server
Während der Installation wird man darüber informiert, dass während der Installation
kein Kerberos Realm eingerichtet wird. Der Realm muss nach der Installation mit dem
Befehl krb5_newrealm erstellt werden. Wir bestätigen diese Meldung und fahren fort.
Anschließend müssen die zu verwendenden Kerberos Server angegeben werden. Hier
geben wir AIR09-RS.TIT.AIR09 an.
7 Die hier getätigten Arbeitsschritte entstammen der Anleitung auf http://wiki.freeradius.org/
FreeRADIUS_Active_Directory_Integration_HOWTO
182

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
Konfiguration
Anschließend führen wir noch den Befehl krb5_newrealm aus. Es erscheint folgende
Meldung
This script should be run on the master KDC/admin server to initialize
a Kerberos realm. It will ask you to type in a master key password.
This password will be used to generate a key that is stored in
/etc/krb5kdc/stash. You should try to remember this password, but it
is much more important that it be a strong password than that it be
remembered. However, if you lose the password and /etc/krb5kdc/stash,
you cannot decrypt your Kerberos database.
Loading random data
Nach einer Weile erscheint die Aufforderung zur Eingabe eines Database Master Password
für den Kerberos Realm. Wir geben hier das Passwort an. Nun
muss die Konfigurationsdatei /etc/krb5.conf angepasst werden:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = TIT.AIR09
dns_lookup_realm = false
dns_lookup_kdc = false
clockskew = 300
...
[realms]
TIT.AIR09 = {
kdc = air09-dc1.tit.air09
}
...
[domain_realm]
.tit.air09 = TIT.AIR09
tit.air09 = TIT.AIR09
...
[appdefaults]
183

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
pam = {
}
debug = false
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
Nun kann der Samba Server mit folgendem Befehl an das Active Directory auf dem
air09-dc1.tit.air09 gebunden werden. Dabei steht [Administrator] für einen Benutzer
im Active Directory mit Administratorrechten.
net join -S air09-dc1.tit.air09 -U [Administrator]
Nun geben wir noch das für den Benutzernamen entsprechende Passwort ein und erhalten
die Meldung, dass wir der Domäne beigetreten sind.
Enter Administrator’s password:
Joined domain TIT.
Abschließend können wir die Anbindung testen. Mit dem Befehl wbinfo -u können
wir die Benutzer aus dem Active Directory anzeigen lassen
wbinfo-u
AIR09-RS/nobody
AIR09-RS/lp
AIR09-RS/debian-exim
AIR09-RS/root
AIR09-RS/daemon
AIR09-RS/mail
AIR09-RS/statd
AIR09-RS/news
AIR09-RS/bin
AIR09-RS/uucp
AIR09-RS/air09
184

KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
10.4. KONFIGURATION
AIR09-RS/sshd
AIR09-RS/proxy
AIR09-RS/sys
AIR09-RS/freerad
AIR09-RS/sync
AIR09-RS/list
AIR09-RS/games
AIR09-RS/irc
AIR09-RS/www-data
AIR09-RS/gnats
AIR09-RS/man
AIR09-RS/libuuid
Administrator
5aheli-gm
5aheli-pf
5aheli-tf
...
Mit dem Befehl wbinfo -a % kann die Benutzerauthentisierung
überprüft werden, wobei für einen Benutzer im Active Directory und
für das zum Benutzer gehörende Passwort stehen. Ist die Authentisierung
erfolgreich, erscheint folgende Meldung
plaintext password authentication succeeded
challenge/response password authentication succeeded
Zusätzlich kann die Authentisierung mittels NTLM überprüft werden. NTLM wird von
FreeRADIUS zur Authentisierung verwendet. Näheres dazu im Abschnitt 10.4.7. Mit
dem Befehl
ntlm_auth --request-nt-key --domain=TIT.AIR09 --username=
wird die NTLM Authentisierung gestartet, wobei durch einen Benutzernamen
aus dem Active Directory ausgetauscht wurde. Ist die Authentisierung erfolgreich,
erscheint folgende Meldung
NT_STATUS_OK : Success (0x0)
185

10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY
Dienst verwalten
Mit dem Befehl
/etc/init.d/krb5-kdc {start|stop|restart|force-reload}
kann der Dienst verwaltet werden. Nach Änderung der Konfiguration sollte der Dienst
neu gestartet werden.
Mit dem Befehl
tail -f /var/log/krb5kdc.log /var/log/krb5libs.log /var/log/kadmind.log
können die Log-Dateien überprüft werden.
186

Teil V
Automatisierung
187

11 Tera Term
11.1 Warum
Wir waren auf der Suche nach einer Möglichkeit die Access Points automatisch zu
konfigurieren. Dies sollte über das Netzwerk funktionieren und auch sehr sicher sein, da
die ganze Konfiguration inklusive aller Passwörter dem Access Point übermittelt wird.
Wir waren darauf angewiesen, ein Programm zu finden das kostenlos ist. Durch unseren
Projektbetreuer kamen wir auf ein Programm namens Tera Term, mit dessen Hilfe es
möglich sein sollte, die Access Points automatisch zu konfigurieren. Darauf hin haben
wir das Programm heruntergeladen, installiert und getestet. Wie sich herausstellte, war
es ein ausgesprochen nützliches und sicheres Programm.
11.2 Installation
In den folgenden Schritten wird gezeigt, wie Tera Term installiert wird. Wir haben
Tera Term Version 4.60 verwendet[32].
1. Zuerst führt man die TeraTerm.exe aus.
2. Im nun erscheinenden Fenster bestätigen wir mit Next.
189

11.2. INSTALLATION KAPITEL 11. TERA TERM
Abbildung 11.1: Bestätigen für den nächsten Schritt
3. Als nächstes wählen wir I accept the agreement und bestätigen mit Next.
Abbildung 11.2: Akzeptieren der Bedingungen
4. Im folgenden Schritt kann der Pfad für den Speicherort ausgewählt werden. Wir
haben das Programm unter C:\\Programme\teraterm installiert, was auch der
Standardeinstellung entspricht. Weiter mit Next.
190

KAPITEL 11. TERA TERM
11.2. INSTALLATION
Abbildung 11.3: Auswahl des Speicherortes
5. Nun können wir die Komponenten installieren die wir benötigen. Die Standardauswahl
beinhaltet die Komponente LogMeTT und TTLEdit die wir für die Automatisierung
benötigen. Weiter mit Next.
Abbildung 11.4: Auswahl der Komponenten
6. Hier können wir die Programmsprache auswählen. Wir wählen natürlich German.
Weiter mit Next.
191

11.2. INSTALLATION KAPITEL 11. TERA TERM
Abbildung 11.5: Sprache auswählen
7. Hier wird der Ordner für das Startmenü erzeugt. Wir haben die Standardeinstellung
gewählt. Weiter mit Next.
Abbildung 11.6: start menu folder
8. Nun kann man noch weitere Tasks auswählen. Wir wählen Create Tera Term
shortcut to Desktop und Create Tera Term shortcut to Quick Launch und gehen
weiter mit Next
192

KAPITEL 11. TERA TERM
11.2. INSTALLATION
Abbildung 11.7: Additional Tasks
9. Hier starten wir die Installation indem wir auf Install klicken.
Abbildung 11.8: start Install
10. Wir beenden die Installation erfolgreich indem wir Launch LogMeTT wählen und
dann mit Finish bestätigen.
193

11.2. INSTALLATION KAPITEL 11. TERA TERM
Abbildung 11.9: Installation erfolgreich beenden
194

KAPITEL 11. TERA TERM
11.3. VERWENDUNG
11.3 Verwendung
Im folgenden Themenbereich wird beschrieben, was wir unternommen haben um die
Access Points automatisch konfigurieren zu können. Zunächst haben wir ein Makrofile
mit Hilfe von TeraTerm geschrieben. Nachdem dies funktionierte, haben wir die
SSH2 Verbindung über die Kommandozeile automatisiert. Bei Unklarheiten zu den
Makrofiles, ist eine Hilfe im Programm verfügbar. Weitere Informationen findet man
im Literaturverzeichnis unter Tera Term. [31]
11.4 Makrofile
In den folgenden Schritten wird gezeigt, wie man TeraTerm verwendet um ein Makrofile
zu schreiben. Es wird ebenso gezeigte, welche Befehle man wie verwendet.
1. Wir starten TeraTerm, indem wir Doppelklick auf folgendes Icon machen.
Abbildung 11.10: TeraTerm starten
2. Nun öffnet sich das Programm LogMeTT mit welchem es möglich ist, das gewünschte
Makrofile zu schreiben.
195

11.4. MAKROFILE KAPITEL 11. TERA TERM
Abbildung 11.11: LogMeTT
3. Zunächst wechseln wir auf das Macro Tab.
Abbildung 11.12: Macro
4. Nun kann man mit einem Rechtsklick auf This Computer (...) ein Fenster mit
verschiedenen Optionen öffnen. Hier wählen wir Add Child. Es wird ein File erzeugt,
das wir AIR09_AP_1 genannt haben. Wir haben das Projekt an einem Ort
gespeichert, wo wir es wieder finden.
196

KAPITEL 11. TERA TERM
11.4. MAKROFILE
Abbildung 11.13: Add Child
Abbildung 11.14: Macrofile benennen
5. Im folgenden Schritt haben wir nun das Makrofile geschrieben. Zwischendurch
sollte man es abspeichern.
197

11.5. PROGRAMMCODE KAPITEL 11. TERA TERM
Abbildung 11.15: Additional Tasks
11.5 Programmcode
1. Aufbau einer SSH2-Verbindung mittels Passwortabfragebox:
;Angabe von Benutzername und Ziel_IP_Adresse
;Kommentare sind durch ; gekennzeichnet,die Zeichen danach sind kein Code
username = ’admin’ ;Username für die SSH2 Verbindung
hostname = ’10.0.10.101’ ;IP-Adresse des Device
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;Automatisches einloggen mittels SSH
msg = ’Hallo ’ ;Message die in der Popupbox erscheint
strconcat msg username ;Username wird in Popupbox geschrieben
passwordbox msg ’Get password’
msg = hostname ;hostaddresse wird übergeben
;Verbindung aufbauen über Port 22 SSH2
strconcat msg ’:22 /ssh /2 /auth= /user=’
strconcat msg username
strconcat msg ’ /passwd=’
strconcat msg inputstr
connect msg
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
2. Aufbau einer SSH2 Verbindung ohne Passwortabfrage:
;connect ’myserver /ssh /2 /auth=password /user=username /passwd=password’
connect ’10.0.10.101 /ssh /2 /auth=mode /user=username /passwd=’
198

KAPITEL 11. TERA TERM
11.5. PROGRAMMCODE
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
3. Programmcode für das Aufspielen von Konfigurationsfiles:
Je nach Einstellung am Access Point muss man auf das Zeichen > oder # warten.
Falls der Access Point noch nicht enabled ist, ist das Passwort ebenfalls an den
Access Point zu senden. In unserem Code ist der Code für das Enablen des Access
Point auskommentiert. Die Einstellung, damit man kein enable mehr braucht,
finden wir im Konfigurationsfile des Access Point (siehe Abschnitt 13.4).
;warten bis er das Zeichen "#" sieht, da er ansonsten zu schnell ist
wait ’#’
;wait ’>’
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;In den nächsten beiden Zeilen steht der Code für das enablen des AP
;sendln ’enable’
;sendln ’’
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;Hier wechselt man in den config Modus des AP
sendln ’configure’
sendln ’terminal’
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;Im folgenden Programmcode steht, wie man Zeile für Zeile aus einem
;Konfigurationsfile ausliest und ausgeführt wird.
filename = ’~\test.dat’;Pfad zum Konfigurationsfile
fileopen fhandle filename 0 ;öffnet das File mit der Konfiguration
:loop ;startet die Schleife
filereadln fhandle data ;liest Zeile für Zeile aus der Konfiguration
sendln data ;Zeile für Zeile wird ausgeführt
if result goto fclose ;wenn keine Zeile mehr vorhanden ist wird
;die Schleife beendet
goto loop ;Schleife wird wieder von Anfang an durchlaufen
:fclose
fileclose fhandle ;File wird geschlossen
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
end ;Makro wird beendet
199

11.6. UMSETZUNG DER AUTOMATISIERUNG KAPITEL 11. TERA TERM
11.6 Umsetzung der Automatisierung
Für die Umsetzung der Automatisierung haben wir ein Makrofile benötigt. Zudem
musste es möglich sein, das selbe File auf alle Access Points adaptieren zu können. Es
war somit erforderlich, dass Hostname, Username und Passwort über die Kommandozeile
übergeben werden können.
11.6.1 Batchdatei
Wir haben zur Umsetzung der Automatisierung eine Batchdatei genommen, die ausgeführt
werden kann und alle Access Points mit Hilfe eines Makrofiles konfigurieren
kann.
11.6.2 Erstellen und Bearbeiten einer .bat Datei
1. Zunächst erzeugen wir uns ein neues Textfile. Wir erstellen es mit Rechtsklick,
Neu, Textdokument.
Abbildung 11.16: Datei erstellen
2. Nun benennen wir unser Textfile in AIR09.bat um.
200

KAPITEL 11. TERA TERM
11.6. UMSETZUNG DER AUTOMATISIERUNG
Abbildung 11.17: txt umbenennen
3. Es kommt nun eine Warnung, die einen darauf hinweist, dass die Datei möglicherweise
unbrauchbar wird. Wir bestätigen mit Ja
Abbildung 11.18: Warnung bei umbenennen
4. Nun sind wir im Besitz einer .bat Datei.
Abbildung 11.19: .bat Datei
5. Jetzt können wir unsere Batch-Datei mit Rechtsklick Bearbeiten bearbeiten. Speichern
nicht vergessen!
201

11.6. UMSETZUNG DER AUTOMATISIERUNG KAPITEL 11. TERA TERM
Abbildung 11.20: Datei bearbeiten
11.6.3 Code
echo on
pushd "C:\Programme\teraterm>"
set PARAMS=/2 /user=******** /auth=mode /passwd=********* /M=test.ttl
/L=C:\Programme\teraterm\Logs\test
:: ip ssh2
ttermpro.exe 192.168.0.10 %PARAMS%01.log
ttermpro.exe 192.168.0.11 %PARAMS%02.log
cd "C:\Programme\teraterm\Logs>"
grep -H ERROR test*.log > Ausgabe.txt
popd
Für jeden Access Point kann diese Codezeile kopiert und in einer neuen Zeile eingefügt
werden. Natürlich muss sie für die verschiedenen Access Points noch angepasst
werden. Meist muss nur die IP-Adresse geändert werden.
202

KAPITEL 11. TERA TERM
11.6. UMSETZUNG DER AUTOMATISIERUNG
Abbildung 11.21: Bsp .bat Datei
11.6.4 Verwendetes Makrofile
Wir haben folgendes Makrofile für die Automatisierung geschrieben. Es ist darauf zu
achten, dass man zum Schluss ein .ttl File besitzt. Wir haben den Code mit dem
LogMeTT geschrieben und danach in ein Textfile kopiert und es dann in eine .ttl Datei
umbenannt.
11.6.5 Code des Makrofiles
wait ’#’
;wait ’>’
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;In den nächsten beiden Zeilen steht der Code für das enablen des AP
;sendln ’enable’
;sendln ’’
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;Hier wechselt man in den config Modus des AP
sendln ’configure’
sendln ’terminal’
;holen des config files vom tftp-Server
sendln ’copy running-config tftp ’
sendln ’copy running-config startup-config’
sendln ’exit’
sendln ’exit’
203

11.6. UMSETZUNG DER AUTOMATISIERUNG KAPITEL 11. TERA TERM
204

12 Installationsskript
12.1 Warum
Die zahlreichen Einstellungen und Konfigurationen, die im Laufe der Installation des
Debian Servers vorgenommen werden mussten, sollten automatisiert werden. Dadurch
können Rechtschreibfehler und falsch platzierte Einträge in den Konfigurationsdateien
verhindert werden. Ebenfalls ist eine neue Installation somit um einiges schneller zu
bewerkstelligen.
12.2 Skript-Code
!#/bin/bash
echo "
************************************************************
* AIR09 *
* Debian Installationsscript *
************************************************************
* Diplomarbeit 2008/09 *
* Mathias Gopp, Franz Pucher, Felix Tiefenthaler *
************************************************************"
echo "Drücke ENTER um mit der Installation zu beginnen ..."
read confirm
echo "Richte Proxy ein ..."
mv config/profile /home/air09/.profile
echo "Richte Paketquellen ein ..."
mv config/sources.list /etc/apt/sources.list
echo "Mache Updates ..."
205

12.2. SKRIPT-CODE KAPITEL 12. INSTALLATIONSSKRIPT
apt-get update
apt-get upgrade
echo "Konfiguriere debconf ..."
cp config/debconf/config.dat /var/cache/debconf/config.dat
echo "Installiere Pakete ..."
dpkg -i packages/*
echo "Synchronisiere Zeit ..."
echo "Welcher Zeitserver soll verwendet werden"
read ntpserver
ntpdate -u $ntpserver
echo "Richte FreeRADIUS ein ..."
cp config/freeradius/eap.conf /etc/freeradius/eap.conf
cp config/freeradius/radiusd.conf /etc/freeradius/radiusd.conf
cp config/freeradius/default /etc/freeradius/sites-enabled/default
cp config/freeradius/inner-tunnel /etc/freeradius/sites-enabled/inner-tunnel
usermod -G winbindd_priv freerad
echo "Richte Samba ein ..."
cp config/samba/smb.conf /etc/samba/smb.conf
echo "Richte Kerberos ein ..."
cp config/kerberos/krb5.conf /etc/krb5.conf
echo "Richte Winbind ein ..."
cp config/nsswitch.conf /etc/nsswitch.conf
echo "Erstelle Zertifikate ..."
mkdir -p /etc/ssl/CA/newcerts
mkdir -p /etc/ssl/CA/private
echo ’01’ > /etc/ssl/CA/serial
touch /etc/ssl/CA/index.txt
openssl req -new -x509 -extensions v3_ca -keyout \
/etc/ssl/CA/private/cakey.pem -out /etc/ssl/CA/cacert.pem \
-days 365 -config config/openssl/openssl.cnf
openssl req -new -nodes -out /etc/ssl/CA/req.pem -config \
config/openssl/openssl.cnf
openssl ca -out /etc/ssl/CA/cert.pem -config \
config/openssl/openssl.cnf -infiles /etc/ssl/CA/req.pem
206

KAPITEL 12. INSTALLATIONSSKRIPT
12.3. ANLEITUNG
openssl dhparam -out /etc/freeradius/certs/dh 1024
echo "Erstelle neuen Kerberos Realm ..."
krb5_newrealm
echo "Binde Samba an Active Directory ..."
echo "Gib den AD-Server an:"
read $adserver
echo "Gib einen Administrator-Benutzer an um dich an das AD zu binden:"
read $account
net join -S $adserver -U $account
12.3 Anleitung
Das oben gezeigte Installationsskript ist mit allen zur Installation benötigten Paketen
auf der beigelegten CD-ROM vorhanden. Es kann direkt nach der Installation des
Systems, wie sie in Abschnitt 10.2.1 gezeigt wurde, ausgeführt werden. Das Installationsskript
entspricht im Prinzip der in Abschnitt 10.4 gezeigten Konfiguration und
kann als alternative Installations- und Konfigurationsmethode gesehen werden. Bevor
das Installationsskript jedoch verwendet werden kann, muss die IP-Adresse des Rechners
nach der Anleitung in Abschnitt 10.4.1 konfiguriert werden.
Zunächst muss die auf der CD-ROM mitgelieferte ISO-Datei install-script.iso über
den VMware Infrastructure Client an die Virtuelle Maschine angeschlossen werden
(siehe Abschnitt 2). Anschließend kann in der Konsole von Debian mit dem Befehl
mount /dev/cdrom /media/cdrom das Image eingehängt werden. Nun sind alle für
das Installationsskript benötigten Dateien unter /media/cdrom/ verfügbar. Bevor das
Installationsskript nun jedoch ausgeführt werden kann, müssen die Konfigurationsdateien
angepasst werden. Dazu kopieren wir alle Dateien mit dem Befehl
cp -R /media/cdrom/* /tmp
in ein temporäres Verzeichnis. Danach sind folgende Dateien anzupassen:
• /tmp/debconf/config.dat
• /tmp/freeradius/default
• /tmp/freeradius/eap.conf
207

12.3. ANLEITUNG KAPITEL 12. INSTALLATIONSSKRIPT
• /tmp/freeradius/inner-tunnel
• /tmp/freeradius/radiusd.conf
• /tmp/kerberos/krb5.conf
• /tmp/openssl/openssl.cnf
• /tmp/samba/smb.conf
• /tmp/nsswitch.conf
• /tmp/profile
• /tmp/sources.list
In diesen Dateien müssen die Platzhalter durch entsprechende Werte
ausgetauscht werden. Dabei kann die bei der Variable stehende Beschreibung als Hilfe
verwendet werden. Ebenfalls befinden sich Informationen zur richtigen Auswahl der
Parameter im Security Appendix.
Nachdem in den Konfigurationsdateien die richtigen Werte eingetragen wurden, kann
das Installationsskript gestartet werden. Dabei kann folgender Befehl verwendet werden:
/tmp/script.sh
Während das Installationsskript ausgeführt wird, erscheinen immer wieder Informationen,
die Auskunft über die aktuell ausgeführte Installation geben. Teilweise werden
auch einige Parameter abgefragt, die beantwortet werden müssen. Nach Ausführen des
Installationsskripts sollte das System mit dem Befehl reboot neu gestartet werden.
208

Teil VI
Access Point
209

13 Access Point
Dankenswerterweise haben wir insgesamt vier Cisco Aironet 1242AG Access Points von
der Firma NextiraOne zur Verfügung gestellt bekommen. Aus diesem Grund haben wir
in unserem Testnetzwerk ausschließlich mit diesen Access Points gearbeitet.
13.1 Access Point Eigenschaften
Die Eigenschaften des Access Points können dem Datenblatt von Cisco entnommen
werden. [26]
13.2 VLAN Routing und Bridging Konzept
Um zwischen VLANs zu routen muss der VLAN-Tag erhalten bleiben. Grundsätzlich
werden die original VLAN Header bei Routern beim Eingang entfernt und beim Ausgang
neu geschrieben. Dies bedeutet aber, dass es sich auch bei einer gleichen VLAN-ID
um zwei verschiedene VLANs handelt.
Unter Verwendung der IRB (Integrated Routing and Bridging) Fähigkeiten in Cisco
Geräten kann ein Router so konfiguriert werden, dass der VLAN Header im Frame
erhalten bleibt, während er vom Router von einem Interface zum anderen übertragen
wird.
IRB ermöglicht es, die VLANs mit Hilfe des virtuellen Interfaces BVI (Bridged Group
Virtual Interface) zu übertragen. Der Router kann nun sowohl routen als auch bridgen.
Ein BVI ist ein virtuelles Interface innerhalb eines Routers. Die Interfacenummer ist
die Verbindung zwischen dem BVI und der bridge group (BVI 1 - bridge group 1). BVI
1 repräsentiert die FastEthernetschnittstelle sowie die Funkschnittstelle. [2]
211

13.3. ALLGEMEINE INFORMATIONEN KAPITEL 13. ACCESS POINT
13.3 Allgemeine Informationen
1. In den folgenden Abschnitten werden die Konfigurationen der Access Points gezeigt
und erklärt, welche in unserem Testnetzwerk verwendet wurden. Für individuelle
Konfigurationen oder bei Unklarheiten empfiehlt sich der Konfigurationsguide
von Cisco für Aironet Access Points. [3] Auch die Online Hilfe des Access
Points ist empfehlenswert. Diese kann durch einen Klick auf das Hilfe Symbol in
der rechten oberen Ecke im Webinterface aufgerufen werden.
Abbildung 13.1: Online Hilfe des Access Points
2. Der Access Point bezieht seine IP-Adresse mit den Standardeinstellungen automatisch
über das FastEthernetinterface per DHCP. Diese IP-Adresse wird dem
BVI 1 Interface zugewiesen, da dieses sowohl das FastEthernet als auch das Funkinterface
repräsentiert. Bei einem Access Point mit Werkseinstellungen sind folgende
Einstellungen, welche die IP-Adresszuweisung betreffen, bereits vorkonfiguriert:
interface BVI1
ip address dhcp client-id FastEthernet0
Dies bedeutet, dass der Access Point eine IP-Adresse bekommt, wenn ein DHCP
Server vorhanden ist. Da wir in unserem Testnetzwerk einen DHCP Server haben,
wurde dem Access Point automatisch eine IP-Adresse zugewiesen.
3. Da WEP eine sehr unsichere Verschlüsselung ist, verwenden wir bei unseren Access
Points die wesentlich sicherere WPA2 Verschlüsselung. Hierfür muss allerdings
eine cipher suite verwendet werden, da ansonsten keine WPA Verschlüsselung
möglich ist.
Mit cipher suites können mehrere Verschlüsselungsalgorithmen verwendet werden,
um eine Funkverbindung zu verschlüsseln, und damit die Sicherheit zu verbessern.
212

KAPITEL 13. ACCESS POINT
13.3. ALLGEMEINE INFORMATIONEN
4. Das Shared Secret muss sowohl beim Access Point als auch beim RADIUS Server
dasselbe Passwort sein. Dieses wird benötigt, um die Kommunikation zwischen
Access Point und RADIUS Server zu ermöglichen.
213

13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT
13.4 Konfiguration – Console
Die folgende Konfiguration wurde für unser Testnetzwerk geschrieben.
Die Konfiguration der VLANs unseres Testnetzwerkes können dem Security Appendix
unter Abschnitt VLAN entnommen werden. Hier verwendete VLANs werden nur als
Beispiele verwendet.
In nächsten Abschnitt wird beschrieben wie dies mit Hilfe der Console durchgeführt
wird.
Unsere Konfiguration setzt einen Access Point mit Werkseinstellungen voraus. Dies
wird durch Zurücksetzen des Access Points (siehe Abschnitt 13.4.2) erreicht.
13.4.1 Verbindungsaufbau
Als erstes muss, wie in Kapitel 3.2 beschrieben, eine Verbindung zum Access Point
aufgebaut werden. Dazu muss ein Rollover 1 Kabel am Console Port des Access Points
(siehe Abbildung 13.2) mit dem seriellen Port eines PCs verbunden werden.
Abbildung 13.2: Blaues Rollover Kabel am Console Port
1. Nachdem die Verbindung zum Access Point hergestellt wurde, sollte Folgendes
erscheinen.
1 So bezeichnet Cisco die seriellen Kabel für den Zugriff auf den Consolen Port des Access Points
214

KAPITEL 13. ACCESS POINT
13.4. KONFIGURATION – CONSOLE
Abbildung 13.3: Telnet Verbindung zum AP
13.4.2 Zurücksetzen eines Access Points
Als erstes wird in den privilegierten Modus gewechselt. Dies geschieht mit denselben
Befehlen wie bei anderen Cisco Produkten (Router, Switch). Das Standard enable
Passwort lautet Cisco.
ap>enable
Password: Cisco
Hier muss als erstes der Befehl:
ap#erase startup-config
eingegeben werden. Nach Eingabe dieses Befehls wird eine Warnung angezeigt.
Erasing the nvram filesystem will remove all configuration
files! Continue [confirm]
Fortgesetzt wird mit der Enter-Taste.
Das Löschen der startup-config wird mit folgender Ausgabe bestätigt:
215

13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT
[OK]
Erase of nvram: complete
Anschließend kann mit dem Befehl:
ap#reload
Proceed with reload [confirm]
und Bestätigen mit Enter der Access Point zurückgesetzt werden.
13.4.3 Allgemeine Einstellungen
Zunächst muss in den Globalen Konfigurationsmodus gewechselt werden.
ap#configure terminal
ap(config)#
Danach wird der Hostname des Access Points geändert.
ap(config)#hostname AP1
AP1(config)#
Es empfiehlt sich, das enable Passwort aus Sicherheitsgründen zu ändern. Zudem sollte
dieses stets verschlüsselt werden.
AP1(config)#enable secret
AP1(config)#service password-encryption
216

KAPITEL 13. ACCESS POINT
13.4. KONFIGURATION – CONSOLE
13.4.4 SSH Zugang aktivieren
Um den Access Point über SSH verwalten zu können muss als erstes ein Benutzer
angelegt werden.
AP1(config)#username admin privilege 15 secret
Durch den Zusatz privilege 15 bekommt der neu erstellte User mit dem Namen
admin alle Rechte (Schreiben/Lesen). Zusätzlich wird das Passwort durch secret
verschlüsselt.
Danach muss als erstes ein Domainname definiert werden.
AP1(config)#ip domain name tit.air09
Anschließend wird ein RSA key mit 2048 Bits generiert.
AP1(config)#crypto key generate rsa
How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
Dies kann einige Zeit in Anspruch nehmen. Anschließend wird SSH2 durch folgenden
Befehl aktiviert.
AP1(config)#ip ssh version 2
Nunmehr kann mittels SSH Username: admin und Passwort: , wie in
Kapitel 3.3.2 beschrieben, auf den Access Point zugegriffen werden.
Aus Sicherheitsgründen entfernen wir den vorhandenen Benutzer Cisco. Dies geschieht
mit folgendem Befehl.
AP1(config)#no username Cisco
217

13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT
13.4.5 Telnet deaktivieren
Standardmäßig ist Telnet aktiviert. Um die Sicherheit zu verbessern wird Telnet mit
folgenden Befehlen deaktiviert.
Als erstes muss eine access list angelegt werden
access-list 111 permit tcp any any neq telnet. Danach muss diese access list
dem console terminal und dem virtual terminal zugewiesen werden.
AP1(config)#access-list 111 permit tcp any any neq telnet
AP1(config)#line console 0
AP1(config-line)#access-class 111 in
AP1(config-line)#exit
AP1(config)#line vty 0 15
AP1(config-line)#access-class 111 in
13.4.6 VLANs auf den Schnittstellen einrichten
1. Um VLANs auf dem Access Point zu erstellen, muss für jede Schnittstelle (Fast-
Ethernetinterface, Funkinterface) ein oder mehrere Subinterfaces eingerichtet werden.
Zudem wird die encapsulation dot1Q eingestellt, also das Trunking Protokoll
IEEE 802.1Q verwendet.
2. Jedem VLAN wird durch den Befehl
AP1(config-subif)#description eine Bezeichnung gegeben.
3. Als erstes wird das Native VLAN eingestellt, da über dieses die Access Points
verwaltet werden.
4. Beim Festlegen des Native VLAN wird das Interface automatisch der bridge group 1
zugewiesen.
5. Jedes Subinterface, sowohl FastEthernet als auch Funkinterface (Dot11Radio 0-
1), muss der zugehörigen bridge group zugewiesen werden bridge group x. Dabei
werden für FastEthernetsubinterfaces folgende Konfigurationen automatisch
eingerichtet:
no bridge-group 2 source-learning
bridge-group 2 spanning-disabled
Für Funksubinterfaces werden folgende Konfigurationen automatisch eingerichtet:
218

KAPITEL 13. ACCESS POINT
13.4. KONFIGURATION – CONSOLE
bridge-group 2 subscriber-loop-control
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
bridge-group 2 spanning-disabled
FastEthernetsubinterfaces
In unserem Fall müssen nun 4 Subinterfaces erstellt werden.
VLAN 10 ist das Native VLAN.
AP1(config)#interface fastEthernet 0.10
AP1(config-subif)#description native
AP1(config-subif)#encapsulation dot1Q 10 native
AP1(config-subif)#exit
AP1(config)#
VLAN 30 für Schüler.
AP1(config)#interface fastEthernet 0.30
AP1(config-subif)#description schueler
AP1(config-subif)#encapsulation dot1Q 30
AP1(config-subif)#bridge-group 30
AP1(config-subif)#exit
AP1(config)#
VLAN 40 für Lehrer.
AP1(config)#interface fastEthernet 0.40
AP1(config-subif)#description lehrer
AP1(config-subif)#encapsulation dot1Q 40
AP1(config-subif)#bridge-group 40
AP1(config-subif)#exit
AP1(config)#
VLAN 50 für Gäste.
219

13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT
AP1(config)#interface fastEthernet 0.50
AP1(config-subif)#description guest
AP1(config-subif)#encapsulation dot1Q 50
AP1(config-subif)#bridge-group 50
AP1(config-subif)#exit
AP1(config)#
Funksubinterfaces
Danach werden die Funksubinterfaces interface Dot11Radio 0.x und
interface Dot11Radio 1.x erstellt und mit der Verkapselung encapsulation dot1Q x
konfiguriert. Auch hier muss wieder die entsprechende bridge group bridge group x
zugewiesen werden.
Wir beginnen mit dem Subinterface interface Dot11Radio 0.x:
AP1(config)#interface Dot11Radio 0.10
AP1(config-subif)#description native
AP1(config-subif)#encapsulation dot1Q 10 native
AP1(config-subif)#exit
AP1(config)#
VLAN 30 für Schüler.
AP1(config)#interface Dot11Radio 0.30
AP1(config-subif)#description schueler
AP1(config-subif)#encapsulation dot1Q 30
AP1(config-subif)#bridge-group 30
AP1(config-subif)#exit
AP1(config)#
VLAN 40 für Lehrer.
AP1(config)#interface Dot11Radio 0.40
AP1(config-subif)#description lehrer
AP1(config-subif)#encapsulation dot1Q 40
AP1(config-subif)#bridge-group 40
AP1(config-subif)#exit
AP1(config)#
220

KAPITEL 13. ACCESS POINT
13.4. KONFIGURATION – CONSOLE
VLAN 50 für Gäste.
AP1(config)#interface Dot11Radio 0.50
AP1(config-subif)#description guest
AP1(config-subif)#encapsulation dot1Q 50
AP1(config-subif)#bridge-group 50
AP1(config-subif)#exit
AP1(config)#
Nun werden die Subinterfaces für das Interface interface Dot11Radio 1 konfiguriert:
AP1(config)#interface Dot11Radio 1.10
AP1(config-subif)#description native
AP1(config-subif)#encapsulation dot1Q 10 native
AP1(config-subif)#exit
AP1(config)#
VLAN 30 für Schüler.
AP1(config)#interface Dot11Radio 1.30
AP1(config-subif)#description schueler
AP1(config-subif)#encapsulation dot1Q 30
AP1(config-subif)#bridge-group 30
AP1(config-subif)#exit
AP1(config)#
VLAN 40 für Lehrer.
AP1(config)#interface Dot11Radio 1.40
AP1(config-subif)#description lehrer
AP1(config-subif)#encapsulation dot1Q 40
AP1(config-subif)#bridge-group 40
AP1(config-subif)#exit
AP1(config)#
221

13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT
VLAN 50 für Gäste.
AP1(config)#interface Dot11Radio 1.50
AP1(config-subif)#description guest
AP1(config-subif)#encapsulation dot1Q 50
AP1(config-subif)#bridge-group 50
AP1(config-subif)#exit
AP1(config)#
13.4.7 VLAN Verschlüsselung
Im nächsten Schritt wird festgelegt, welche Verschlüsselung die einzelnen VLANs verwenden.
Dazu muss auf beiden Funkinterfaces interface Dot11Radio die Verschlüsselung
eingestellt werden. Wir haben bei jedem VLAN den Modus ciphers ausgewählt
und dann die Verschlüsselung auf aes-ccm tkip eingestellt.
AP1(config)#interface Dot11Radio 0
AP1(config-if)#encryption vlan 10 mode ciphers aes-ccm tkip
AP1(config-if)#encryption vlan 30 mode ciphers aes-ccm tkip
AP1(config-if)#encryption vlan 40 mode ciphers aes-ccm tkip
AP1(config-if)#encryption vlan 50 mode ciphers aes-ccm tkip
AP1(config-if)#exit
AP1(config)#
AP1(config)#interface Dot11Radio 1
AP1(config-if)#encryption vlan 10 mode ciphers aes-ccm tkip
AP1(config-if)#encryption vlan 30 mode ciphers aes-ccm tkip
AP1(config-if)#encryption vlan 40 mode ciphers aes-ccm tkip
AP1(config-if)#encryption vlan 50 mode ciphers aes-ccm tkip
AP1(config-if)#exit
AP1(config)#
13.4.8 RADIUS Server bestimmen
Dem Access Point muss die IP-Adresse (IP-Adresse: 10.0.20.12) des RADIUS Servers
bekannt gegeben werden. Ebenso ist der Authentifizierungsport 1812 und der Accoun-
222

KAPITEL 13. ACCESS POINT
13.4. KONFIGURATION – CONSOLE
tingport 1813 anzugeben. Zudem muss ein shared secret festgelegt werden. Dieses muss
auch beim RADIUS Server eingetragen werden.
AP1(config)#aaa new-model
AP1(config)#radius-server host 10.0.20.12 auth-port 1812
acct-port 1813 key
Mit den folgenden Befehlen wird der Server der Gruppe mit dem Namen rad_eap1
zugewiesen und konfiguriert.
AP1(config)#aaa group server radius rad_eap1
AP1(config-sg-radius)#server 10.0.20.12 auth-port 1812 acct-port 1813
AP1(config-sg-radius)#exit
Nun wird eine Liste mit dem Namen eap_methods1 für die Anmeldemethode erstellt
und mit der Servergruppe rad_eap1 verbunden. Diese Liste wird benötigt, um dem
Service Set Identifier (SSID) eine Anmeldemethode und den dazugehörigen RADIUS
Server zuzuweisen.
AP1(config)#aaa authentication login eap_methods1 group rad_eap1
Damit der Access Point seinen Hostname %h zum RADIUS Server für die Authentifizierung
sendet, muss folgender Befehl eingegeben werden.
AP1(config)#radius-server attribute 32 include-in-access-req format %h
13.4.9 SSID erstellen
Hier wird beschrieben wie eine SSID erstellt wird und diese einem VLAN zugewiesen
wird. Es wird nur ein SSID benötigt, da wir VLAN assignment verwenden. Wir weisen
der SSID guest das VLAN 5 zu.
AP1(config)#dot11 ssid guest
AP1(config-ssid)#vlan 50
223

13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT
Nun wird die Authentifizierungsmethode für diese SSID festgelegt. Dabei verwenden
wir die offene Authentifizierungsmethode. Zusätzlich wird hier das Protokoll EAP
(Extensible Authentication Protocoll) gewählt. Danach muss noch die EAP-Liste gewählt
werden, die die Informationen des RADIUS Servers beinhaltet (eap_methods1 ).
authentication open eap eap_methods1. Als Letztes wird noch die Verschlüsselung
auf WPA2 eingestellt.
AP1(config-ssid)#authentication open eap eap_methods1
AP1(config-ssid)#authentication key-management wpa version 2
Durch den folgenden Befehl wird die SSID ausgestrahlt (sichtbar).
AP1(config-ssid)#guest-mode
AP1(config-ssid)#exit
AP1(config)#
13.4.10 SSID den Funkinterfaces zuweisen
Die SSID muss jedem Funkinterface einzeln zugewiesen werden. Wichtig ist hierbei der
Befehl no shutdown damit die Interfaces eingeschaltet werden.
AP1(config)#interface Dot11Radio 0
AP1(config-if)#ssid guest
AP1(config-if)#no shutdown
AP1(config-if)#exit
AP1(config)#
AP1(config)#interface Dot11Radio 1
AP1(config-if)#ssid guest
AP1(config-if)#no shutdown
AP1(config-if)#exit
AP1(config)#
Bestätigt wird das Einschalten der Interfaces mit folgender Ausgabe (für Dot11Radio0):
224

KAPITEL 13. ACCESS POINT
13.4. KONFIGURATION – CONSOLE
%LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset
%DOT11-6-FREQ_SCAN: Interface Dot11Radio0, Scanning frequencies
for 22 seconds
%DOT11-6-FREQ_USED: Interface Dot11Radio0, frequency 2412 selected
%LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Dot11Radio0, changed
state to up
13.4.11 Speichern der running-config
Da bei einem Stromausfall des Access Points die running-config verloren geht, empfiehlt
es sich, diese zu speichern. Mit folgendem Befehl wird die running-config auf
dem Access Point abgespeichert:
AP1#copy running-config startup-config
Destination filename [startup-config]
Building configuration...
[OK]
AP1#
225

13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT
13.5 Konfiguration – Webinterface
In diesem Abschnitt wird beschrieben, wie die Konfiguration des Access Points mit
Hilfe des Webinterfaces durchgeführt wird.
Unsere Konfiguration setzt einen Access Point mit Werkseinstellungen voraus. Dies
wird durch Zurücksetzen des Access Points (siehe Abschnitt 13.4.2) erreicht.
13.5.1 Verbindungsaufbau
Um eine Verbindung aufbauen zu können, wird zunächst die IP-Adresse des BVI 1
benötigt. Diese erhält man entweder vom DHCP Server oder über die Console vom
Access Point mit dem Befehl:
ap>enable
Password: Cisco
ap#show interfaces BVI 1
Danach muss im Internet Explorer (Es muss der Internet Explorer verwendet werden)
die IP-Adresse eingegeben werden.
Abbildung 13.4: Verbindung zum Webinterface
Nach Eingabe der IP-Adresse gelangt man zur Passwortabfrage. Hier muss das globale
Passwort eingegeben werden. Dieses lautet standardmäßig Cisco.
226

KAPITEL 13. ACCESS POINT
13.5. KONFIGURATION – WEBINTERFACE
Abbildung 13.5: Passworteingabe
Nach Bestätigung mit OK erscheint im Internet Explorer der Home-Bereich des Access
Point Webinterface.
Abbildung 13.6: Home-Bereich
13.5.2 Allgemeine Einstellungen
Als Erstes wird der Hostname des Access Points von ap auf AP1 geändert. Dazu wird
auf der linken Seite im Menü auf Express-Setup geklickt. Anschließend kann im oberen
227

13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT
Bereich bei Host Name: der Hostname geändert werden.
Abbildung 13.7: Hostnamen ändern
Allgemein werden Änderungen durch klick auf den Apply-Button bestätigt.
Abbildung 13.8: Bestätigen durch Apply
Anschließend erscheint eine Warnung die mit klick auf OK bestätigt wird. Dabei werden
die Einstellungen sofort in die startup-config gespeichert.
228

KAPITEL 13. ACCESS POINT
13.5. KONFIGURATION – WEBINTERFACE
Abbildung 13.9: Warnung bestätigen
Um das enable Passwort zu ändern muss im Menü auf SECURITY und anschließend
auf Admin Access geklickt werden.
Hier wird im Bereich Default Authentication (Global Password) das neue Passwort
eingegeben. Dabei wird ein enable secret password in die Konfiguration des Access
Points gespeichert, welches verschlüsselt ist.
Abbildung 13.10: enable Passwort ändern und verschlüsseln
Natürlich muss auch hier wieder die Eingabe durch Klick auf Apply und anschließendem
Klick auf OK bestätigt werden.
Da nun das enable Passwort geändert wurde, verlangt der Access Point, dass man sich
mit dem neuen Kennwort erneut beim Webinterface anmeldet.
229

13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT
Abbildung 13.11: Neues enable Passwort eingeben
13.5.3 SSH Zugang aktivieren
Um den Access Point über SSH verwalten zu können, legen wir als Erstes einen neuen
Benutzer an. Dies geschieht ebenfalls im Menüunterpunkt Admin Access.
Im unteren Bereich können neue Benutzer hinzugefügt werden. Dazu geben wir bei
Username: den Usernamen admin und bei Password: das Passwort
ein. Bestätigt wird die Passworteingabe durch das Textfeld Confirm Password:. Da
dieser User sowohl Lese- als auch Schreibrecht besitzen soll, wählen wir bei Capability
Settings: Read-Write.
Abbildung 13.12: Admin User anlegen
230

KAPITEL 13. ACCESS POINT
13.5. KONFIGURATION – WEBINTERFACE
Bestätigen der Eingabe wieder durch Apply und OK.
Wir sehen nun im Feld User List:, dass der neue User erstellt wurde. Hier können
erstellte Benutzer gelöscht bzw. bearbeitet werden. Es muss mindestens ein Benutzer
vorhanden sein.
Abbildung 13.13: Userliste
Um nun SSH zu aktivieren, muss im Menü auf SERVICES und danach auf Telnet/SSH
geklickt werden. Hier muss im Abschnitt Secure Shell Configuration bei Secure Shell:
SSH aktiviert (Enable) werden. Der Domain Name wird bei Domain Name: eingegeben.
Bei RSA Key Size (optional): geben wir 2048 Bits ein. Mit dem Webinterface kann
allerdings nur die SSH Version 1.99 aktiviert werden. Soll SSH2 aktiviert werden, muss
dies wie in Abschnitt 13.4.4 gezeigt, über die Console konfiguriert werden.
231

13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT
Abbildung 13.14: SSH aktivieren
Auch hier mit Apply und anschließendem OK die Eingabe bestätigen. Jetzt kann mittels
SSH Username: admin und Passwort: wie in Kapitel 3.3.2 auf den
Access Point zugegriffen werden.
13.5.4 Telnet deaktivieren
Standardmäßig ist Telnet aktiviert. Aus Sicherheitsgründen wird Telnet im folgenden
Schritt deaktiviert. Dies geschieht ebenfalls im Menüunterpunkt Telnet/SSH im Abschnitt
Telnet.
232

KAPITEL 13. ACCESS POINT
13.5. KONFIGURATION – WEBINTERFACE
Abbildung 13.15: Funkinterface Status
Bestätigen durch Apply und OK.
13.5.5 VLANs erstellen
VLANs werden im Menüunterpunkt VLAN bei SERVICES erstellt. Wir legen zuerst
das Native VLAN an. Dazu wird bei VLAN ID: die VLAN-ID eingetragen (in unserem
Fall 10). Danach kann dem VLAN bei VLAN Name (optional): eine Beschreibung
gegeben werden. Das Native VLAN wird durch einen Hacken bei Native VLAN festgelegt.
Jedes VLAN muss mindestens einem Funkinterface (Radio0-802.11G und oder Radio1-
802.11A) zugewiesen werden.
233

13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT
Abbildung 13.16: Native VLAN erstellen
Nach dem Bestätigen mit Apply wird eine Warnung angezeigt.
Abbildung 13.17: VLAN Warnung
Dies bedeutet, dass nun jede SSID, die erstellt wird, einem VLAN zugewiesen werden
muss. Ansonsten werden diese nicht zugewiesenen SSIDs deaktiviert. Wir bestätigen
durch OK.
Anschließend können die restlichen VLANs erstellt werden. Hier muss lediglich die
VLAN-ID, sowie das Zuweisen zu den Funkinterfaces eingestellt werden.
234

KAPITEL 13. ACCESS POINT
13.5. KONFIGURATION – WEBINTERFACE
Abbildung 13.18: VLANs erstellen
Jedes neue VLAN muss über Apply und OK bestätigt werden. Die einzelnen VLANs
können später über die Current VLAN List bearbeitet werden.
Abbildung 13.19: VLAN Liste
13.5.6 VLAN Verschlüsselung
Im nächsten Schritt wird konfiguriert, wie die einzelnen VLANs verschlüsselt werden.
Dabei muss auf den Menüpunkt SECURITY und danach auf Encryption Manager
geklickt werden. Hier wird bei Set Encryption Mode and Keys for VLAN: das VLAN
ausgewählt. Anschließend kann festgelegt werden, wie das ausgewählte VLAN ver-
235

13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT
schlüsselt werden soll.
Wir haben für jedes VLAN Cipher AES CCMP + TKIP gewählt.
Abbildung 13.20: VLANs verschlüsseln
Nach jeder Änderung muss wieder auf Apply und OK geklickt werden.
13.5.7 RADIUS Server bestimmen
Nun müssen noch die Daten des RADIUS Servers (IP-Adresse: 10.0.20.12) eingegeben
werden. Dazu klicken wir im Menü bei SECURITY auf Server Manager. Hier muss bei
Server: die IP-Adresse (10.0.20.12) des RADIUS Server angegeben werden. Bei Shared
Secret: muss dasselbe Passwort wie beim RADIUS Server angegeben werden. Der
Authentifizierungsport 1812 wird im Feld Authentication Port (optional): eingegeben.
Beim Feld Accounting Port (optional): wird der Port 1813 eingetragen.
236

KAPITEL 13. ACCESS POINT
13.5. KONFIGURATION – WEBINTERFACE
Abbildung 13.21: RADIUS Server Daten eintragen
Apply und OK darf nicht vergessen werden.
13.5.8 SSID erstellen
Jetzt kann eine SSID erstellt werden. Dazu klickt man im Menü auf SSID Manager.
Dieser Menüunterpunkt befindet sich ebenfalls bei SECURITY.
Zuerst muss im oberen Bereich SSID Properties der Name der SSID bei SSID: eingetragen
werden. Danach wird die SSID über VLAN: einem VLAN zugewiesen. Wir haben
hier das VLAN 50 gewählt. Die SSID muss mindestens einem Funkinterface zugewiesen
werden. Wir haben bei Interface: beide Funkschnittstellen sowohl Radio0-802.11G als
auch Radio1-802.11A ausgewählt.
Abbildung 13.22: SSID erstellen
237

13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT
Danach wird etwas weiter unten Client Authentication Settings die Authentifizierungsmethode
eingestellt. Hier wird Open Authentication: with EAP ausgewählt. Bei Server
Priorities: wird der in Abschnitt 13.5.7 definierte RADIUS Server eingestellt. Wenn
mehrere RADIUS Server erstellt wurden, können diese bei den einzelnen Prioritäten
eingetragen werden. Dies dient als Backup, falls ein Server ausfallen sollte.
Abbildung 13.23: Authentifizierungsmethode der SSID festlegen
WPA2 wird im Bereich Client Authenticated Key Management eingestellt. Hier wird
bei Key Management: Mandatory ausgewählt. Dies bedeutet, dass WPA2 verwendet
werden muss. Aktiviert wird WPA über Enable WPA und die Version durch WPAv2
ausgewählt.
Abbildung 13.24: Key Management WPA2
238

KAPITEL 13. ACCESS POINT
13.5. KONFIGURATION – WEBINTERFACE
Danach muss vor dem Bereich Guest Mode/Infrastructure SSID Settings auf Apply und
dann auf OK geklickt werden.
SSID ausstrahlen
Nun kann im Bereich Guest Mode/Infrastructure SSID Settings festgelegt werden, ob
die SSID ausgestrahlt werden soll oder nicht. Wenn dies wie in unserem Fall ausgestrahlt
werden soll, muss bei Set Single Guest Mode SSID: die SSID guest ausgewählt
werden.
Abbildung 13.25: SSID in guest mode setzen
Beim Klick auf guest wird eine Warnung angezeigt.
Abbildung 13.26: Key Management WPA2
Da unsere guest SSID beiden Funkinterfaces zugewiesen ist, wird diese auch auf bei-
239

13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT
den Interfaces ausgestrahlt (sichtbar). Wir bestätigen mit OK. Durch die angezeigte
Warnung wird nun durch Klick auf Apply und OK die SSID auf beiden Interfaces (A
und G) als Single Guest Mode SSID gesetzt.
Abbildung 13.27: Guest Mode SSID auf beiden Interfaces
13.5.9 Funkinterface aktivieren
Zum Schluss müssen noch beide Funkinterfaces aktiviert werden. Dazu klickt man im
Menü auf NETWORK INTERFACES und dann muss jedes Funkinterface einzeln aktiviert
werden. In der Abbildung 13.28 wird gezeigt, wie das Radio0-802.11G aktiviert
wird. Dabei muss noch der Reiter SETTINGS ausgewählt werden.
240

KAPITEL 13. ACCESS POINT
13.6. RUNNING-CONFIG
Abbildung 13.28: Funkinterface aktivieren
Danach muss die Änderung mit Apply und OK bestätigt werden.
Nach kurzer Zeit sollte das Funkinterface aktiviert sein. Dies wird durch den Current
Status (Software/Hardware): angezeigt.
Abbildung 13.29: Funkinterface Status
Kurz nach dem Ändern des Status auf Enable wird das Funkinterface als Disabled und
Down angezeigt. Nach kurzer Wartezeit und anschließendem Aktualisieren des Browsers
mit der F5-Taste sollte das Funkinterface aktiviert sein.
Dasselbe muss für das Radio1-802.11A gemacht werden.
13.6 running-config
Hier sehen wir die aktuelle Konfiguration des Access Points welche über das Command
Line Interface mit Hilfe des Befehls show running-config angezeigt werden kann.
241

13.6. RUNNING-CONFIG KAPITEL 13. ACCESS POINT
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AP1
!
enable secret 5 $1$.Zno$.xPILuQWzEgeTfiA4rXay1
!
aaa new-model
!
!
aaa group server radius rad_eap1
server 10.0.20.12 auth-port 1812 acct-port 1813
!
aaa authentication login eap_methods1 group rad_eap1
!
aaa session-id common
ip domain name tit.air09
!
!
ip ssh version 2
!
dot11 ssid guest
vlan 50
authentication open eap eap_methods2
authentication key-management wpa version 2
guest-mode
!
power inline negotiation prestandard source
!
!
username admin privilege 15 secret 5 $1$o4qm$elc67CZrkHFrMNRgKGfR0/
!
bridge irb
!
!
interface Dot11Radio0
no ip address
242

KAPITEL 13. ACCESS POINT
13.6. RUNNING-CONFIG
no ip route-cache
!
encryption mode ciphers aes-ccm tkip
!
encryption vlan 10 mode ciphers aes-ccm tkip
!
encryption vlan 30 mode ciphers aes-ccm tkip
!
encryption vlan 40 mode ciphers aes-ccm tkip
!
encryption vlan 50 mode ciphers aes-ccm tkip
!
ssid guest
!
station-role root
!
interface Dot11Radio0.10
description native
encapsulation dot1Q 10 native
no ip route-cache
bridge-group 1
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.30
description schueler
encapsulation dot1Q 30
no ip route-cache
bridge-group 30
bridge-group 30 subscriber-loop-control
bridge-group 30 block-unknown-source
no bridge-group 30 source-learning
no bridge-group 30 unicast-flooding
bridge-group 30 spanning-disabled
!
interface Dot11Radio0.40
description lehrer
encapsulation dot1Q 40
no ip route-cache
bridge-group 40
243

13.6. RUNNING-CONFIG KAPITEL 13. ACCESS POINT
bridge-group 40 subscriber-loop-control
bridge-group 40 block-unknown-source
no bridge-group 40 source-learning
no bridge-group 40 unicast-flooding
bridge-group 40 spanning-disabled
!
interface Dot11Radio0.50
description guest
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 block-unknown-source
no bridge-group 50 source-learning
no bridge-group 50 unicast-flooding
bridge-group 50 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm tkip
!
encryption vlan 10 mode ciphers aes-ccm tkip
!
encryption vlan 30 mode ciphers aes-ccm tkip
!
encryption vlan 40 mode ciphers aes-ccm tkip
!
encryption vlan 50 mode ciphers aes-ccm tkip
!
ssid guest
!
no dfs band block
channel dfs
station-role root
!
interface Dot11Radio1.10
description native
encapsulation dot1Q 10 native
no ip route-cache
bridge-group 1
bridge-group 1 block-unknown-source
244

KAPITEL 13. ACCESS POINT
13.6. RUNNING-CONFIG
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1.30
description schueler
encapsulation dot1Q 30
no ip route-cache
bridge-group 30
bridge-group 30 subscriber-loop-control
bridge-group 30 block-unknown-source
no bridge-group 30 source-learning
no bridge-group 30 unicast-flooding
bridge-group 30 spanning-disabled
!
interface Dot11Radio1.40
description lehrer
encapsulation dot1Q 40
no ip route-cache
bridge-group 40
bridge-group 40 subscriber-loop-control
bridge-group 40 block-unknown-source
no bridge-group 40 source-learning
no bridge-group 40 unicast-flooding
bridge-group 40 spanning-disabled
!
interface Dot11Radio1.50
description guest
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 block-unknown-source
no bridge-group 50 source-learning
no bridge-group 50 unicast-flooding
bridge-group 50 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed aut
!
245

13.6. RUNNING-CONFIG KAPITEL 13. ACCESS POINT
interface FastEthernet0.10
description native
encapsulation dot1Q 10 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.30
description schueler
encapsulation dot1Q 30
no ip route-cache
bridge-group 30
no bridge-group 30 source-learning
bridge-group 30 spanning-disabled
!
interface FastEthernet0.40
description lehrer
encapsulation dot1Q 40
no ip route-cache
bridge-group 40
no bridge-group 40 source-learning
bridge-group 40 spanning-disabled
!
interface FastEthernet0.50
description guest
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
no bridge-group 50 source-learning
bridge-group 50 spanning-disabled
!
interface BVI1
ip address dhcp client-id FastEthernet0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/
help/eag
ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
246

KAPITEL 13. ACCESS POINT
13.6. RUNNING-CONFIG
radius-server host 10.0.20.12 auth-port 1812 acct-port 1813 key 7
130446005B5549382A20212626
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
access-class 111 in
line vty 0 4
access-class 111 in
login local
line vty 5 15
access-class 111 in
login
!
end
247

13.6. RUNNING-CONFIG KAPITEL 13. ACCESS POINT
248

Teil VII
Qualitätssicherung
249

14 Wochenmails
14.1 Beispiel
Wochenmail der KW13 von Felix Tiefenthaler an Prof. Roland Sandholzer
Arbeiten in der KW13
• Installation eines Debian 5.0 Servers
• Konfiguration von Samba, Kerberos, Winbind, Freeradius
Probleme in der KW13
Momentaner Stand
• Der Zugriff von Debian auf das AD scheint zu funktionieren. Es ist möglich, sich
auf dem Debian Server lokal mit einem Benutzernamen des AD zu authentifizieren
(über winbind).
• Es gibt jedoch noch Probleme, den Debian Server bzw. den Samba Server an das
AD als Memberserver () zu binden.
• Es ist möglich sich vom AP aus mit einem lokalen Benutzernamen des Debian
Servers zu authentifizieren.
• Eine Authentifizierung auf dem AP mit einem Benutzernamen aus dem AD funktioniert
nicht (rejected).
• Samba, Kerberos, Winbind und Freeradius sind grundsätzlich installiert und konfiguriert.
• Weitere Konfigurationen und Funktionstests laufen.
Geplante Arbeiten in der KW14
• weitere Konfigurations- und Testarbeiten
251

14.1. BEISPIEL KAPITEL 14. WOCHENMAILS
252

15 Besprechungsprotokolle
Im Laufe der Diplomarbeit standen immer wieder Besprechungen mit unserem Projektbetreuer
bzw. mit Nextira One an, um die weitere Vorgehensweise planen zu können.
Diese Besprechungen hatten für uns den Vorteil, dass wir zum einen ungefähren Anhaltspunkt
zum aktuellen Projektstand hatten. Alle besprochenen Themen wurden dabei
in einem Besprechungsprotokoll festgehalten. Dadurch konnten wir später leichter
feststellen, welche Entscheidungen wann getroffen wurden.
15.1 Beispiel
Besprechungsprotokoll vom 11. November 2008
Anwesend
• Gopp Mathias
• Pucher Franz
• Tiefenthaler Felix
Experimenteller Aufgabenplan
• Testgerät von Nextira One in Betrieb nehmen
• Tests mit eingeschränktem Benutzerfeld
• Ausweitung der Tests auf die gesamte Klasse
• Inbetriebnahme eines Microsoft Windows Servers
• Integration des Windows Servers in das WLAN-Netzwerk
Konzeptioneller Aufgabenplan
• Protokoll-Ebene
253

15.1. BEISPIEL KAPITEL 15. BESPRECHUNGSPROTOKOLLE
• CSMA/CA
• Standards: 802.11a/b/g/n
• Wie funktioniert eine Übertragung
• Richtige Performancetests → Automatisierung
• Elektromagnetische Strahlung/Auswirkungen, Gesundheitliche Aspekte
Dokumentation
• Beginn der Diplomdokumentation
• Struktur/Inhaltsverzeichnis
• Beginn einzelner Teile
Zeitplanung
• Must have/should have/nice to have
• Grobe Abschätzung (Zeitaufwand)
• Aufteilung der Arbeiten
• Grober Zeitplan
254

16 Subversion
16.1 Einführung
Subversion (SVN) ist eine Open-Source-Software zur Versionsverwaltung von Dateien
und Verzeichnissen. Damit ist es möglich, eine Versionsverwaltung in Form eines
zentralen Projektarchiv (engl. repository) mit einer einfachen Revisionszählung zu realisieren.
Ein weiterer großer Vorteil liegt in der gesteigerten Produktivität, die durch
SVN erlangt wird. In unserem Fall war es durch den Einsatz von SVN und L A TEX möglich,
zur selben Zeit an der Dokumentation arbeiten zu können. Nach abgeschlossener
Arbeit wurden die getätigten Änderungen einfach mit dem SVN-Server synchronisiert,
wodurch alle Projektmitglieder wieder auf dem selben Stand waren. [28]
16.2 Verwendung
In unserer Diplomarbeit wurde SVN für jene Inhalte verwendet, die für alle Projektmitglieder
von Bedeutung waren (z.B. Dokumentation, Pflichtenheft, Präsentation, . . . ).
Da unsere Dokumentation mit L A TEX geschrieben wurde ergab sich duch SVN ein sehr
großer Vorteil: Die Dokumentation setzt sich aus mehreren TEX-Dateien zusammen.
Diese werden in einer Wurzeldatei zusammengefasst. Dadurch kann jedes Projektmitglied
an seiner eigenen TEX-Datei arbeiten, ohne den anderen dadurch in die Quere
zu kommen. Gibt es jedoch trotzdem einen Konflikt zwischen zwei Revisionen, meldet
SVN dies und der Konflikt kann manuell beseitigt werden. Der SVN-Server konnte
unter der Adresse http://fhost1.no-ip.info/air09 erreicht werden.
Mit SVN ist es auch sehr leicht möglich, ein Sicherung der Daten durchführen zu
können. Es gibt fertige Befehle, die es erlauben, einen sogenannten Dump zu erstellen.
Diese Sicherungen wurden auf unserem SVN-Server, der unter http://fhost1.
no-ip.info/backup erreicht werden kann, gespeichert. Diese Sicherungen wurden täglich
erstellt. Gleichzeitig wurden die Sicherungen täglich auf einen zweiten Server
(http://fhost2.no-ip.info/backup) gesichert.
255

16.3. SOFTWARE KAPITEL 16. SUBVERSION
Für den SVN-Server verwendeten wir einen vServer des Beta-Programms der Firma
EU-Serv mit Debian 5.0. Der SVN-Server wurde anhand einer Anleitung auf ubuntuusers.de
installiert. [20]
16.3 Software
Wir verwendeten als SVN-Server das kostenlos verfügbare Programm Subversion. Es
kann aus den Paketquellen von Debian/Ubuntu bezogen werden. Als SVN-Client verwendeten
wir hauptsächlich das Programm SVN Workbench, welches für Ubuntu Linux
frei verfügbar ist. Teilweise wurde auch TortoiseSVN für Windows als SVN-Client verwendet.
Dieses Programm ist ebenfalls kostenlos verfügbar.
256

17 Wiki
17.1 Einführung
Zur Dokumentation unseres Projektes wurde während des Jahres hauptsächlich ein
Wiki verwendet. Dabei diente das Wiki zum Datenaustausch zwischen den einzelnen
Projektmitgliedern. Diese Entscheidung wurde deshalb getroffen, weil ein solches
System den Vorteil hat, dass die Daten quasi von überall aus verfügbar sind
und ein Wiki gleichzeitig plattformunabhängig ist. Größtenteils wurde das Wiki zur
Verwaltung der wöchentlichen E-Mails, zur Aufzeichnung der Stundenübersicht und
zur allgemeinen Verwaltung von wichtigen Dokumenten verwendet. Das Wiki wurde
auf einem Linux-Server installiert, der durchgehend in Betrieb ist. Unter der Adresse
http://wiki.air09.net kann auf das Wiki zugegriffen werden. [29]
17.2 Software
Das Wiki wurde auf der Plattform Mediawiki betrieben. [30]
257

17.2. SOFTWARE KAPITEL 17. WIKI
258

18 Stundenaufzeichnung
259

18.1. MATHIAS GOPP KAPITEL 18. STUNDENAUFZEICHNUNG
18.1 Mathias Gopp
Art der Arbeit Zeit in der Schule [h] Zeit zu Hause [h] Summe [h]
Dokumentation 10 51 61
Konfiguration 87 48 135
Organisatorisches 8 12 20
Recherche 11 41 52
Testen 32 27 59
148 179 327
Abbildung 18.1: Stundenaufteilung Mathias Gopp
Abbildung 18.2: Gesamtaufwand Mathias Gopp
260

KAPITEL 18. STUNDENAUFZEICHNUNG
18.2. FRANZ PUCHER
18.2 Franz Pucher
Art der Arbeit Zeit in der Schule [h] Zeit zu Hause [h] Summe [h]
Dokumentation 24 53 77
Konfiguration 60 62 122
Organisatorisches 23 11 34
Recherche 24 32 56
Testen 17 26 43
148 184 332
Abbildung 18.3: Stundenaufteilung Franz Pucher
Abbildung 18.4: Gesamtaufwand Franz Pucher
261

18.3. FELIX TIEFENTHALER KAPITEL 18. STUNDENAUFZEICHNUNG
18.3 Felix Tiefenthaler
Art der Arbeit Zeit in der Schule [h] Zeit zu Hause [h] Summe [h]
Dokumentation 25 61 86
Konfiguration 59 73 132
Organisatorisches 23 14 37
Recherche 24 31 55
Testen 17 34 51
148 213 361
Abbildung 18.5: Stundenaufteilung Felix Tiefenthaler
Abbildung 18.6: Gesamtaufwand Felix Tiefenthaler
262

19 Zeitplan
263

KAPITEL 19. ZEITPLAN
Abbildung 19.1: Zeitplan
264

KAPITEL 19. ZEITPLAN
Abbildung 19.2: Balkendiagramm
265

266
KAPITEL 19. ZEITPLAN

20 Danksagung
Wir möchten uns ganz herzlich bei den folgenden Personen für ihre große Hilfe bei der
Erstellung dieser Diplomarbeit und der beschaffung der benötigten Hardware bedanken.
Ohne ihre Hilfe wäre es nicht möglich gewesen, ein solches Projekt zu realisieren.
Unseren Familien und Freunden
Unserem Projektbetreuer Prof. Dipl.Ing. Dr. Roland Sandholzer
Der Firma Nextira One für die Bereitstellung der Access Points
Der Firma Pantec AG für die Bereitstellung der Server-Hardware
Herrn Christoph Fink für die Bereitstellung des Servers für unser Doku-Wiki
267

268

Literaturverzeichnis
[1] Wikipedia: RADIUS http: // de. wikipedia. org/ wiki/ RADIUS
[2] Cisco: Understanding and Configuring VLAN Routing and Bridging on a Router
Using the IRB Feature http: // www. cisco. com/ en/ US/ tech/ tk389/ tk815/
technologies_ tech_ note09186a0080094663. shtml
[3] Cisco IOS Software Configuration Guide for Cisco Aironet Access Points,
12.4(3g)JA & 12.3(8)JEB
http: // cisco. com/ en/ US/ docs/ wireless/ access_ point/ 12. 4_ 3g_ JA/
configuration/ guide/ ios1243gjaconfigguide. html
[4] FIPS 140-2 http: // csrc. nist. gov/ cryptval/
[5] Wikipedia: WPA2 http: // de. wikipedia. org/ wiki/ WPA2
[6] Wikpedia: AES
http: // de. wikipedia. org/ wiki/ Advanced_ Encryption_ Standard
[7] Wikipedia: IEEE 802.1X http: // de. wikipedia. org/ wiki/ IEEE_ 802. 1X
[8] Uni-Regensburg: IEEE 802.1X
http: // www-wlan. uni-regensburg. de/ 8021x. html
[9] Microsoft: IEEE 802.1X http: // www. microsoft. com/ germany/ technet/
datenbank/ articles/ 900933. mspx
[10] Wikipedia: Virtualisierung
http: // de. wikipedia. org/ wiki/ Virtualisierung_ ( Informatik)
[11] Wikipedia: Telnet http: // de. wikipedia. org/ wiki/ Telnet
[12] Wikipedia: SSH http: // de. wikipedia. org/ wiki/ Ssh
[13] Wikipedia: RSA-Kryptosystem
http: // de. wikipedia. org/ wiki/ RSA-Kryptosystem
[14] Erklärung eines DHCP-Anfrage
http: // www. planet-rcs. de/ article/ dhcp_ howto/
[15] Wikipedia: Microsoft Active Directory
http: // de. wikipedia. org/ wiki/ Active_ Directory
269

Literaturverzeichnis
Literaturverzeichnis
[16] Wikipedia: LDAP http:
// de. wikipedia. org/ wiki/ Lightweight_ Directory_ Access_ Protocol
[17] Wikipedia: WINS http: // de. wikipedia. org/ wiki/ Wins
[18] Wikipedia: DNS http: // de. wikipedia. org/ wiki/ Domain_ Name_ System
[19] IEEE Standard for Information technology
http: // standards. ieee. org/ getieee802/ download/ 802. 11-2007. pdf
[20] ubuntuusers.de/Wiki: Subversion http: // wiki. ubuntuusers. de/ subversion
[21] ubuntuusers.de Wiki http: // wiki. ubuntuusers. de
[22] ubuntuusers.de Forum http: // forum. ubuntuusers. de
[23] howtoforge.com: Aufsetzen eines FreeRADIUS Servers
http://www.howtoforge.com/setting-up-a-freeradius-based-aaaserver-with-mysql-and-management-with-daloradius
[24] freeradius.org/Wiki: FreeRADIUS mit Active Directory Integration
http: // wiki. freeradius. org/ FreeRADIUS_ Active_ Directory_
Integration_ HOWTO
[25] debian-administration.org: Certificate Authority und Zertifikate erstellen
http: // www. debian-administration. org/ articles/ 284
[26] Cisco: Eigenschaften des Cisco Aironet 1242AG
http: // www. cisco. com/ en/ US/ prod/ collateral/ wireless/ ps5678/
ps6521/ product_ data_ sheet0900aecd8031c844. html
[27] Lüders Christian: Lokale Funknetze, Vogel Buchverlag Würzburg
[28] Wikipedia: SVN http: // de. wikipedia. org/ wiki/ Subversion_ ( Software)
[29] Wikipedia: Wiki http: // de. wikipedia. org/ wiki/ Wiki
[30] Wikimedia: Wiki http: // www. mediawiki. org/ wiki/ MediaWiki
[31] Sourceforge: Tera Term
http: // ttssh2. sourceforge. jp/ manual/ en/ commandline/ teraterm. html
[32] Tera Term 6.40:
http: // sourceforge. jp/ projects/ ttssh2/ releases/ fulllist= 1&_ sl= 1
[33] Hardwareangaben: http:
// www4. dealtime. com/ xPF-Dell-DELL-POWEREDGE-4400-DUAL-1-0GHZ
270

Glossar
Forward-Lookup-Zone
Umsetzung von Domänennamen in IP-Adressen
FreeRADIUS
Open Source Authentifizierungsserver
IEEE 802.11a
Der 802.11a Standard hat eine Übertragungsgeschwindigkeit von 6-54Mbits. Dieser
Standard sendet im 5GHz Bereich und basiert auf einer OFDM-Modulation.
IEEE 802.11b
Der 802.11b Standard hat eine Übertragungsgeschwindigkeit von 5,5-11Mbits.
Dieser Standard sendet im 2,4GHz Bereich in 3 sich nicht überlagernden Kanälen.
IEEE 802.11g
Der 802.11g Standard hat eine Übertragungsgeschwindigkeit von 6-54Mbits. Dieser
Standard sendet im 2,4GHz Bereich. Hier können Störungen durch Geräte
auftreten, die im selben Frequenzbereich senden, wie z.B. Bluetooth-Geräte und
Mikrowellenherde.
IEEE 802.11n
802.11n derzeit nur als Entwurf vorliegend, soll zur Datenübertragung die Technik
Multiple Input Multiple Output (MIMO) nutzen. Dadurch sollen von bestehenden
WLAN-Techniken erreichte Datenraten über größere Distanzen erreicht
werden oder aber auf gleicher Distanz eine höhere Datenrate als bisher ermöglicht
werden. 802.11n kann sowohl im 2,4-GHz-Frequenzbereich, als auch im 5-GHz-
Frequenzbereich arbeiten. Der Kompatibilitätsmodus ermöglicht eine Koexistenz
von 802.11n- und bestehenden 802.11a/b/g-Netzen
IEEE 802.1X
LaTeX
Standard zur Authentisierung in Rechnernetzwerken
LaTeX ist ein Softwarepaket, das die Benutzung des Textsatzprogramms TeX mit
Hilfe von Makros vereinfacht
271

Glossar
Glossar
Microsoft Active Directory
Verzeichnisdienst der Firma Microsoft
Microsoft IAS Server
Proprietärer Authentifizierungsserver der Firma Microsoft
OSI-Modell
Als OSI-Modell wird ein Schichtenmodell der Internationalen Standardisierungsorganisation
(ISO) bezeichnet. Es wurde als Designgrundlage von Kommunikationsprotokollen
entwickelt
Reverse-Lookup-Zone
RSA
Snapshot
Telnet
Wiki
Umsetzung von IP-Adressen in Domänennamen
Ronald L. Rivest, Adi Shamir und Leonard Adleman
Momentanabbild einer Virtuellen Maschine
Bidirektionale Verbindung zu meist internetfähigen Geräten
Wiki ist eine Enzyklopädie, die wir für den Austausch von Informationen für
unser Projekt verwendet haben.
272

Abkürzungsverzeichnis
Active Directory (AD)
Verzeichnisdienst
Advanced Encryption Standard (AES)
Symmetrisches Kryptosystem
American National Standards Institute (ANSI)
US-amerikanische Stelle zur Normung industrieller Verfahrensweisen
Dynamic Host Configuration Protocol (DHCP)
Dynamische IP-Adress-Vergabe
Domain Name System (DNS)
Dient zur Namensauflösung in Netzwerken
Extensible Authentication Protocol (EAP)
Protokoll für die Authentifizierung
European Telecommunications Standards Institute (ETSI)
Europäische Institut für Telekommunikationsnormen ist eine der drei großen Normungsorganisationen
in Europa
Internet Authentication Server (IAS)
Authentifizierungsserver
Institute of Electrical and Electronics Engineers (IEEE)
IEEE ist ein weltweiter Berufsverband von Ingenieuren aus den Bereichen Elektrotechnik
und Informatik
Internationale Fernmelde Union (ITU)
Die einzige Organisation die sich offiziell und weltweit mit technischen Aspekten
der Telekommunikation beschäftigt
273

Abkürzungsverzeichnis
Abkürzungsverzeichnis
Lightweight Directory Access Protocol (LDAP)
Dient zur Abfrage von Informationen aus einem Verzeichnis
Network Time Protocol (NTP)
Dient zur Synchronisierung der Uhrzeit in Computersystemen.
Remote Authentication Dial-In User Service (RADIUS)
Authentifizierungsdienst für sich einwählende Benutzer
Secure Shell (SSH)
Verschlüsselte Verbindung zu entfernten Geräten
Service Set Identifier (SSID)
Kennung eines Funknetzwerkes
Subversion (SVN)
Subversion ist eine Open-Source-Software zur Versionsverwaltung von Dateien
und Verzeichnissen
Telecommunication Network (Telnet)
Netzwerkprotokoll zur verwaltung von Geräten über die Kommandozeile
Voice over IP (VoIP)
IP-Telefonie (eine Kurzform für die Internet-Protokoll-Telefonie) auch Internet-
Telefonie. Darunter versteht man das Telefonieren über Computernetzwerke welche
nach Internet-Standards aufgebaut sind.
Wired Equivalent Privacy (WEP)
Ehemaliger Sicherheitsstandard für Funknetzwerke
Windows Internet Naming Service (WINS)
Dient zur Namensauflösung in Netzwerken (ähnlich wie DNS)
Wireless Local Area Network (WLAN)
Kabelloses Funknetzwerk
Wi-Fi Protected Access 2 (WPA2)
Sicherheitsstandard für Funknetzwerke
274