Mathias Gopp Franz Pucher Felix Tiefenthaler ... - felixthec.at
Mathias Gopp Franz Pucher Felix Tiefenthaler ... - felixthec.at
Mathias Gopp Franz Pucher Felix Tiefenthaler ... - felixthec.at
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong><br />
<strong>Franz</strong> <strong>Pucher</strong><br />
<strong>Felix</strong> <strong>Tiefenthaler</strong><br />
Diplomarbeit 2008/09<br />
HTL Rankweil<br />
Copyright (C) 2009 <strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong>, <strong>Franz</strong> <strong>Pucher</strong>, <strong>Felix</strong> <strong>Tiefenthaler</strong>.<br />
Permission is granted to copy, distribute and/or modify this document under the terms<br />
of the GNU Free Document<strong>at</strong>ion License, Version 1.3 or any l<strong>at</strong>er version published by<br />
the Free Software Found<strong>at</strong>ion; with no Invariant Sections, no Front-Cover Texts, and<br />
no Back-Cover Texts. A copy of the license is included in the section entitled “GNU<br />
Free Document<strong>at</strong>ion License”.
Inhaltsverzeichnis<br />
I Einleitung 19<br />
1 Motiv<strong>at</strong>ion 21<br />
2 Allgemein 23<br />
2.1 Abstract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23<br />
2.1.1 Abstract – Deutsch . . . . . . . . . . . . . . . . . . . . . . . . . 23<br />
2.1.2 Abstract – Englisch . . . . . . . . . . . . . . . . . . . . . . . . . 23<br />
2.2 Kurzfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25<br />
2.2.1 Kurzfassung – Deutsch . . . . . . . . . . . . . . . . . . . . . . . 25<br />
2.2.2 Kurzfassung – Englisch . . . . . . . . . . . . . . . . . . . . . . . 27<br />
2.3 Projekt Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30<br />
2.4 Projektbezeichnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31<br />
2.5 Zielsetzung und allgemeine Funktionsbeschreibungen . . . . . . . . . . 31<br />
2.6 Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31<br />
2.6.1 Organis<strong>at</strong>ionen . . . . . . . . . . . . . . . . . . . . . . . . . . . 31<br />
2.6.2 Technische Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . 32<br />
2.7 Bezugsunterlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32<br />
2.7.1 Normen, gesetzliche Vorschriften und Liter<strong>at</strong>ur zum Stand der<br />
Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32<br />
2.8 Leistungsbeschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . 32<br />
2.8.1 Need to Have . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32<br />
2.8.2 Nice to Have . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33<br />
2.9 Projektmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33<br />
3 Grundlagen zur Them<strong>at</strong>ik 35<br />
3.1 Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35<br />
3.2 Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35<br />
3.3 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37<br />
3.3.1 Was ist SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37<br />
3.3.2 SSH2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37<br />
3.3.3 RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.4 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40<br />
3.5 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42<br />
3.5.1 LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42<br />
3.6 WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42<br />
3.7 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43<br />
3.8 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44<br />
3.8.1 FreeRADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44<br />
3.9 Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45<br />
3.9.1 WPA2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45<br />
3.10 IEEE 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47<br />
3.11 Virtualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48<br />
3.12 Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49<br />
3.12.1 Extensible Authentic<strong>at</strong>ion Protocol – EAP . . . . . . . . . . . . 50<br />
3.12.2 PEAPv0/EAP-MSCHAPv2 . . . . . . . . . . . . . . . . . . . . 51<br />
II Testumgebung 53<br />
4 Allgemeines 55<br />
4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55<br />
4.2 Aufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56<br />
4.2.1 IP-Adressschema . . . . . . . . . . . . . . . . . . . . . . . . . . 57<br />
III VMware ESXi Server 59<br />
5 Allgemeines 61<br />
5.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61<br />
5.1.1 Grund für die Verwendung von VMware . . . . . . . . . . . . . 61<br />
5.1.2 Begriffserklärung . . . . . . . . . . . . . . . . . . . . . . . . . . 61<br />
5.2 Bezugsquelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62<br />
5.3 Hardwareanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . 62<br />
5.4 Verwendete Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62<br />
6 Install<strong>at</strong>ion 65<br />
6.1 Vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65<br />
6.2 Install<strong>at</strong>ionsvorgang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65<br />
7 Konsole 71<br />
7.1 Tast<strong>at</strong>urlayout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71<br />
7.2 Root-Passwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72<br />
7.3 Management Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
8 VMware Infrastructure Client 73<br />
8.1 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73<br />
8.2 Anmeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78<br />
8.3 Konfigur<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80<br />
8.3.1 Lizenz installieren . . . . . . . . . . . . . . . . . . . . . . . . . . 80<br />
8.3.2 Zeitkonfigur<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . 83<br />
8.3.3 DNS Identifik<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . 86<br />
8.3.4 Start/Stop von Virtuellen Maschinen . . . . . . . . . . . . . . . 88<br />
IV Virtuelle Maschinen 91<br />
9 Microsoft Windows Server 93<br />
9.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93<br />
9.2 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93<br />
9.2.1 Anlegen einer Virtuellen Maschine . . . . . . . . . . . . . . . . . 94<br />
9.2.2 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97<br />
9.3 DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109<br />
9.3.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109<br />
9.3.2 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109<br />
9.4 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117<br />
9.4.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117<br />
9.4.2 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117<br />
9.5 Windows DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127<br />
9.5.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127<br />
9.5.2 Install<strong>at</strong>ion und Konfigur<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . 127<br />
9.6 WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134<br />
9.6.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134<br />
9.6.2 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135<br />
10 Debian GNU/Linux 5.0 Lenny 137<br />
10.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137<br />
10.2 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137<br />
10.2.1 Anlegen einer Virtuellen Maschine . . . . . . . . . . . . . . . . . 137<br />
10.2.2 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143<br />
10.3 Einführung in Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160<br />
10.4 Konfigur<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161<br />
10.4.1 IP-Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162<br />
10.4.2 Proxy-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . 163<br />
10.4.3 Paketverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . 163<br />
10.4.4 Zeitsynchronis<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . 165<br />
10.4.5 OpenSSH-Server . . . . . . . . . . . . . . . . . . . . . . . . . . 165
10.4.6 OpenSSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166<br />
10.4.7 FreeRADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171<br />
10.4.8 Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178<br />
10.4.9 Winbind . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181<br />
10.4.10 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182<br />
V Autom<strong>at</strong>isierung 187<br />
11 Tera Term 189<br />
11.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189<br />
11.2 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189<br />
11.3 Verwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195<br />
11.4 Makrofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195<br />
11.5 Programmcode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198<br />
11.6 Umsetzung der Autom<strong>at</strong>isierung . . . . . . . . . . . . . . . . . . . . . . 200<br />
11.6.1 B<strong>at</strong>chd<strong>at</strong>ei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200<br />
11.6.2 Erstellen und Bearbeiten einer .b<strong>at</strong> D<strong>at</strong>ei . . . . . . . . . . . . . 200<br />
11.6.3 Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202<br />
11.6.4 Verwendetes Makrofile . . . . . . . . . . . . . . . . . . . . . . . 203<br />
11.6.5 Code des Makrofiles . . . . . . . . . . . . . . . . . . . . . . . . 203<br />
12 Install<strong>at</strong>ionsskript 205<br />
12.1 Warum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205<br />
12.2 Skript-Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205<br />
12.3 Anleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207<br />
VI Access Point 209<br />
13 Access Point 211<br />
13.1 Access Point Eigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . 211<br />
13.2 VLAN Routing und Bridging Konzept . . . . . . . . . . . . . . . . . . 211<br />
13.3 Allgemeine Inform<strong>at</strong>ionen . . . . . . . . . . . . . . . . . . . . . . . . . 212<br />
13.4 Konfigur<strong>at</strong>ion – Console . . . . . . . . . . . . . . . . . . . . . . . . . . 214<br />
13.4.1 Verbindungsaufbau . . . . . . . . . . . . . . . . . . . . . . . . . 214<br />
13.4.2 Zurücksetzen eines Access Points . . . . . . . . . . . . . . . . . 215<br />
13.4.3 Allgemeine Einstellungen . . . . . . . . . . . . . . . . . . . . . . 216<br />
13.4.4 SSH Zugang aktivieren . . . . . . . . . . . . . . . . . . . . . . . 217<br />
13.4.5 Telnet deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . 218<br />
13.4.6 VLANs auf den Schnittstellen einrichten . . . . . . . . . . . . . 218<br />
13.4.7 VLAN Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . 222
13.4.8 RADIUS Server bestimmen . . . . . . . . . . . . . . . . . . . . 222<br />
13.4.9 SSID erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223<br />
13.4.10 SSID den Funkinterfaces zuweisen . . . . . . . . . . . . . . . . . 224<br />
13.4.11 Speichern der running-config . . . . . . . . . . . . . . . . . . . . 225<br />
13.5 Konfigur<strong>at</strong>ion – Webinterface . . . . . . . . . . . . . . . . . . . . . . . 226<br />
13.5.1 Verbindungsaufbau . . . . . . . . . . . . . . . . . . . . . . . . . 226<br />
13.5.2 Allgemeine Einstellungen . . . . . . . . . . . . . . . . . . . . . . 227<br />
13.5.3 SSH Zugang aktivieren . . . . . . . . . . . . . . . . . . . . . . . 230<br />
13.5.4 Telnet deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . 232<br />
13.5.5 VLANs erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . 233<br />
13.5.6 VLAN Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . 235<br />
13.5.7 RADIUS Server bestimmen . . . . . . . . . . . . . . . . . . . . 236<br />
13.5.8 SSID erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237<br />
13.5.9 Funkinterface aktivieren . . . . . . . . . . . . . . . . . . . . . . 240<br />
13.6 running-config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241<br />
VII Qualitätssicherung 249<br />
14 Wochenmails 251<br />
14.1 Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251<br />
15 Besprechungsprotokolle 253<br />
15.1 Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253<br />
16 Subversion 255<br />
16.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255<br />
16.2 Verwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255<br />
16.3 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256<br />
17 Wiki 257<br />
17.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257<br />
17.2 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257<br />
18 Stundenaufzeichnung 259<br />
18.1 <strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260<br />
18.2 <strong>Franz</strong> <strong>Pucher</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261<br />
18.3 <strong>Felix</strong> <strong>Tiefenthaler</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262<br />
19 Zeitplan 263<br />
20 Danksagung 267
Liter<strong>at</strong>urverzeichnis 269<br />
Glossar 271<br />
Abkürzungsverzeichnis 273
Abbildungsverzeichnis<br />
2.1 Netzwerküberblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26<br />
2.2 Network overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28<br />
3.1 HyperTerminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36<br />
3.2 HyperTerminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36<br />
3.3 HyperTerminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36<br />
3.4 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37<br />
3.5 RSA Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38<br />
3.6 RSA Entschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39<br />
3.7 DHCP D<strong>at</strong>en . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41<br />
3.8 Typischer Ablauf einer Anmeldung am Funknetzwerk . . . . . . . . . . . 47<br />
3.9 Prinzipieller Ablauf der Authentifizierung . . . . . . . . . . . . . . . . . . 49<br />
3.10 Challenge Response Verfahren . . . . . . . . . . . . . . . . . . . . . . . . 51<br />
4.1 Aufbau des Testnetzwerks . . . . . . . . . . . . . . . . . . . . . . . . . . 56<br />
6.1 Erster Install<strong>at</strong>ionsbildschirm . . . . . . . . . . . . . . . . . . . . . . . . . 66<br />
6.2 Initialisierung der Hardware . . . . . . . . . . . . . . . . . . . . . . . . . 66<br />
6.3 Aufforderung zur Install<strong>at</strong>ion des VMware ESX Server 3i 3.5 . . . . . . . 67<br />
6.4 Auswahl des Speicherorts für die Install<strong>at</strong>ion . . . . . . . . . . . . . . . . 68<br />
6.5 Bestätigung der Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . 68<br />
6.6 Bildschirmanzeige nach beendeter Install<strong>at</strong>ion . . . . . . . . . . . . . . . 69<br />
8.1 Download von VMware Infrastructure Client . . . . . . . . . . . . . . . . 73<br />
8.2 Bestätigung des Downloads . . . . . . . . . . . . . . . . . . . . . . . . . . 74<br />
8.3 Auswahl der Sprache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74<br />
8.4 Erstes Install<strong>at</strong>ionsfenster . . . . . . . . . . . . . . . . . . . . . . . . . . . 75<br />
8.5 Lizenzvereinbarungen akzeptieren . . . . . . . . . . . . . . . . . . . . . . 75<br />
8.6 Benutzerinform<strong>at</strong>ionen angeben . . . . . . . . . . . . . . . . . . . . . . . 76<br />
8.7 VMware Virtual Infrastructure-Upd<strong>at</strong>e-Dienst installieren . . . . . . . . . 76<br />
8.8 Install<strong>at</strong>ionspfad angeben . . . . . . . . . . . . . . . . . . . . . . . . . . . 77<br />
8.9 Install<strong>at</strong>ion starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77<br />
8.10 Install<strong>at</strong>ion fertig stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . 78<br />
8.11 Anmeldefenster von VMware Infrastructure Client . . . . . . . . . . . . . 79<br />
8.12 Zertifik<strong>at</strong>warnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
8.13 Übersicht des VMware Infrastructure Client . . . . . . . . . . . . . . . . . 80<br />
8.14 Übersicht über die Konfigur<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . 81<br />
8.15 Lizenzverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81<br />
8.16 Lizenz eingeben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82<br />
8.17 Deaktivierung von Consolid<strong>at</strong>ed Backup durch Lizenzierung . . . . . . . . 82<br />
8.18 Wegfall von Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83<br />
8.19 Lizenzübersicht mit eingetragener Lizenz . . . . . . . . . . . . . . . . . . 83<br />
8.20 Beginn der Einstellung für die Zeitsynchronis<strong>at</strong>ion . . . . . . . . . . . . . 84<br />
8.21 Manuelle Einstellung der Uhrzeit . . . . . . . . . . . . . . . . . . . . . . . 84<br />
8.22 NTP Server hinzufügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85<br />
8.23 NTP Server angeben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85<br />
8.24 Übersicht der Zeitkonfigur<strong>at</strong>ion mit eingetragenen NTP Servern . . . . . 86<br />
8.25 Einstellung der DNS Identifik<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . 87<br />
8.26 DNS Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87<br />
8.27 Übersicht der DNS Identifik<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . 88<br />
8.28 Einstellungen für das autom<strong>at</strong>ische Starten/Stoppen von virtuellen Maschinen<br />
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89<br />
8.29 Erfolgreiche Konfigur<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . 90<br />
8.30 Übersicht der Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . 90<br />
9.1 Auswahl einer typischen Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . 94<br />
9.2 Angabe eines Namens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94<br />
9.3 Auswahl des Speicherortes . . . . . . . . . . . . . . . . . . . . . . . . . . 95<br />
9.4 Auswahl des Gastbetriebssystems . . . . . . . . . . . . . . . . . . . . . . 95<br />
9.5 Zuweisen von Arbeitsspeicher . . . . . . . . . . . . . . . . . . . . . . . . . 96<br />
9.6 Auswahl der Netzwerkschnittstellen . . . . . . . . . . . . . . . . . . . . . 96<br />
9.7 Größe der virtuellen Disk . . . . . . . . . . . . . . . . . . . . . . . . . . . 97<br />
9.8 Abschluss der Einrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . 97<br />
9.9 Virtuelle Maschine starten . . . . . . . . . . . . . . . . . . . . . . . . . . 98<br />
9.10 Image einbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98<br />
9.11 Booten über das Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . 99<br />
9.12 Treibersuche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99<br />
9.13 Setup starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100<br />
9.14 Windows Lizenzbedingung akzeptieren . . . . . . . . . . . . . . . . . . . 100<br />
9.15 Partitionen erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101<br />
9.16 NTFS-D<strong>at</strong>eisystem erstellen . . . . . . . . . . . . . . . . . . . . . . . . . 101<br />
9.17 Fortlaufender Install<strong>at</strong>ionsstand . . . . . . . . . . . . . . . . . . . . . . . 102<br />
9.18 virtuelle Maschine neustarten . . . . . . . . . . . . . . . . . . . . . . . . . 102<br />
9.19 Einrichtung der landesspezifischen Einstellungen . . . . . . . . . . . . . . 103<br />
9.20 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103<br />
9.21 Benutzerinform<strong>at</strong>ionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104<br />
9.22 Product Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
9.23 Lizenzierungsmodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105<br />
9.24 Computername und Administr<strong>at</strong>orkennwort konfigurieren . . . . . . . . . 105<br />
9.25 Unsicheres Passwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106<br />
9.26 D<strong>at</strong>um- und Uhrzeiteinstellungen . . . . . . . . . . . . . . . . . . . . . . 106<br />
9.27 Netzwerkeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107<br />
9.28 Arbeitsgruppe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107<br />
9.29 Anmeldefenster nach erfolgreich abgeschlossener Install<strong>at</strong>ion . . . . . . . . 108<br />
9.30 Serververwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109<br />
9.31 Install<strong>at</strong>ions-Assistent Infos . . . . . . . . . . . . . . . . . . . . . . . . . . 110<br />
9.32 DNS-Serverdienst auswählen . . . . . . . . . . . . . . . . . . . . . . . . . 110<br />
9.33 DNS-Install<strong>at</strong>ion starten . . . . . . . . . . . . . . . . . . . . . . . . . . . 111<br />
9.34 DNS-Windows CD einlegen . . . . . . . . . . . . . . . . . . . . . . . . . . 111<br />
9.35 DNS-Install<strong>at</strong>ionsvorgang . . . . . . . . . . . . . . . . . . . . . . . . . . . 112<br />
9.36 DNS-Überprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112<br />
9.37 DNS-Lookupzone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113<br />
9.38 DNS-Zonenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113<br />
9.39 DNS-Zonenname . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114<br />
9.40 DNS-Dynamische Upd<strong>at</strong>es . . . . . . . . . . . . . . . . . . . . . . . . . . 114<br />
9.41 DNS-Serveranfragen weiterleiten . . . . . . . . . . . . . . . . . . . . . . . 115<br />
9.42 DNS-Install<strong>at</strong>ion fertig stellen . . . . . . . . . . . . . . . . . . . . . . . . 115<br />
9.43 DNS-Install<strong>at</strong>ion fertig stellen . . . . . . . . . . . . . . . . . . . . . . . . 116<br />
9.44 Serververwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117<br />
9.45 Inform<strong>at</strong>ionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118<br />
9.46 Auswahl Domänencontroller (Active Directory) . . . . . . . . . . . . . . . 118<br />
9.47 Install<strong>at</strong>ionsassistent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119<br />
9.48 Install<strong>at</strong>ionsassistent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119<br />
9.49 Komp<strong>at</strong>ibilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120<br />
9.50 Neuer Domänencontroller . . . . . . . . . . . . . . . . . . . . . . . . . . . 120<br />
9.51 Neuer Domänencontroller in Gesamtstruktur . . . . . . . . . . . . . . . . 121<br />
9.52 Install<strong>at</strong>ion erfolgreich beenden . . . . . . . . . . . . . . . . . . . . . . . . 121<br />
9.53 NetBIOS-Domäne benennen . . . . . . . . . . . . . . . . . . . . . . . . . 122<br />
9.54 Pfad der D<strong>at</strong>enbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122<br />
9.55 Pfad der Kopie der öffentlichen D<strong>at</strong>eien . . . . . . . . . . . . . . . . . . . 123<br />
9.56 Serverprogramm Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . 123<br />
9.57 Verzeichnisdienst Passwort . . . . . . . . . . . . . . . . . . . . . . . . . . 124<br />
9.58 Auflistung der Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . 124<br />
9.59 Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125<br />
9.60 Install<strong>at</strong>ion mit Install<strong>at</strong>ionsassistent beenden. . . . . . . . . . . . . . . . 125<br />
9.61 Install<strong>at</strong>ion erfolgreich beenden . . . . . . . . . . . . . . . . . . . . . . . . 126<br />
9.62 DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127<br />
9.63 DHCP-Install<strong>at</strong>ionsassistent . . . . . . . . . . . . . . . . . . . . . . . . . 128<br />
9.64 DHCP-Install<strong>at</strong>ionsassistent . . . . . . . . . . . . . . . . . . . . . . . . . 128
9.65 DHCP-Install<strong>at</strong>ionsassistent . . . . . . . . . . . . . . . . . . . . . . . . . 129<br />
9.66 DHCP-Install<strong>at</strong>ionsassistent . . . . . . . . . . . . . . . . . . . . . . . . . 129<br />
9.67 DHCP-Adressbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130<br />
9.68 DHCP-Adressbereiche ausschließen . . . . . . . . . . . . . . . . . . . . . . 130<br />
9.69 DHCP-Leasetime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131<br />
9.70 DHCP-Optionen konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . 131<br />
9.71 DHCP-Router IP angeben . . . . . . . . . . . . . . . . . . . . . . . . . . 132<br />
9.72 DHCP-DNS Server angeben . . . . . . . . . . . . . . . . . . . . . . . . . 132<br />
9.73 DHCP-WINS Server angeben . . . . . . . . . . . . . . . . . . . . . . . . . 133<br />
9.74 DHCP-Bereich aktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . 133<br />
9.75 DHCP-Bereich fertig stellen . . . . . . . . . . . . . . . . . . . . . . . . . 134<br />
9.76 DHCP-Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134<br />
9.77 WINS-Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135<br />
9.78 WINS-Install<strong>at</strong>ion bestätigen . . . . . . . . . . . . . . . . . . . . . . . . . 135<br />
9.79 WINS-Install<strong>at</strong>ionsvorgang . . . . . . . . . . . . . . . . . . . . . . . . . . 136<br />
9.80 WINS-fertig stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136<br />
10.1 Neue virtuelle Maschine erstellen . . . . . . . . . . . . . . . . . . . . . . . 138<br />
10.2 Auswahl einer typischen Install<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . 138<br />
10.3 Angabe eines Namens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139<br />
10.4 Auswahl des Speicherortes . . . . . . . . . . . . . . . . . . . . . . . . . . 139<br />
10.5 Auswahl des Gastbetriebssystems . . . . . . . . . . . . . . . . . . . . . . 140<br />
10.6 Zuweisen von Arbeitsspeicher . . . . . . . . . . . . . . . . . . . . . . . . . 140<br />
10.7 Auswahl der Netzwerkschnittstellen . . . . . . . . . . . . . . . . . . . . . 141<br />
10.8 Zuweisen des virtuellen Festpl<strong>at</strong>tenspeichers . . . . . . . . . . . . . . . . . 141<br />
10.9 Abschluss der Einrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . 142<br />
10.10 Virtuelle Maschine hochfahren . . . . . . . . . . . . . . . . . . . . . . . . 143<br />
10.11 CD-Image einbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143<br />
10.12 Konsole öffnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143<br />
10.13 Kein Betriebssystem gefunden . . . . . . . . . . . . . . . . . . . . . . . . 144<br />
10.14 Installer boot menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144<br />
10.15 Auswahl der Sprache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145<br />
10.16 Auswahl des Landes/Gebiet . . . . . . . . . . . . . . . . . . . . . . . . . 145<br />
10.17 Tast<strong>at</strong>urbelegung festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . 146<br />
10.18 Hardware-Erkennung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146<br />
10.19 CD-Image durchsuchen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147<br />
10.20 Eingabe des Rechnernamens . . . . . . . . . . . . . . . . . . . . . . . . . 147<br />
10.21 Eingabe des Domainnamens . . . . . . . . . . . . . . . . . . . . . . . . . 148<br />
10.22 Partitionierungsprogramm laden . . . . . . . . . . . . . . . . . . . . . . . 148<br />
10.23 Auswahl der Partitionsmethode . . . . . . . . . . . . . . . . . . . . . . . 149<br />
10.24 Auswahl der Festpl<strong>at</strong>te . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149<br />
10.25 Auswahl des Partitionsschemas . . . . . . . . . . . . . . . . . . . . . . . . 150
10.26 Übersicht über die Konfigur<strong>at</strong>ion . . . . . . . . . . . . . . . . . . . . . . . 150<br />
10.27 Letzte Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 151<br />
10.28 Install<strong>at</strong>ion des Grundsystems . . . . . . . . . . . . . . . . . . . . . . . . 151<br />
10.29 Root-Passwort einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . 152<br />
10.30 Root-Passwort bestätigen . . . . . . . . . . . . . . . . . . . . . . . . . . . 152<br />
10.31 Benutzer anlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153<br />
10.32 Benutzer anlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153<br />
10.33 Benutzer-Passwort festlegen . . . . . . . . . . . . . . . . . . . . . . . . . 154<br />
10.34 Benutzer-Passwort bestätigen . . . . . . . . . . . . . . . . . . . . . . . . . 154<br />
10.35 Zusätzliche CDs DVDs einlesen . . . . . . . . . . . . . . . . . . . . . . . 155<br />
10.36 Ergänzung Netzwerkspiegel . . . . . . . . . . . . . . . . . . . . . . . . . 155<br />
10.37 Konfigur<strong>at</strong>ion von apt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156<br />
10.38 Teilnahme an der Paketverwendungserfassung . . . . . . . . . . . . . . . . 156<br />
10.39 Auswahl der zu installierenden Software . . . . . . . . . . . . . . . . . . . 157<br />
10.40 Install<strong>at</strong>ion des Bootloaders GRUB . . . . . . . . . . . . . . . . . . . . . 157<br />
10.41 CD-Image entfernen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158<br />
10.42 CD-Image trennen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158<br />
10.43 Bootloader GRUB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159<br />
10.44 Loginbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159<br />
11.1 Bestätigen für den nächsten Schritt . . . . . . . . . . . . . . . . . . . . . 190<br />
11.2 Akzeptieren der Bedingungen . . . . . . . . . . . . . . . . . . . . . . . . . 190<br />
11.3 Auswahl des Speicherortes . . . . . . . . . . . . . . . . . . . . . . . . . . 191<br />
11.4 Auswahl der Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . 191<br />
11.5 Sprache auswählen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192<br />
11.6 start menu folder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192<br />
11.7 Additional Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193<br />
11.8 start Install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193<br />
11.9 Install<strong>at</strong>ion erfolgreich beenden . . . . . . . . . . . . . . . . . . . . . . . . 194<br />
11.10 TeraTerm starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195<br />
11.11 LogMeTT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196<br />
11.12 Macro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196<br />
11.13 Add Child . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197<br />
11.14 Macrofile benennen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197<br />
11.15 Additional Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198<br />
11.16 D<strong>at</strong>ei erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200<br />
11.17 txt umbenennen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201<br />
11.18 Warnung bei umbenennen . . . . . . . . . . . . . . . . . . . . . . . . . . 201<br />
11.19 .b<strong>at</strong> D<strong>at</strong>ei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201<br />
11.20 D<strong>at</strong>ei bearbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202<br />
11.21 Bsp .b<strong>at</strong> D<strong>at</strong>ei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203<br />
13.1 Online Hilfe des Access Points . . . . . . . . . . . . . . . . . . . . . . . . 212
13.2 Blaues Rollover Kabel am Console Port . . . . . . . . . . . . . . . . . . . 214<br />
13.3 Telnet Verbindung zum AP . . . . . . . . . . . . . . . . . . . . . . . . . . 215<br />
13.4 Verbindung zum Webinterface . . . . . . . . . . . . . . . . . . . . . . . . 226<br />
13.5 Passworteingabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227<br />
13.6 Home-Bereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227<br />
13.7 Hostnamen ändern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228<br />
13.8 Bestätigen durch Apply . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228<br />
13.9 Warnung bestätigen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229<br />
13.10 enable Passwort ändern und verschlüsseln . . . . . . . . . . . . . . . . . . 229<br />
13.11 Neues enable Passwort eingeben . . . . . . . . . . . . . . . . . . . . . . . 230<br />
13.12 Admin User anlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230<br />
13.13 Userliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231<br />
13.14 SSH aktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232<br />
13.15 Funkinterface St<strong>at</strong>us . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233<br />
13.16 N<strong>at</strong>ive VLAN erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234<br />
13.17 VLAN Warnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234<br />
13.18 VLANs erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235<br />
13.19 VLAN Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235<br />
13.20 VLANs verschlüsseln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236<br />
13.21 RADIUS Server D<strong>at</strong>en eintragen . . . . . . . . . . . . . . . . . . . . . . . 237<br />
13.22 SSID erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237<br />
13.23 Authentifizierungsmethode der SSID festlegen . . . . . . . . . . . . . . . 238<br />
13.24 Key Management WPA2 . . . . . . . . . . . . . . . . . . . . . . . . . . . 238<br />
13.25 SSID in guest mode setzen . . . . . . . . . . . . . . . . . . . . . . . . . . 239<br />
13.26 Key Management WPA2 . . . . . . . . . . . . . . . . . . . . . . . . . . . 239<br />
13.27 Guest Mode SSID auf beiden Interfaces . . . . . . . . . . . . . . . . . . . 240<br />
13.28 Funkinterface aktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241<br />
13.29 Funkinterface St<strong>at</strong>us . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241<br />
18.1 Stundenaufteilung <strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong> . . . . . . . . . . . . . . . . . . . . . . . 260<br />
18.2 Gesamtaufwand <strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong> . . . . . . . . . . . . . . . . . . . . . . . . 260<br />
18.3 Stundenaufteilung <strong>Franz</strong> <strong>Pucher</strong> . . . . . . . . . . . . . . . . . . . . . . . 261<br />
18.4 Gesamtaufwand <strong>Franz</strong> <strong>Pucher</strong> . . . . . . . . . . . . . . . . . . . . . . . . 261<br />
18.5 Stundenaufteilung <strong>Felix</strong> <strong>Tiefenthaler</strong> . . . . . . . . . . . . . . . . . . . . . 262<br />
18.6 Gesamtaufwand <strong>Felix</strong> <strong>Tiefenthaler</strong> . . . . . . . . . . . . . . . . . . . . . . 262<br />
19.1 Zeitplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264<br />
19.2 Balkendiagramm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Tabellenverzeichnis<br />
4.1 IP-Adressschema der Testumgebung . . . . . . . . . . . . . . . . . . . . . . 57<br />
5.1 Hardwareangaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Eidesst<strong>at</strong>tliche Erklärung<br />
Ich versichere an Eides st<strong>at</strong>t, dass ich die entsprechend gekennzeichneten Teile der<br />
vorliegenden Diplomarbeit selbstständig verfasst, keine anderen als die angegebenen<br />
Quellen und Hilfsmittel benutzt, sowie alle wörtlich oder sinngemäß übernommenen<br />
Stellen in der Arbeit gekennzeichnet habe.<br />
Ferner gest<strong>at</strong>te ich der Höheren Technischen Bundeslehr- und Versuchsanstalt Rankweil<br />
(HTL Rankweil), die vorliegende Diplomarbeit unter Beachtung insbesondere d<strong>at</strong>enschutzrechtlicher<br />
und wettbewerbsrechtlicher Vorschriften für Lehre und Forschung zu<br />
benutzen.<br />
Declar<strong>at</strong>ion of O<strong>at</strong>h<br />
I declare by o<strong>at</strong>h th<strong>at</strong> all accordingly indic<strong>at</strong>ed parts of my thesis (diploma) were<br />
independently written by myself, no other than the indic<strong>at</strong>ed sources and aids have<br />
been used and th<strong>at</strong> all parts of the thesis which have been taken over, either literally or<br />
in a general manner, have been accordingly indic<strong>at</strong>ed. Furthermore I permit the Higher<br />
Technical College and Labor<strong>at</strong>ory (Rankweil) (Höhere Technische Bundeslehr- und<br />
Versuchsanstalt Rankweil-HTL) to use the thesis (diploma) for teaching and research,<br />
paying <strong>at</strong>tention to d<strong>at</strong>a security and competition protection regul<strong>at</strong>ions.<br />
<strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong><br />
<strong>Franz</strong> <strong>Pucher</strong><br />
<strong>Felix</strong> <strong>Tiefenthaler</strong><br />
16
Liebe Leser,<br />
die vorliegende Diplomarbeit wurde während des Schuljahres 2008/09 in der HTL<br />
Rankweil von der Projektgruppe AIR09 der Klasse 5AHELI erstellt.<br />
In diesem Dokument möchten wir Ihnen zuerst einen Überblick über die Them<strong>at</strong>ik<br />
Wireless LAN geben. Dabei erläutern wir alle von uns behandelten Themengebiete<br />
und versuchen diese in zusammengefasster Form wiederzugeben.<br />
Zunächst werden wir über die geleisteten Arbeiten Auskunft geben. Anhand dieser Dokument<strong>at</strong>ion<br />
soll es möglich sein, die von uns getätigten Arbeitsschritte reproduzieren<br />
zu können. Damit die Dokument<strong>at</strong>ion für Aussenstehende besser lesbar ist, möchten<br />
wir hiermit eine kleine Anleitung zur Verfügung stellen. Die Dokument<strong>at</strong>ion ist in<br />
Themenbereiche aufgegliedert. Allgemeine Inform<strong>at</strong>ionen zum Projekt finden Sie im<br />
Kapitel Einleitung. Unter diesem Kapitel finden Sie auch eine etwas ausführlichere<br />
Beschreibung zu einzelnen Themengebieten. Im Kapitel Testumgebung zeigen wir den<br />
Aufbau unseres Testnetzwerks. Im Kapitel VMware ESXi Server zeigen wir die Install<strong>at</strong>ion<br />
eines VMware ESXi Servers inklusive Install<strong>at</strong>ion eines VMware Infrastructure<br />
Clients. Ebenfalls wird in diesem Kapitel die Konfigur<strong>at</strong>ion des ESXi Servers erläutert.<br />
Im nächsten Kapitel Virtuelle Maschinen zeigen wir die Install<strong>at</strong>ion und Konfigur<strong>at</strong>ion<br />
unserer Virtuellen Maschinen. Dieses Kapitel beschreibt den wichtigsten Teil unserer<br />
Diplomarbeit. Danach wird die Autom<strong>at</strong>isierung der Access Point-Konfigur<strong>at</strong>ion sowie<br />
die autom<strong>at</strong>isierte Konfigur<strong>at</strong>ion des Debian Servers beschrieben. Anschließend<br />
folgt noch die Install<strong>at</strong>ion und Konfigur<strong>at</strong>ion der Access Points. Als letzten Punkt beschreiben<br />
wir noch die zur Qualitätssicherung unternommenen Schritte. Sollten Sie in<br />
der Dokument<strong>at</strong>ion irgendwelche unbekannten Begriffe oder Abkürzungen finden, sind<br />
diese am Ende des Dokuments im Glossar bzw. Abkürzungsverzeichnis erklärt. Inform<strong>at</strong>ionen<br />
zu den von uns verwendeten Quellen erhalten Sie im Liter<strong>at</strong>urverzeichnis.<br />
Zusätzlich zu dieser Dokument<strong>at</strong>ion existiert der Anhang Security Appendix sowie eine<br />
CD-ROM. Im Security Appendix sind alle sicherheitsrelevanten Inform<strong>at</strong>ionen enthalten,<br />
die in dieser Dokument<strong>at</strong>ion durch bzw. ersetzt wurden.<br />
Auf der CD-ROM befinden sich das Install<strong>at</strong>ionsmedium für den VMware ESXi<br />
Server, weiterführende Liter<strong>at</strong>ur dazu, das Debian Install<strong>at</strong>ionsmedium, das Debian<br />
Install<strong>at</strong>ionsskript mit allen dazugehörigen D<strong>at</strong>eien und das Windows Server 2003 R2<br />
Install<strong>at</strong>ionsmedium.<br />
Uns ist es ein spezielles Anliegen, dass die von uns gemachten Erfahrungen der Öffentlichkeit<br />
zugänglich sind. Denn wie sich im Laufe der Arbeiten herausgestellt h<strong>at</strong>, ist<br />
es bei einer teilweise sehr komplizierten Them<strong>at</strong>ik nicht möglich, nur Anleitungen im<br />
Internet zu befolgen. Irgendwelche Fehler tauchen beinahe immer auf. Es gibt jedoch<br />
eine Reihe von Anlaufstellen im Internet, wo derartige Probleme behandelt werden und<br />
oft auch sehr gute Lösungsansätze gefunden werden. Aus diesem Grund möchten wir<br />
17
gerne all jenen Benutzern helfen, die vielleicht vor der selben Aufgabe wie wir standen<br />
und an einem Punkt angelangt sind, wo es einfach nicht mehr weiter geht. Dies ist auch<br />
der Grund dafür, dass wir unsere Arbeit unter die GNU Free Document<strong>at</strong>ion License<br />
stellen.<br />
Wir freuen uns, am Ende unserer Diplomarbeit viele Erfolge aufweisen zu können. Über<br />
das gesamte Jahr hinweg konnten wir ein funktionierendes Funknetzwerk aufbauen, das<br />
in Zukunft hoffentlich an der HTL Rankweil zum Eins<strong>at</strong>z kommt.<br />
Mit freundlichen Grüßen<br />
<strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong>, <strong>Franz</strong> <strong>Pucher</strong>, <strong>Felix</strong> <strong>Tiefenthaler</strong><br />
5AHELI 2008/09<br />
18
Teil I<br />
Einleitung<br />
19
1 Motiv<strong>at</strong>ion<br />
Für uns war sehr schnell klar, dass unsere Diplomarbeit mit Inform<strong>at</strong>ik zu tun haben<br />
muss, da wir vor allem sehr an Netzwerktechnik interessiert sind. Wir beschäftigen uns<br />
zudem auch in unserer Freizeit sehr viel mit der Them<strong>at</strong>ik.<br />
In der Schule haben wir bereits ein nützliches Grundwissen hierzu erlernt, welches für<br />
die Umsetzung unserer Aufgabe sehr hilfreich war. Der Erfolg eines Projektes hängt mit<br />
Sicherheit zu einem großen Teil von der Motiv<strong>at</strong>ion der Projektmitglieder ab. Es war<br />
nicht immer einfach, Rückschläge und vor allem Stillstände in der Entwicklung über<br />
eine längere Zeit hindurch wegzustecken. Umso mehr erhielten wir durch das Erreichen<br />
kleiner Zwischenziele während des Projektverlaufs immer wieder einen Motiv<strong>at</strong>ionsschub,<br />
der uns zum weiteren Arbeiten bekräftigt h<strong>at</strong>.<br />
Funknetzwerke sind eine geniale Errungenschaft der Technik. Durch den nunmehr geschaffenen<br />
Freiraum in Bezug auf Flexibilität und Bequemlichkeit kann die Produktivität<br />
erhöht werden. Ein effizientes, zukunftsweisendes und vor allem sicheres Gesamtkonzept<br />
konnte so ausgearbeitet werden.<br />
Auch für unsere Zukunft soll diese Them<strong>at</strong>ik einen hohen Stellenwert haben und unser<br />
späteres Berufsleben maßgeblich beeinflussen. Durch die Vielfalt der in der Arbeit<br />
behandelten Themen sehen wir uns einer zukünftigen Arbeit in diesem Gebiet durchaus<br />
gewachsen.<br />
21
2 Allgemein<br />
2.1 Abstract<br />
2.1.1 Abstract – Deutsch<br />
Die Anbindung von Netzwerk-Clients über Funk-Vernetzung (WLAN) bietet gegenüber<br />
der Kabel-Anbindung gerade beim Eins<strong>at</strong>z von Notebooks in Schulen große Vorteile:<br />
Die lästigen Netzwerkkabel fallen weg, die Sitzordnung in der Klasse ist wesentlich<br />
flexibler. Wenn die Funkvernetzung im ganzen Schulgebäude verfügbar ist, steht diese<br />
flexible Netzanbindung sowohl den Schülern als auch den Lehrern zur Verfügung.<br />
Ein weiterer Punkt betrifft die Sicherheit des Netzwerkes. Durch die Umstellung des<br />
vorhandenen Netzwerkes im vorherigen Schuljahr wurden die technischen Voraussetzungen<br />
für eine zuverlässige und sichere Funk-LAN-Verbindung geschaffen. Durch den<br />
neuen WLAN Standard 802.11n und die WPA-Verschlüsselung kann eine zukunftssichere<br />
Lösung realisiert werden. Der Zugriff auf das Netzwerk wird über ein Authentifizierungsverfahren<br />
geregelt. Das Endziel ist es, ein Funk-Netzwerk zu schaffen, auf das<br />
flächendeckend vom gesamten Schulgelände aus auf möglichst sichere Art und Weise<br />
zugegriffen werden kann.<br />
2.1.2 Abstract – Englisch<br />
The connection of network clients over a wireless LAN connection offers several advantages<br />
for work in school compared to conventional cable connection: Annoying network<br />
cables are no more necessary, se<strong>at</strong>ing arrangements in the classroom is more flexible.<br />
If the wireless connection is available in the whole campus this connection can be used<br />
both by teachers and students. Another important point is the security of the network.<br />
Because of the network improvements in the last year the technical requirements for a<br />
secure and reliable wireless LAN connection are fulfilled. The connection to the network<br />
will be arranged over authentic<strong>at</strong>ion. The final aim is to establish a wireless network<br />
th<strong>at</strong> can be accessed from every part of the campus in a secure way. Using the new<br />
23
2.1. ABSTRACT KAPITEL 2. ALLGEMEIN<br />
wireless LAN standard 802.11n and the WPA encryption a future-proof solution can<br />
be realized.<br />
24
KAPITEL 2. ALLGEMEIN<br />
2.2. KURZFASSUNG<br />
2.2 Kurzfassung<br />
2.2.1 Kurzfassung – Deutsch<br />
Die Aufgabenstellung unserer Diplomarbeit war, ein sicheres und zuverlässiges Funknetzwerk<br />
für unsere Schule zu realisieren.<br />
Die Anbindung von Netzwerk-Clients über Funk-Vernetzung (WLAN) bietet gegenüber<br />
der Kabel-Anbindung gerade beim Eins<strong>at</strong>z von Notebooks in Schulen große Vorteile:<br />
Die lästigen Netzwerkkabel fallen weg, die Sitzordnung in der Klasse ist wesentlich<br />
flexibler. Wenn die Funkvernetzung im ganzen Schulgebäude verfügbar ist, steht diese<br />
flexible Netzanbindung sowohl den Schülern als auch den Lehrern zur Verfügung.<br />
Ein weiterer Punkt betrifft die Sicherheit des Netzwerkes. Durch die Umstellung des<br />
vorhandenen Netzwerkes im vorherigen Schuljahr wurden die technischen Voraussetzungen<br />
für eine zuverlässige und sichere Funk-LAN-Verbindung geschaffen. Durch den<br />
neuen WLAN Standard 802.11n und die WPA-Verschlüsselung kann eine zukunftssichere<br />
Lösung realisiert werden. Der Zugriff auf das Netzwerk wird über das Authentifizierungsverfahren<br />
802.1X in Verbindung mit einem FreeRADIUS Server geregelt.<br />
Zudem werden die Benutzergruppen durch verschiedene virtuelle Netzwerke (VLAN)<br />
getrennt, um zusätzliche Sicherheit zu schaffen. Das Endziel ist es, ein Funk-Netzwerk<br />
zu schaffen, auf das flächendeckend vom gesamten Schulgelände aus auf möglichst sichere<br />
Art und Weise zugegriffen werden kann.<br />
Im Laufe der Diplomarbeit wurde zu den einzelnen Themen Recherche betrieben und<br />
ein bestmögliches Konzept erstellt. Dieses wurde anschließend in einem Testbetrieb<br />
umgesetzt und für den Produktivbetrieb vorbereitet. Der Produktivbetrieb wurde im<br />
Rahmen einer kleinen Benutzergruppe durchgeführt.<br />
Im folgenden wird kurz gezeigt wie unser Projekt funktioniert:<br />
25
2.2. KURZFASSUNG KAPITEL 2. ALLGEMEIN<br />
Abbildung 2.1: Netzwerküberblick<br />
Im Bild ist zu sehen, dass die grün eingekreisten Komponenten schon vorhanden sind.<br />
Wir mussten die nicht eingekreisten Komponenten installieren und konfigurieren. Es<br />
ist der prinzipielle Ablauf einer Authentifizierung zu erkennen.<br />
Wie läuft eine Anmeldung am Funknetzwerk ab<br />
Grundsätzlich unterscheiden wir zwischen drei verschiedenen Benutzergruppen. Zum<br />
einen gibt es die Benutzergruppe der Lehrer, die Zugriff auf alle Ressourcen h<strong>at</strong>. Dann<br />
gibt es die Benutzergruppe Schüler, die nur Zugriff auf das Internet h<strong>at</strong>. Als letztes<br />
versucht sich ein Benutzer mit falschen Benutzerd<strong>at</strong>en am Netzwerk anzumelden.<br />
Zuerst erklären wir die Anmeldung eines Lehrers. Der Lehrer meldet sich mit seinen<br />
Benutzerd<strong>at</strong>en am Access Point an. Dieser leitet die Inform<strong>at</strong>ionen an den Authentifizierungsserver<br />
weiter. Der Authentifizierungsserver vergleicht die Benutzerinform<strong>at</strong>ionen<br />
mit den in der Benutzerd<strong>at</strong>enbank vorhandenen. Je nachdem ob die Inform<strong>at</strong>ionen<br />
übereinstimmen, teilt der Authentifizierungsserver dies dem Access Point mit. Gleichzeitig<br />
sucht der Authentifizierungsserver die zum Benutzer gehörende Benutzergruppe<br />
in der Benutzerd<strong>at</strong>enbank. Anhand dieser Benutzergruppe entscheidet der Authentifizierungsserver<br />
dann, auf welche Ressourcen der Benutzer zugreifen darf und teilt dies<br />
dann ebenfalls dem Access Point mit. Ist dieser Vorgang erfolgreich, h<strong>at</strong> der Benutzer<br />
Zugriff auf die schulinternen Netzwerkressourcen sowie auf das Internet.<br />
Meldet sich ein Schüler am Netzwerk an, läuft der Vorgang im Prinzip genau gleich ab.<br />
Der einzige Unterschied ist die andere Benutzergruppe, die schlussendlich dazu führt,<br />
26
KAPITEL 2. ALLGEMEIN<br />
2.2. KURZFASSUNG<br />
dass der Benutzer nur Zugriff auf das Internet h<strong>at</strong>.<br />
Meldet sich ein Benutzer mit falschen Benutzerd<strong>at</strong>en an, h<strong>at</strong> dieser keinen Zugriff auf<br />
irgendwelche Ressourcen. Er gelangt dann in ein separ<strong>at</strong>es Netzwerk.<br />
2.2.2 Kurzfassung – Englisch<br />
The connection of network clients over a wireless LAN connection offers several advantages<br />
for work in school compared to conventional cable connection: Annoying network<br />
cables are no more necessary, se<strong>at</strong>ing arrangements in the classroom is more flexible.<br />
If the wireless connection is available in the whole campus this connection can be used<br />
both by teachers and students. Another important point is the security of the network.<br />
Because of the network improvements in the last year the technical requirements for<br />
a secure and reliable wireless LAN connection are fulfilled. The connection to the network<br />
will be arranged over the authentic<strong>at</strong>ion protocol 802.1X and the authentic<strong>at</strong>ion<br />
server FreeRADIUS. Additionally the user groups were separ<strong>at</strong>ed by different networks<br />
in order to get more security. The final aim is to establish a wireless network th<strong>at</strong> can<br />
be accessed from every part of the campus in a secure way. Using the new wireless LAN<br />
standard 802.11n and the WPA encryption a future-proof solution can be realized.<br />
During the work for the dissert<strong>at</strong>ion we collected inform<strong>at</strong>ion to each topic and carried<br />
out the best concept. Afterwards this concept was transformed into a test mode and<br />
prepared for the production business mode. This production mode was tested by a<br />
small user-group. The following picture gives a short review of the function of our<br />
project.<br />
27
2.2. KURZFASSUNG KAPITEL 2. ALLGEMEIN<br />
Abbildung 2.2: Network overview<br />
The green surrounded components are already available in the network of the school.<br />
We had to install an configure all the other components shown. Now we are going to<br />
show how the login of a user works.<br />
Basically there are three different user-groups. On the one hand there is the usergroup<br />
“teachers” which has access to all of the resources. The next user-group is called<br />
“student”. This group has only access to the internet. Finally there is a user th<strong>at</strong> tries<br />
to login to the network with wrong user inform<strong>at</strong>ion.<br />
At first we want to explain the registr<strong>at</strong>ion of a teacher: The teacher enters his user<br />
inform<strong>at</strong>ion into the access point. The access point forwards this inform<strong>at</strong>ion to the<br />
authoriz<strong>at</strong>ion server. The authoriz<strong>at</strong>ion server compares this inform<strong>at</strong>ion with the inform<strong>at</strong>ion<br />
in the user d<strong>at</strong>abase. Now the authoriz<strong>at</strong>ion server tells the access point if<br />
the user is allowed to access the network or not without any restrictions. Simultaneously<br />
the authoriz<strong>at</strong>ion server searches for the user-group belonging to the user. Based on<br />
this inform<strong>at</strong>ion the authoriz<strong>at</strong>ion server decides which network resources the user has<br />
access to. After this authoriz<strong>at</strong>ion process the user has access to the network.<br />
If a student tries to login to the network, the authoriz<strong>at</strong>ion process is very similar.<br />
The only difference between the authoriz<strong>at</strong>ion process of a teacher and a student is the<br />
user-group. As a result of this the student only has access to the internet.<br />
At least a user with wrong user inform<strong>at</strong>ion tries to get access to the network. The<br />
28
KAPITEL 2. ALLGEMEIN<br />
2.2. KURZFASSUNG<br />
authoriz<strong>at</strong>ion server recognizes this user as a unknown user and so the user is not<br />
allowed to use any resources on the network.<br />
29
2.3. PROJEKT TEAM KAPITEL 2. ALLGEMEIN<br />
2.3 Projekt Team<br />
<strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong><br />
• Verwaltung Windows Server<br />
• Verwaltung Windows Dienste<br />
• Autom<strong>at</strong>isierung der Access Point Konfigur<strong>at</strong>ion<br />
<strong>Franz</strong> <strong>Pucher</strong><br />
• Konfigur<strong>at</strong>ion der Access Points<br />
• Verwaltung des Testnetzwerks<br />
• Autom<strong>at</strong>isierung der Access Point Konfigur<strong>at</strong>ion<br />
<strong>Felix</strong> <strong>Tiefenthaler</strong><br />
• Projektleiter<br />
• Verwaltung Debian Server<br />
• Verwaltung Debian Dienste<br />
Prof. Dipl.Ing. Dr. Roland Sandholzer<br />
• Projektbetreuer<br />
30
KAPITEL 2. ALLGEMEIN<br />
2.4. PROJEKTBEZEICHNUNG<br />
2.4 Projektbezeichnung<br />
Der Name des Projekts setzt sich aus drei Buchstaben und zwei Zahlen zusammen. Die<br />
drei Buchstaben AIR kommen aus dem Englischen und bedeuten übersetzt Luft. Dies<br />
soll ein Indiz dafür sein, dass das Projekt mit Luft zu tun h<strong>at</strong>. In unserem Fall bedeutet<br />
dies, dass die Übertragung der Inform<strong>at</strong>ionen über die Luft – kabellos – passiert. Die<br />
zwei Zahlen 09 stehen hierbei für das Jahr 2009, in dem die Diplomarbeit erstellt<br />
wurde.<br />
2.5 Zielsetzung und allgemeine<br />
Funktionsbeschreibungen<br />
Das Endziel ist es, ein Funknetzwerk, ein sogenanntes Wireless Local Area Network<br />
(WLAN) zu schaffen, auf das flächendeckend, vom gesamten Schulgelände aus, auf möglichst<br />
sichere Art und Weise zugegriffen werden kann. Ein großer Vorteil dabei ist, dass<br />
durch solch eine Lösung sowohl den Schülern, als auch den Lehrern eine komfortable<br />
und flexible Möglichkeit geboten werden kann, auf ihre persönlichen D<strong>at</strong>en zuzugreifen.<br />
Aus diesem Grund ist vor allem die Sicherheit der Anbindung an das bestehende<br />
Netzwerk wichtig und wird dementsprechend auch berücksichtigt. Das Funknetzwerk<br />
soll in mehreren Stufen ausgebaut werden, welche nicht in einem einzige Schuljahr<br />
realisiert werden können. In der ersten Stufe soll ein Testaufbau für ein eingeschränktes<br />
Benutzerfeld (z.B. Notebook-Klassen) errichtet werden. Die daraus resultierenden<br />
Erfahrungen und Inform<strong>at</strong>ionen werden dann in die nächste Ausbaustufe einfließen.<br />
Dabei wird ein Funknetzwerk für eine breitere Auswahl an Testpersonen aufgebaut.<br />
Dies könnte z.B. durch eine Funkabdeckung im Bereich der Klassenräume st<strong>at</strong>tfinden.<br />
In der dritten Ausbaustufe wird dann das gesamte Gebäude flächendeckend mit dem<br />
Funknetzwerk ausgest<strong>at</strong>tet.<br />
2.6 Begriffe<br />
2.6.1 Organis<strong>at</strong>ionen<br />
Um die Einheitlichkeit und Übersichtlichkeit der Dokument<strong>at</strong>ion zu wahren, sind hier<br />
nur die Organis<strong>at</strong>ionen aufgezählt. Die Erklärung findet sich im Abkürzungsverzeichnis.<br />
31
2.7. BEZUGSUNTERLAGEN KAPITEL 2. ALLGEMEIN<br />
• American N<strong>at</strong>ional Standards Institute (ANSI)<br />
• European Telecommunic<strong>at</strong>ions Standards Institute (ETSI)<br />
• Institute of Electrical and Electronics Engineers (IEEE)<br />
• Intern<strong>at</strong>ionale Fernmelde Union (ITU)<br />
2.6.2 Technische Begriffe<br />
Viele technische Begriffe sind im Abkürzungsverzeichnis bzw. dem Glossar genau erklärt.<br />
2.7 Bezugsunterlagen<br />
2.7.1 Normen, gesetzliche Vorschriften und Liter<strong>at</strong>ur zum<br />
Stand der Technik<br />
Im Folgenden sind die WLAN-Standards aufgelistet und beschrieben. Alle Standards<br />
entstammen dem Institute of Electrical and Electronics Engineers (IEEE) . Der WLAN-<br />
Standard wird in der Norm 802.11 beschrieben. Aus Gründen der Übersichtlichkeit<br />
haben wir diese Punkte im Abschnitt Glossar genauer erklärt. [19]<br />
2.8 Leistungsbeschreibung<br />
2.8.1 Need to Have<br />
• Einarbeiten in die Them<strong>at</strong>ik<br />
• Evalu<strong>at</strong>ion verschiedener Lösungsvarianten<br />
• Erstellung eines Lösungskonzepts<br />
Sicherheit<br />
Zuverlässigkeit<br />
QS-Anforderungen<br />
Kosten<br />
32
KAPITEL 2. ALLGEMEIN<br />
2.9. PROJEKTMANAGEMENT<br />
• Beschaffung der Hardware und Software<br />
• Einrichtung einer Testinstall<strong>at</strong>ion mit einer begrenzten Anzahl von Access Points<br />
• Test der Install<strong>at</strong>ion<br />
• Überführung dieser Variante in den Produktivbetrieb (Rollout)<br />
• Erstellung eines Konzepts für eine flächendeckende Versorgung der Schule mit<br />
WLAN<br />
• Abklärung der Anforderungen<br />
• Kostenvoranschlag<br />
2.8.2 Nice to Have<br />
• Realisierung und Test einer flächendeckenden Lösung<br />
• Voice over IP (VoIP) über WLAN (Roaming)<br />
2.9 Projektmanagement<br />
Die Aufgaben der Projektmitglieder überschneiden sich teilweise. Die grobe Aufteilung<br />
der Arbeiten sieht wie folgt aus: <strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong> ist für die Konfigur<strong>at</strong>ion des Windows<br />
Servers sowie dessen Dienste verantwortlich. <strong>Franz</strong> <strong>Pucher</strong> verwaltet den Access<br />
Point und <strong>Felix</strong> <strong>Tiefenthaler</strong> ist Projektleiter und für den Bereich Debian Server und<br />
FreeRADIUS Server verantwortlich.<br />
Weitere Inform<strong>at</strong>ionen bezüglich des Projektmanagements können dem Abschnitt VII<br />
entnommen werden.<br />
Die einzelnen Arbeitsaufwände können aus dem Zeitplan in Abschnitt 19 entnommen<br />
werden.<br />
33
2.9. PROJEKTMANAGEMENT KAPITEL 2. ALLGEMEIN<br />
34
3 Grundlagen zur Them<strong>at</strong>ik<br />
3.1 Allgemein<br />
Im folgenden Themenbereich werden die unterschiedlichsten Grundlagen zur Them<strong>at</strong>ik<br />
Netzwerktechnik, WLAN, Verschlüsselungen usw. näher erläutert. Diese Grundlagen<br />
sind notwendig um ein Basiswissen für das Projekt zu erlangen. Mögliche Fehlerquellen<br />
können mit Hilfe dieses Wissens schneller und effizienter gefunden und behoben<br />
werden. Deshalb stand am Anfang unserer Diplomarbeit die Recherche, die uns einen<br />
Einblick in diese Them<strong>at</strong>ik gab. Wir konnten uns somit schon im Vorhinein mit gewissen<br />
Themenbereichen befassen und erlangten so schrittweise neues Wissen. Einiges an<br />
Vorwissen konnten wir schon aus dem Unterricht mitnehmen, wodurch der Einstieg in<br />
die Them<strong>at</strong>ik WLAN doch erheblich erleichtert wurde.<br />
3.2 Telnet<br />
Telecommunic<strong>at</strong>ion Network (Telnet) ist ein Netzwerkprotokoll, mit dessen Hilfe Access<br />
Points bzw. auch Router und Switche konfiguriert werden können. Da dieses Protokoll<br />
über keine Verschlüsselung verfügt, wird es heute nur mehr selten verwendet und sollte<br />
nicht über ein allgemein zugängliches Netzwerk betrieben werden, da gesendete D<strong>at</strong>en<br />
und die Passwörter im Klartext übermittelt werden. Früher wurde das Protokoll für<br />
die Fernwartung von Geräten verwendet, jedoch wurde dieses Protokoll durch das wesentlich<br />
sicherere Protokoll Secure Shell (SSH) ersetzt. Telnet verwendet den Port 23.<br />
[11]<br />
Hier wird kurz gezeigt, wie über das HyperTerminal von Windows eine Telnetverbindung<br />
zu einem Gerät hergestellt werden kann.<br />
35
3.2. TELNET KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
Abbildung 3.1: HyperTerminal<br />
Abbildung 3.2: HyperTerminal<br />
Abbildung 3.3: HyperTerminal<br />
36
KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
3.3. SSH<br />
Nun sollte sich ein weiteres Fenster öffnen, mit dem das Gerät über die Kommandozeile<br />
konfiguriert werden kann.<br />
3.3 SSH<br />
3.3.1 Was ist SSH<br />
SSH ist ein Netzwerkprotokoll, welches verwendet wird, um auf entfernte Geräte zugreifen<br />
zu können. In der ersten Version SSH1 wurden einige Schwachstellen gefunden,<br />
weshalb SSH2 entwickelt worden ist. Gundsätzlich sollte es vermieden werden, eine<br />
Verbindung zu einem Gerät mit einem unsicheren Protokoll wie z.B. SSH1 oder Telnet<br />
aufzubauen, da hier sämtliche D<strong>at</strong>en und Passwörter unverschlüsselt übertragen<br />
werden. [12]<br />
3.3.2 SSH2<br />
Wie schon erwähnt dient SSH für den Zugriff auf entfernte Geräte. Das Netzwerk zwischen<br />
diesen Geräten ist meist das Internet oder ein lokales Netzwerk. SSH2 stellt eine<br />
sichere, verschlüsselte Verbindung über das Netzwerk mit einem anderen Gerät her.<br />
Die D<strong>at</strong>enübertragung geschieht über den Port 22. Es wird eine RSA Verschlüsselung<br />
verwendet, die im nächsten Kapitel noch näher erläutert wird. Eine einfache SSH-<br />
Verbindung kann folgendermaßen in einer Linux-Kommandozeile ausgeführt werden:<br />
ssh @<br />
Abbildung 3.4: SSH<br />
37
3.3. SSH KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
Wir verwenden SSH um Access Points fernwarten zu können. So können wir von einer<br />
zentralen Stelle sämtliche Access Points konfigurieren und verwalten. Dies ist recht<br />
vorteilhaft, da die Access Points sich meist an schwer zugänglichen Stellen befinden.<br />
3.3.3 RSA<br />
RSA ist eine Verschlüsselung, die sowohl für die Verschlüsselung der D<strong>at</strong>en als auch<br />
zur digitalen Sign<strong>at</strong>ur verwendet werden kann. Die Verschlüsselung arbeitet mit zwei<br />
Schlüsseln, einem öffentlichen und einem priv<strong>at</strong>en Schlüssel. Der öffentliche Schlüssel<br />
ist bekannt und wird zur Prüfung der verschlüsselten bzw. signierten D<strong>at</strong>en verwendet.<br />
Der priv<strong>at</strong>e Schlüssel wird geheim gehalten und kann nur mit großem Rechenaufwand<br />
aus dem öffentlichen Schlüssel berechnet werden. Mit dem priv<strong>at</strong>en, geheimen Schlüssel<br />
können die D<strong>at</strong>en wieder dekodiert und somit gelesen werden. [13]<br />
Im folgenden Bild wird symbolisch gezeigt, wie die D<strong>at</strong>en verschlüsselt werden:<br />
Abbildung 3.5: RSA Verschlüsselung<br />
Im folgenden Bild wird symbolisch gezeigt, wie die D<strong>at</strong>en entschlüsselt werden:<br />
38
KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
3.3. SSH<br />
Abbildung 3.6: RSA Entschlüsselung<br />
39
3.4. DHCP KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
3.4 DHCP<br />
Das Dynamic Host Configur<strong>at</strong>ion Protocol (DHCP) ist für die Vergabe von IP-Adressen<br />
in einem Netzwerk zuständig. Vorrangig ist der DHCP-Server für die dynamische Zuweisung<br />
von IP-Adressen zuständig. Dies ist in großen Netzwerken von Vorteil, da es ein<br />
enormer Aufwand wäre, bei jedem netzwerkfähigen Gerät alle Netzwerkd<strong>at</strong>en einzeln<br />
einzugeben. Der DHCP-Server übermittelt einem Client folgende D<strong>at</strong>en:<br />
• IP-Adresse<br />
• Subnetmask<br />
• DNS-Server<br />
• G<strong>at</strong>eway<br />
• Router<br />
• DNS<br />
• WINS<br />
• . . .<br />
Die DHCP-Anfragen werden über den UDP-Port 67 an den DHCP-Servers gestellt.<br />
Der DHCP-Server antwortet dem Client auf UDP-Port 68. Dabei übermittelt er dem<br />
Client alle wichtigen D<strong>at</strong>en, wie z.B. eine eindeutige IP-Adresse, Subnetzmaske, DNS-<br />
Server, . . . . Der DHCP-Server bestimmt ebenfalls die lease time der IP-Adresse. Die<br />
lease time ist die Zeit, in der ein Client die IP-Adresse behalten darf. Ist diese Zeit abgelaufen,<br />
muss er erneut eine IP-Adresse beim DHCP-Server beantragen. Eine st<strong>at</strong>ische<br />
Zuweisung der IP-Adresse kann aufgrund der MAC-Adresse des Clients erfolgen.<br />
Im folgenden Blockschaltbild [14] wird gezeigt, wie ein PC zu seinen DHCP-D<strong>at</strong>en<br />
kommt:<br />
40
KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
3.4. DHCP<br />
Abbildung 3.7: DHCP D<strong>at</strong>en<br />
Erklärung des Ablaufs der IP-Adressvergabe:<br />
• DHCPDISCOVER: Ein PC der noch keine IP-Adresse besitzt, schickt ein<br />
D<strong>at</strong>enpaket an alle Teilnehmer im Netzwerk (Broadcast) und sucht nach einem<br />
DHCP-Server von dem er die benötigten D<strong>at</strong>en bekommt.<br />
• DHCPOFFER: Alle DHCP-Server melden sich beim Client.<br />
• DHCPREQUEST: Nun kann sich der Client PC einen DHCP-Server aussuchen,<br />
von welchem er die IP-Adresse bekommt. Meist wird der DHCP-Server<br />
gewählt, welcher am schnellsten auf die Anfrage reagiert h<strong>at</strong>.<br />
• DHCPACK: Sendet dem Client die benötigten D<strong>at</strong>en und eine Bestätigung für<br />
die erfolgreiche Adressvergabe.<br />
• DHCPRELEASE: Der Client teilt dem Server mit, dass er seine D<strong>at</strong>en inklusive<br />
IP-Adresse nicht mehr braucht und an andere Geräte vergeben kann. Dies<br />
41
3.5. ACTIVE DIRECTORY KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
geschieht, wenn sich der Client vom Netzwerk abmeldet.<br />
Nun kann noch der Fall auftreten, dass sich der DHCP-Server in einem anderen Netzwerk<br />
befindet. DHCP-Anfragen werden mittels Broadcast gestellt. Broadcasts werden<br />
von Routern nicht weitergeleitet. Daher muss im Router mit Hilfe der IP-Helper-<br />
Adresse eingestellt werden, wohin er derartige Anfragen weiterleiten soll. Somit ist es<br />
nun möglich IP-Adressen in anderen Netzen zu vergeben.<br />
3.5 Active Directory<br />
Das Microsoft Active Directory (AD) wird dazu verwendet, die Netzwerkstruktur zu<br />
gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise<br />
Benutzer, Gruppen, Computer, Dienste, Server, D<strong>at</strong>eifreigaben und andere Geräte wie<br />
Drucker und Scanner und deren Eigenschaften. Jeder Ressource können bestimmte<br />
Rechte erteilt werden, um die Sicherheit im Netzwerk zu erhöhen. Jede Ressource<br />
kann sich wiederum in einer oder mehreren Gruppen befinden. So gibt es z.B. eine<br />
Gruppe namens Schüler in welcher sich alle Benutzeraccounts der Schüler befinden.<br />
Diese Gruppenzugehörigkeit dient wiederum der Sicherheit. Der Inform<strong>at</strong>ionsaustausch<br />
nach außen funktioniert über das LDAP Protokoll, über welches Inform<strong>at</strong>ionen über<br />
Benutzer und Gruppen abgefragt werden können. [15]<br />
3.5.1 LDAP<br />
Lightweight Directory Access Protocol (LDAP) erlaubt die Abfrage und die Modifik<strong>at</strong>ion<br />
von Inform<strong>at</strong>ionen eines Verzeichnisdienstes. Das Windows Active Directory weist<br />
eine LDAP-Architektur auf, wodurch es möglich ist, die D<strong>at</strong>en aus der D<strong>at</strong>enbank mittels<br />
LDAP zu lesen. LDAP ist in einer Baumstruktur aufgebaut, wodurch es möglich<br />
ist, durch einfache Befehle auf einen gewissen Pfad in der Baumarchitektur zuzugreifen<br />
und dadurch die gewünschten Inform<strong>at</strong>ionen zu bekommen. [16]<br />
3.6 WINS<br />
Windows Internet Naming Service (WINS) dient der Namensauflösung in einem Netzwerk.<br />
Die Namensauflösung wird für das lokale Netzwerk, aber nicht für das Internet,<br />
benötigt. Der WINS-Server speichert jede IP-Adresse mit dem zugehörigen Namen des<br />
42
KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
3.7. DNS<br />
Gerätes. Ändert sich eines von beiden, so wird dies vom WINS-Server autom<strong>at</strong>isch<br />
erkannt und selbstständig geändert. Das größte Problem des WINS-Server ist es, veraltete<br />
Einträge zu löschen. Daher ist es r<strong>at</strong>sam, so wenig WINS-Server wie möglich in<br />
einem Netzwerk zu verwenden. [17]<br />
3.7 DNS<br />
Domain Name System (DNS) ist zuständig für die Namensauflösung im Netzwerk bzw.<br />
dem Internet und ist somit einer der wichtigsten Dienste. Man verwendet ihn für das<br />
Umwandeln eines Domainnamen in eine IP-Adresse (forward lookup). Beim reverse<br />
lookup wird die bekannte IP-Adresse in einen Domainnamen umgewandelt. Der D<strong>at</strong>enaustausch<br />
erfolgt über den UDP/TCP Port 53. DNS-Server sind nicht nur im Internet<br />
vorhanden, sondern können auch im LAN verwendet werden. Es ist n<strong>at</strong>ürlich klar, dass<br />
bei solchen D<strong>at</strong>enmengen und Anfragen nicht nur ein DNS-Server vorhanden ist. Die<br />
DNS-Server sind hirarchisch gegliedert und arbeiten die Anfragen ab. [18]<br />
43
3.8. RADIUS KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
3.8 RADIUS<br />
Remote Authentic<strong>at</strong>ion Dial-In User Service (RADIUS) ist ein Client-Server-Protokoll<br />
das zur Authentifizierung, Autorisierung und zum Accounting (AAA) von Benutzern<br />
bei Einwahlverbindungen in ein Computernetzwerk dient. RADIUS ist der defacto-<br />
Standard bei der zentralen Authentifizierung von Einwahlverbindungen über Modem,<br />
ISDN, VPN, WLAN (IEEE 802.1X) und DSL. Ein RADIUS-Server ist ein zentraler<br />
Authentifizierungsserver, an den sich alle Remote Access Services (RAS), gelegentlich<br />
auch über einen RADIUS-Proxy-Server, wenden. Der RADIUS-Server übernimmt<br />
dabei für den RAS-Dienst die Authentifizierung, das heißt die Überprüfung von Benutzername<br />
und Kennwort. Ebenso werden Parameter für die Verbindung zum Client<br />
bereitgestellt. Die dabei verwendeten D<strong>at</strong>en entnimmt der RADIUS-Server eigenen<br />
Konfigur<strong>at</strong>ionsd<strong>at</strong>eien, eigenen Konfigur<strong>at</strong>ionsd<strong>at</strong>enbanken oder ermittelt diese durch<br />
Anfragen an weitere D<strong>at</strong>enbanken oder Verzeichnisdienste, in denen die Zugangsd<strong>at</strong>en<br />
wie Benutzername und Kennwort gespeichert sind. [1]<br />
3.8.1 FreeRADIUS<br />
FreeRADIUS ist ein modular aufgebauter, sehr leistungsfähiger und viele Funktionen<br />
umfassender RADIUS-Server. FreeRADIUS ist ein OpenSource Projekt und somit für<br />
eine große Anzahl an Betriebssystemen verfügbar. Aus diesem Grund ist FreeRADIUS<br />
einer der am häufigsten eingesetzten RADIUS-Server.<br />
Es galt einen unseren Anforderungen entsprechenden Authentifizierungsserver zu finden.<br />
Aufgrund der Homogenität im Schulnetzwerk, wo eigentlich fast ausschließlich<br />
Microsoft Windows Server zum Eins<strong>at</strong>z kommen, sollte der Microsoft IAS Server verwendet<br />
werden. Da die in der Schule eingesetzte Lizenz für Windows Server 2003 R2<br />
nur maximal 50 Access Points zulässt, musste ein anderer Authentifizierungsserver gefunden<br />
werden, welcher eine größere Anzahl von Access Points unterstützt.<br />
Nach kurzer Recherche stießen wir auf das Open Source Projekt FreeRADIUS und<br />
waren von dessen Fähigkeiten und Leistungsmerkmalen rasch überzeugt. Nach ersten<br />
Tests erschien uns FreeRADIUS im Vergleich zu Microsoft IAS Server auch um einiges<br />
übersichtlicher, verständlicher und logischer aufgebaut. Alle gewünschten Funktionen<br />
konnten mit dem FreeRADIUS Server bestens umgesetzt werden.<br />
44
KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
3.9. VERSCHLÜSSELUNG<br />
3.9 Verschlüsselung<br />
Oberstes Ziel unserer Diplomarbeit war es, für die Sicherheit im Funknetzwerk zu sorgen.<br />
Ein Funknetzwerk ist aufgrund seiner Ausbreitung über die Luft im Vergleich<br />
zu einem verkabelten Netzwerk wesentlich leichter angreifbar. Ein Angreifer kann beispielsweise<br />
auf dem Parkpl<strong>at</strong>z parken und mit seinem Laptop versuchen, das Funknetzwerk<br />
anzugreifen. Damit ein derartiger Angreifer keine Möglichkeit h<strong>at</strong>, die vom<br />
Access Point bzw. vom Benutzer gesendeten D<strong>at</strong>en mitzulesen, werden diese D<strong>at</strong>en verschlüsselt.<br />
Wir haben uns für die Wi-Fi Protected Access 2 (WPA2) Verschlüsselung<br />
entschieden. Wir wollten eine gegenwärtig als sicher geltende Verschlüsselung einsetzen.<br />
Dabei gingen wir einen Kompromiss ein: Ältere Laptops mit alten Funknetzwerkkarten<br />
können unter Umständen nicht mit der WPA2 Verschlüsselung komp<strong>at</strong>ibel sein.<br />
3.9.1 WPA2<br />
WPA2 ist ein Sicherheitsstandard für Funknetzwerke. Der Standard wurde laut<br />
IEEE 802.11 a/b/g/n implementiert und basiert auf der Advanced Encryption Standard<br />
(AES) Technologie. WPA2 ist der Nachfolger von WPA, was wiederum eine Weiterentwicklung<br />
von Wired Equivalent Privacy (WEP) ist. WPA2 gilt im Vergleich zu<br />
WEP als weitgehend sicher. Für WPA2 sind bisher nur Passwortangriffe bekannt. [5]<br />
Verschlüsselung<br />
Die Verschlüsselung erfolgt nach dem symmetrischen Kryptosystem Advanced Encryption<br />
Standard (AES). [6]<br />
Authentifizierung<br />
Zur Authentifizierung bieten sich zwei Möglichkeiten: zum einen kann ein sogenannter<br />
pre-shared key verwendet werden, zum anderen kann ein Authentifizierungsserver verwendet<br />
werden. Pre-shared keys werden meist nur in priv<strong>at</strong>en Install<strong>at</strong>ionen verwendet,<br />
da die Verwaltung der Schlüssel zu aufwändig wird. Eine solche Art der Authentifizierung<br />
wird oft als Personal bezeichnet.<br />
Ein Authentifizierungsserver, wie wir ihn verwenden (siehe Abschnitt 3.8.1), wird zum<br />
großen Teil in Unternehmen mit vielen Benutzern verwendet. Dabei wird als Authen-<br />
45
3.9. VERSCHLÜSSELUNG KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
tifizierungsserver ein RADIUS Server verwendet. Der RADIUS Server bietet durch<br />
die Möglichkeit einer zentralen Benutzerverwaltung vor allem in großen Netzwerken<br />
wesentliche Vorteile. Durch Kombin<strong>at</strong>ion von WPA2 und RADIUS kann eine Authentifizierung<br />
am Access Point mittels EAP realisiert werden.<br />
Sicherheit<br />
WPA2 erfüllt die strengen Sicherheitsvorschriften für D<strong>at</strong>enaustausch in US-Behörden<br />
nach FIPS 140-2. [4]<br />
46
KAPITEL 3. GRUNDLAGEN ZUR THEMATIK 3.10. IEEE 802.1X<br />
3.10 IEEE 802.1X<br />
IEEE 802.1X [7][8][9] ist eine Methode zur Authentifizierung und Autorisierung an<br />
IEEE 802-Netzwerken. Die Authentifizierung erfolgt über einen Authentic<strong>at</strong>or. In einem<br />
LAN ist dies z.B. ein physikalischer Port, in einem Funknetzwerk entspricht dies<br />
dem Access Point. Der Authentic<strong>at</strong>or leitet eine Anfrage weiter an einen Authentifizierungsserver,<br />
der dann aufgrund der Benutzerinform<strong>at</strong>ionen entscheidet, ob ein Benutzer<br />
Zugriff zum Netzwerk erhält. Anhand des in Abbildung 3.8 gezeigten Ablaufs kann der<br />
Anmeldevorgang an einem Funknetzwerk erklärt werden:<br />
Abbildung 3.8: Typischer Ablauf einer Anmeldung am Funknetzwerk<br />
• Punkt 1: Ein Benutzer meldet sich mit Benutzername und Passwort am Access<br />
Point an.<br />
• Punkt 2: Der Access Point leitet die empfangenen D<strong>at</strong>en an den Authentifizierungsserver<br />
weiter.<br />
• Punkt 3: Der Authentifizierungsserver vergleicht die von ihm empfangenen Benutzerd<strong>at</strong>en<br />
mit den in der Benutzerd<strong>at</strong>enbank vorhandenen. Je nach Übereinstimmung<br />
teilt der Authentifizierungsserver das Ergebnis dem Access Point mit.<br />
• Punkt 4: Anhand der Benutzerinform<strong>at</strong>ionen kann der Authentifizierungsserver<br />
entscheiden, auf welche Ressourcen der Benutzer Zugriff h<strong>at</strong>. Der Authentifizie-<br />
47
3.11. VIRTUALISIERUNG KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
rungsserver sendet diese Inform<strong>at</strong>ion in Form einer VLAN-ID dem Access Point<br />
zu. Dieser weist dann dem Benutzer das entsprechende VLAN zu.<br />
3.11 Virtualisierung<br />
Virtualisierung (siehe Abschnitt 5.1.1) bezeichnet Methoden, die es erlauben, Ressourcen<br />
eines Computers (insbesondere im Server-Bereich) zusammenzufassen oder aufzuteilen.<br />
Für unser Projekt war dieser Umstand von sehr großer Bedeutung. Durch die Virtualisierung<br />
von mehreren Betriebssystemen samt der zugehörigen Netzwerkinfrastruktur<br />
(Switch) auf einer Hardware konnten wir unser gesamtes Testnetzwerk auf einem einzigen<br />
physikalischen Server abbilden. Daraus entstand die Möglichkeit der zentralen<br />
Verwaltung, die uns sehr viel Arbeitsaufwand ersparte.<br />
Durch den Eins<strong>at</strong>z von virtuellen Maschinen wird es auch möglich, Momentanabbilder,<br />
sogenannte Snapshots zu erstellen. Ein Snapshot ist im Prinzip ein Backup eines<br />
gesamten Betriebssystems inklusive aller D<strong>at</strong>en auf der Festpl<strong>at</strong>te und aller D<strong>at</strong>en im<br />
Arbeitsspeicher. Wird ein Snapshot nach einer neuen Install<strong>at</strong>ion angelegt, kann somit<br />
jederzeit zu diesem in Sekundenschnelle zurückgekehrt werden. Somit können auch<br />
umfangreiche und aufwändige Arbeitsschritte durch Wiederherstellung des Snapshots<br />
rückgängig gemacht werden.<br />
Durch die Abstraktionsschicht zwischen Hardware und virtueller Maschine ist es möglich<br />
Maschinen ohne weitere Install<strong>at</strong>ion von Treibern von einer Hardware auf eine<br />
andere zu verschieben. So kann zum Beispiel eine in einem Testnetzwerk verwendete<br />
virtuelle Maschine einfach auf einen im Produktivbetrieb befindlichen Virtualisierungsserver<br />
verschoben werden. [10]<br />
48
KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
3.12. AUTHENTIFIZIERUNG<br />
3.12 Authentifizierung<br />
Unter Authentifizierung versteht man die Prüfung der Echtheit von D<strong>at</strong>en. In unserem<br />
Fall bezieht sich der Authentifizierungsvorgang auf die Feststellung der Identität des<br />
Benutzers. Mittels Authentifizierung können unberechtigte Zugriffe auf das Netzwerk<br />
verhindert werden.<br />
Die Authentifizierung kann durch<br />
• Wissen (z.B: Passwörter oder PINs)<br />
• Besitz (z.B: Ausweis, Chipkarte)<br />
• ein persönliches Merkmal (z.B: Fingerabdruck, Unterschrift, Netzhaut)<br />
erfolgen. [27]<br />
Abbildung 3.9: Prinzipieller Ablauf der Authentifizierung<br />
49
3.12. AUTHENTIFIZIERUNG KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
3.12.1 Extensible Authentic<strong>at</strong>ion Protocol – EAP<br />
Als Ablaufprotokoll für die Authentifizierung empfiehlt IEEE 802.1X das Extensible<br />
Authentic<strong>at</strong>ion Protocol (EAP) bzw. Varianten davon. Dieses Protokoll ermöglicht verschiedene<br />
Authentifizierungsverfahren und lässt sich auf neuere Verfahren erweitern,<br />
wie das Wort Extensible andeutet. Welches Verfahren gewählt wird, handeln der Benutzer<br />
(Client) und der Server vor der eigentlichen Authentifizierung aus.<br />
Nach erfolgreichem Abschluss des Authentifizierungsverfahren ist der Benutzer mit seinen<br />
Rechten im Netz angemeldet.<br />
Die konkrete Umsetzung des EAPs erfolgt bei uns durch den FreeRADIUS Server.<br />
Von EAP gibt es verschiedene Varianten die sich hauptsächlich darin unterscheiden, in<br />
welchem Maße sie Zertifik<strong>at</strong>e einsetzen:<br />
• EAP-TLS (EAP with Transport Layer Security)<br />
• PEAP (Protected EAP)<br />
• EAP-TTLS (EAP with Tunneled Transport Layer Security<br />
• LEAP (Lightweight EAP)<br />
Wir setzen auf das weit verbreitete PEAP. [27]<br />
50
KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
3.12. AUTHENTIFIZIERUNG<br />
3.12.2 PEAPv0/EAP-MSCHAPv2<br />
PEAPv0 bzw. EAP-MSCHAPv2 ist eine Variante bei dem für den Authentifizierungsserver<br />
ein Zertifik<strong>at</strong> ausgestellt werden muss. Im ersten Schritt wird ein sicherer Tunnel<br />
zwischen Client und Authentifizierungserver aufgebaut. Nach dem Tunnelaufbau<br />
erfolt im zweiten Schritt die eigentliche Authentifizierung nach MS-CHAPv2. Bei MS-<br />
CHAPv2 handelt es sich um ein Challenge Response Verfahren. Beim Challenge Response<br />
Verfahren wird eine direkte Übertragung des Passwortes vermieden. Beide Seiten,<br />
Benutzer und Authentifizierer, sind im Besitz des entsprechenden Passwortes. Bei<br />
einer Anmeldung erzeugt der Authentifizierer eine Zufallszahl und sendet diese als Herausforderung<br />
(Challenge) an den Benutzer. Dieser berechnet daraus, unter Verwendung<br />
seines Passwortes, einen Hashwert und sendet diesen als Antwort (Response) zurück.<br />
Der Authentifizierer vergleicht diese Antwort mit seinen eigenen Berechnungen. Stimmt<br />
beides überein, so ist der Benutzer authentifiziert. [27]<br />
Abbildung 3.10: Challenge Response Verfahren<br />
51
3.12. AUTHENTIFIZIERUNG KAPITEL 3. GRUNDLAGEN ZUR THEMATIK<br />
52
Teil II<br />
Testumgebung<br />
53
4 Allgemeines<br />
4.1 Einführung<br />
Bei unserer Diplomarbeit wurden sämtliche Arbeitsschritte zuerst in einem Testnetzwerk<br />
erprobt, bevor sie dann in den Produktivbetrieb übernommen wurden. Das Testen<br />
dieser Arbeitsschritte in einer Testumgebung bietet mehrere Vorteile: Dadurch, dass<br />
die Testumgebung jener im Produktivbetrieb sehr ähnlich ist, war eine Überführung<br />
vom Testbetrieb in den Produktivbetrieb mit nur wenig Problemen möglich. Die Erfahrungen,<br />
die im Testbetrieb gesammelt wurden, waren für den Produktivbetrieb sehr<br />
wertvoll, da auftretende Probleme sehr schnell beseitigt werden konnten.<br />
In Absprache mit unserem Projektbetreuer haben wir uns entschieden, die in dieser<br />
Dokument<strong>at</strong>ion gezeigten Arbeitsschritte ausschließlich auf das Testnetzwerk zu beziehen.<br />
Dies geschieht nicht zuletzt aus sicherheitstechnischen Gründen. Anhand der<br />
Dokument<strong>at</strong>ion dieser Arbeitsschritte soll es für jeden möglich sein, unsere Arbeit nachvollziehen<br />
und selbst nachbauen zu können. Die für die Administr<strong>at</strong>oren der Schule<br />
relevanten Inform<strong>at</strong>ionen sind in einer separ<strong>at</strong>en Dokument<strong>at</strong>ion enthalten.<br />
55
4.2. AUFBAU KAPITEL 4. ALLGEMEINES<br />
4.2 Aufbau<br />
Die folgende Übersicht zeigt den prinzipiellen Aufbau unseres Testnetzwerkes:<br />
Abbildung 4.1: Aufbau des Testnetzwerks<br />
56
KAPITEL 4. ALLGEMEINES<br />
4.2. AUFBAU<br />
4.2.1 IP-Adressschema<br />
Schnittstelle IP-Adresse Netzwerkmaske<br />
Router (Verbindung Schulnetzwerk) 172.20.32.2 255.255.0.0<br />
Router (Subinterface FA0/0.10) 10.0.10.1 255.255.255.0<br />
Router (Subinterface FA0/0.20) 10.0.20.1 255.255.255.0<br />
Router (Subinterface FA0/0.30) 10.0.30.1 255.255.255.0<br />
Router (Subinterface FA0/0.40) 10.0.40.1 255.255.255.0<br />
Router (Subinterface FA0/0.50) 10.0.50.1 255.255.255.0<br />
ITDC1.IT.HTLR 172.20.1.41 255.255.0.0<br />
Switch (VLAN 10) 10.0.10.2 255.255.255.0<br />
Access Point 10.0.10.101 255.255.255.0<br />
VMware ESXi Server 10.0.20.10 255.255.255.0<br />
Windows Server 2003 R2 10.0.20.11 255.255.255.0<br />
Debian 5.0 10.0.20.12 255.255.255.0<br />
Verwaltung (VLAN 10) 10.0.10.xxx 255.255.255.0<br />
Schüler (VLAN 30) 10.0.30.xxx 255.255.255.0<br />
Lehrer (VLAN 40) 10.0.40.xxx 255.255.255.0<br />
Nichtauthentifiziert (VLAN 50) 10.0.50.xxx 255.255.255.0<br />
Tabelle 4.1: IP-Adressschema der Testumgebung<br />
57
4.2. AUFBAU KAPITEL 4. ALLGEMEINES<br />
58
Teil III<br />
VMware ESXi Server<br />
59
5 Allgemeines<br />
5.1 Einführung<br />
5.1.1 Grund für die Verwendung von VMware<br />
An der HTL Rankweil kommen eine große Anzahl von Benutzern zusammen, welche mit<br />
Hilfe eines Servers verwaltet werden. Verschiedene Server haben verschiedene Aufgaben.<br />
Da es nicht effizient ist, dass jeder Server eine eigene Hardware besitzt, bzw. dies<br />
viel zu teuer wäre, virtualisiert man die Server. So ist es möglich auf einer Hardware<br />
mehrere virtuelle Server zu installieren und gleichzeitig zu betreiben. Dies ist eine<br />
enorme Kostenersparnis. Zudem ist es möglich von den virtuellen Maschinen snapshots<br />
zu machen, welche das zurücksetzen des Servers auf einen früheren Zeitpunkt enorm<br />
erleichtern.<br />
Wir verwenden zur Bereitstellung der Serverdienste einen Dell PowerEdge 4400 Server.<br />
Das darauf installierte Betriebssystem ist ein VMware ESX Server 3.5i. Dieses<br />
Betriebssystem bietet die Möglichkeit, mehrere Betriebssysteme gleichzeitig auf einer<br />
Hardware betreiben zu können. Dies h<strong>at</strong> den großen Vorteil, dass ein virtualisiertes Betriebssystem<br />
ohne große Probleme auf jedem anderen Server eingesetzt werden kann.<br />
5.1.2 Begriffserklärung<br />
Für den Betrieb von mehreren Betriebssystemen auf einer Server-Hardware wird ein<br />
Wirtsbetriebssystem benötigt, welches den Gastbetriebssystemen die erforderlichen<br />
Mittel zur Verfügung stellt und so eine Abstraktionsschicht bietet. Der große Vorteil<br />
dabei ist, dass das Gastsystem für das Wirtsbetriebssystem konfiguriert ist. So ist<br />
es möglich, das Gastbetriebssystem auf jeder anderen Hardware einzusetzen, auf der<br />
das Wirtsbetriebssystem installiert ist.<br />
Der VMware ESX Server 3.5i bietet die Möglichkeit der Virtualisierung von Betriebs-<br />
61
5.2. BEZUGSQUELLE KAPITEL 5. ALLGEMEINES<br />
systemen ohne Install<strong>at</strong>ion eines ressourcenfressenden Wirtsbetriebssystems. Die verwendete<br />
Version VMware ESX Server 3.5i ist als kostenlose Testversion verfügbar.<br />
Die Virtualisierung von Betriebssystemen ermöglicht eine sehr effiziente Nutzung von<br />
Ressourcen. Dies ist vor allem dann von Vorteil, wenn kleine Serverinstall<strong>at</strong>ionen von<br />
Nöten sind, da hier nicht mehr die gesamten Hardwareressourcen nur für ein Betriebssystem<br />
verwendet werden.<br />
5.2 Bezugsquelle<br />
Die von uns verwendete Version von VMware ESXi Server ist 3.5i. Sie ist auf der CD<br />
enthalten. Das Image des VMware ESXi Servers sowie die dazu benötigte Seriennummer<br />
kann unter<br />
http://www.vmware.com/download/esxi/getesxi.html<br />
nach einer kurzen Registrierung erhalten werden.<br />
5.3 Hardwareanforderungen<br />
Inform<strong>at</strong>ionen zu den Hardwareanforderungen bzw. zur Systemkomp<strong>at</strong>ibilität können<br />
aus den beigelegten D<strong>at</strong>eien<br />
GuestOS_guide.pdf<br />
vi35_io_guide.pdf<br />
vi35_systems_guide.pdf<br />
entnommen werden.<br />
5.4 Verwendete Hardware<br />
In der folgenden Tabelle finden sich noch einige Hardwareangaben zu unserem Dell<br />
PowerEdge 4400 Server. [33]<br />
62
KAPITEL 5. ALLGEMEINES<br />
5.4. VERWENDETE HARDWARE<br />
63
5.4. VERWENDETE HARDWARE KAPITEL 5. ALLGEMEINES<br />
Prozessor<br />
Prozessor Typ<br />
Prozessor Geschwindigkeit<br />
Arbeitsspeicher<br />
RAM Technologie<br />
Festpl<strong>at</strong>tenspeicher - RAID<br />
Anzahl der Festpl<strong>at</strong>ten<br />
RAID Konfigur<strong>at</strong>ion<br />
Hotspare<br />
Verfügbarer Festpl<strong>at</strong>tenspeicher<br />
Intel Pentium III Xeon<br />
2 x 1 GHz<br />
SDRAM 4GB<br />
8 x 36GB<br />
RAID 5 + Hotspare<br />
2 x 36GB = 72GB<br />
5 x 36GB = 180GB<br />
Netzwerk<br />
Netzwerktyp 10/100 Network Adapter x 1<br />
CD/DVD<br />
CD/DVD Typ<br />
Lesegeschwindigkeit<br />
Audio/Video<br />
Installierter Video Speicher<br />
CD-ROM<br />
40x (CD)<br />
4MB<br />
Sonstige Eigenschaften<br />
Spannungsversorgungstyp<br />
Cold Swap Power Supply - 320 W<strong>at</strong>t<br />
Integrierte Ein/Ausgabe Schnittstellen USB 1.1 x 2, Serial Port x 2<br />
RJ45 Lan Port x 1<br />
PS/2 Maus x 1, PS/2 Tast<strong>at</strong>ur x 1<br />
Parallel Port (ECP/EPP/SPP) x 1<br />
Diskettenlaufwerk<br />
3.5“ 1.44 MB floppy<br />
Tabelle 5.1: Hardwareangaben<br />
64
6 Install<strong>at</strong>ion<br />
6.1 Vorbereitung<br />
Bevor mit der Install<strong>at</strong>ion begonnen werden kann, muss das heruntergeladene Image<br />
auf ein bootfähiges Medium kopiert werden, um anschließend davon booten zu können.<br />
Da der von uns verwendete Server nicht von einem USB-Stick booten kann, haben wir<br />
das Image auf eine CD gebrannt.<br />
6.2 Install<strong>at</strong>ionsvorgang<br />
Das Dokumentieren der VMware ESX Server Install<strong>at</strong>ion ist recht umständlich. Screenshots<br />
können nicht einfach über die Tastenkombin<strong>at</strong>ion Strg + Druck erzeugt werden<br />
und ein Foto des Bildschirms erzielt nicht dieselbe Qualität, wie sie gewünscht wäre.<br />
Aus diesem Grund haben wir die Screenshots aus folgendem online Tutorial verwendet<br />
http://www.petri.co.il/how-do-you-install-vmware-esx-server-3i-esxi.htm.<br />
1. Install<strong>at</strong>ions-CD in CD-Laufwerk des Servers einlegen.<br />
2. Sollte der Server autom<strong>at</strong>isch von der CD booten, kann dieser Punkt übersprungen<br />
werden. Ansonsten muss im BIOS des Servers das Booten von einer CD<br />
aktiviert werden.<br />
3. Nachdem der Server von der CD gebootet h<strong>at</strong>, erscheint der in Abbildung 6.1<br />
gezeigte Bildschirm.<br />
65
6.2. INSTALLATIONSVORGANG KAPITEL 6. INSTALLATION<br />
Abbildung 6.1: Erster Install<strong>at</strong>ionsbildschirm<br />
4. Sobald der Ladevorgang von Abbildung 6.1 abgeschlossen ist, erscheint der in<br />
Abbildung 6.2 gezeigte Bildschirm.<br />
Abbildung 6.2: Initialisierung der Hardware<br />
66
KAPITEL 6. INSTALLATION<br />
6.2. INSTALLATIONSVORGANG<br />
5. Nachdem die Hardware initialisiert ist, erscheint eine Eingabeaufforderung wie<br />
sie in Abbildung 6.3 gezeigt wird. Diese wurde von uns mit der Taste ENTER<br />
quittiert. Anschließend mussten die Lizenzbestimmungen mit der Taste F11 akzeptiert<br />
werden.<br />
Abbildung 6.3: Aufforderung zur Install<strong>at</strong>ion des VMware ESX Server 3i 3.5<br />
6. Nun muss die Fespl<strong>at</strong>te, auf der der VMware ESX Server installiert werden soll,<br />
ausgewählt werden. In unserem Fall war nur eine Festpl<strong>at</strong>te installiert und so<br />
wählten wir diese mit der Taste ENTER aus (siehe Abbildung 6.4).<br />
67
6.2. INSTALLATIONSVORGANG KAPITEL 6. INSTALLATION<br />
Abbildung 6.4: Auswahl des Speicherorts für die Install<strong>at</strong>ion<br />
7. Abschließend muss die Install<strong>at</strong>ion des VMware ESX Servers noch mit der Taste<br />
F11 bestätigt werden (siehe Abbildung 6.5)<br />
Abbildung 6.5: Bestätigung der Install<strong>at</strong>ion<br />
68
KAPITEL 6. INSTALLATION<br />
6.2. INSTALLATIONSVORGANG<br />
8. Nachdem die Install<strong>at</strong>ion abgeschlossen ist, erscheint der in Abbildung 6.6 gezeigte<br />
Bildschirm. Die IP Adresse, RAM Speicherkapazität und CPU Angaben<br />
stimmt nicht mit denen unseres Testnetzwerks überein, da dies, wie zu Beginn<br />
der Install<strong>at</strong>ion erklärt, nicht unsere eigenen Screenshots sind.<br />
Abbildung 6.6: Bildschirmanzeige nach beendeter Install<strong>at</strong>ion<br />
69
6.2. INSTALLATIONSVORGANG KAPITEL 6. INSTALLATION<br />
70
7 Konsole<br />
Der VMware ESX Server ist nun installiert und muss jetzt konfiguriert werden. Ausgangspunkt<br />
dabei ist die in Abbildung 6.6 gezeigte Bildschirmanzeige 1 . Mit der Taste<br />
F2 wird das Customize System Menü aufgerufen, von dem aus alle weiteren Einstellungen<br />
vorgenommen werden.<br />
Die Dokument<strong>at</strong>ion zur weiteren Konfigur<strong>at</strong>ion des VMware ESX Servers mittels VMware<br />
Infrastructure Client finden Sie im Abschnitt 8.3.<br />
7.1 Tast<strong>at</strong>urlayout<br />
Als erstes muss das Tast<strong>at</strong>urlayout eingestellt werden. Dies ist wichtig, weil wir im<br />
nächsten Schritt das Root-Passwort einstellen und auf dem VMware ESX Server standardmäßig<br />
das Default–Layout (amerikanisch) eingestellt ist. Es unterscheidet sich von<br />
dem von uns auf den Client-Rechnern eingestellten Layout, mit welchem wir dann<br />
später über den VMware Infrastructure Client den Server verwalten.<br />
1. Im Customize System–Menü den Menüpunkt Configure Keyboard wählen.<br />
2. Anschließend mit den Pfeiltasten auf den Punkt German wechseln.<br />
3. Mit der Leer-Taste (Space) auswählen.<br />
4. Die Einstellung mit der Taste Enter bestätigen.<br />
1 Diese kann auch ohne Farbe (schwarz) dargestellt sein. In diesem Fall ist der Bildschirmschoner<br />
aktiviert. Durch Drücken einer Taste kann dieser beendet werden.<br />
71
7.2. ROOT-PASSWORT KAPITEL 7. KONSOLE<br />
7.2 Root-Passwort<br />
Das Root-Passwort wird verwendet, um zum einen in das Menü Customize System zu<br />
gelangen, und zum anderen über einen Client-Rechner mit dem VMware Infrastructure<br />
Client den Server zu verwalten.<br />
1. Im Customize System–Menü den Menüpunkt Configure Root Password wählen.<br />
2. Hier geben wir das Root Passwort ein, welches später auch zur Anmeldung über<br />
den VMware Infrastructure Client am Server verwendet wird. Wir wählten hier<br />
als Passwort .<br />
3. Die Eingabe des Passworts mit der Taste Enter bestätigen.<br />
7.3 Management Netzwerk<br />
Das Management Netzwerk wird zur Verwaltung des Servers benötigt. Der VMware<br />
ESX Server erhält eine eigene IP-Adresse, über die der Server mit dem VMware Infrastructure<br />
Client verwaltet werden kann. Sämtliche darauf laufende Virtuelle Maschinen<br />
erhalten eigene IP-Adressen.<br />
1. Im Customize System–Menü den Menüpunkt Configure Management Network<br />
wählen.<br />
2. Nun muss der Menüpunkt IP Configur<strong>at</strong>ion gewählt werden<br />
3. Anschließend mittels Pfeiltasten auf den Punkt Set st<strong>at</strong>ic IP address and network<br />
configur<strong>at</strong>ion wechseln.<br />
4. Mit der Leer-Taste (Space) auswählen.<br />
5. Nun mit den Pfeiltasten auf den Punkt IP Address wechseln und die IP-Adresse<br />
10.0.20.10 eingeben.<br />
6. Jetzt mit den Pfeiltasten auf den Punkt Subnet Mask wechseln und die Subnetzmaske<br />
255.255.255.0 eingeben.<br />
7. Abschließend mit den Pfeiltasten auf den Punkt Default G<strong>at</strong>eway wechseln und<br />
das Standard-G<strong>at</strong>eway 10.0.20.1 eingeben.<br />
8. Die ganze Konfigur<strong>at</strong>ion kann nun mit der Taste Enter abgespeichert werden.<br />
72
8 VMware Infrastructure Client<br />
Der VMware Infrastructure Client dient zur Verwaltung von virtuellen Maschinen auf<br />
einem VMware ESX Server. Das Programm ist kostenlos erhältlich und wird mit dem<br />
VMware ESX Server mitgeliefert. Es kann mit einem Webbrowser vom ESX Server<br />
heruntergeladen werden.<br />
8.1 Install<strong>at</strong>ion<br />
1. Der Infrastructure Client kann direkt vom laufenden VMware ESX Server heruntergeladen<br />
werden. Dazu muss die IP-Adresse des VMware ESX Servers im<br />
Webbrowser eingegeben werden, die im Abschnitt 7.3 konfiguriert wurde.<br />
Abbildung 8.1: Download von VMware Infrastructure Client<br />
Auf der in Abbildung 8.1 gezeigten Webseite kann der VMware Infastructure<br />
Client über den Link Download VMware Infrastructure Client heruntergeladen<br />
73
8.1. INSTALLATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
werden. Eine Dokument<strong>at</strong>ion kann über den Link VMware Infrastructure 3 Document<strong>at</strong>ion<br />
geladen werden 1<br />
2. Vor dem Herunterladen von VMware Infastructure Client muss der Download<br />
bestätigt werden. Dieser Schritt kann sich von Browser zu Browser unterscheiden<br />
und kann sogar je nach Einstellung komplett ausfallen.<br />
Abbildung 8.2: Bestätigung des Downloads<br />
3. Sobald die Install<strong>at</strong>ion abgeschlossen ist, kann die heruntergeladene Install<strong>at</strong>ionsd<strong>at</strong>ei<br />
geöffnet werden. Dabei erscheint das Dialogfenster,wie in Abbildung 8.3<br />
gezeigte. Als Sprache haben wir Deutsch (Deutschland) ausgewählt.<br />
Abbildung 8.3: Auswahl der Sprache<br />
4. Den in Abbildung 8.4 gezeigte Dialog haben wir mit Weiter bestätigt.<br />
1 Um die Dokument<strong>at</strong>ion herunterladen zu können, wird eine Internetverbindung benötigt.<br />
74
KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
8.1. INSTALLATION<br />
Abbildung 8.4: Erstes Install<strong>at</strong>ionsfenster<br />
5. Im nächsten Install<strong>at</strong>ionsfenster muss die Lizenzvereinbarung akzeptiert werden.<br />
Wir haben die Vereinbarung, wie in Abbildung 8.5 gezeigt, akzeptiert und mit<br />
Weiter bestätigt.<br />
Abbildung 8.5: Lizenzvereinbarungen akzeptieren<br />
6. Als nächstes müssen die Benutzerinform<strong>at</strong>ionen eingegeben werden. Wir haben<br />
hier die in Abbildung 8.6 gezeigten Angaben gemacht.<br />
75
8.1. INSTALLATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
Abbildung 8.6: Benutzerinform<strong>at</strong>ionen angeben<br />
7. Nun kann der Upd<strong>at</strong>e-Dienst von VMware Infrastructure installiert werden. Wir<br />
haben diese Option nicht verwendet und haben mit Weiter bestätigt.<br />
Abbildung 8.7: VMware Virtual Infrastructure-Upd<strong>at</strong>e-Dienst installieren<br />
8. Im in Abbildung 8.8 gezeigten Dialog kann der Install<strong>at</strong>ionspfad ausgewählt werden.<br />
Wir haben die Standardeinstellung verwendet und sind mit der Taste Weiter<br />
fortgefahren.<br />
76
KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
8.1. INSTALLATION<br />
Abbildung 8.8: Install<strong>at</strong>ionspfad angeben<br />
9. Im letzten Install<strong>at</strong>ionsdialog kann die Install<strong>at</strong>ion mit Installieren gestartet werden.<br />
Abbildung 8.9: Install<strong>at</strong>ion starten<br />
10. Nach ca. zwei Minuten ist das Programm fertig installiert. Es erscheint der in<br />
Abbildung 8.10 gezeigte Dialog. Wir haben die Installtion mit Fertig stellen abgeschlossen.<br />
77
8.2. ANMELDUNG KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
Abbildung 8.10: Install<strong>at</strong>ion fertig stellen<br />
8.2 Anmeldung<br />
Der VMware ESX Server wird über den in Abschnitt 8 installierten Client verwaltet.<br />
Alle Einstellungen können ausschließlich über dieses Programm vorgenommen werden.<br />
Nachdem der VMware Infrastructure Client installiert wurde, muss dieser gestartet<br />
werden. Es erscheint das in Abbildung 8.11 gezeigte Anmeldefenster. Hier müssen nun<br />
die Anmelded<strong>at</strong>en, die in Abschnitt 7.2 und in Abschnitt 7.3 definiert wurden, für den<br />
VMware ESX Server angegeben werden.<br />
78
KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
8.2. ANMELDUNG<br />
Abbildung 8.11: Anmeldefenster von VMware Infrastructure Client<br />
Zunächst kann mit View Certific<strong>at</strong>e das Zertifik<strong>at</strong> installiert werden bzw. mit Ignore<br />
ignoriert werden.<br />
Abbildung 8.12: Zertifik<strong>at</strong>warnung<br />
Nach erfolgreicher Anmeldung erscheint das in Abbildung 8.13 gezeigte Fenster.<br />
79
8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
Abbildung 8.13: Übersicht des VMware Infrastructure Client<br />
8.3 Konfigur<strong>at</strong>ion<br />
Nach jeder erfolgreichen Anmeldung am VMware ESX Server erscheint das in Abbildung<br />
8.13 gezeigte Fenster. Von hier aus können alle weiteren Oper<strong>at</strong>ionen unternommen<br />
werden.<br />
Als erstes müssen noch einige Einstellungen am Server vorgenommen werden. Diese<br />
können im Reiter Configur<strong>at</strong>ion getätigt werden (siehe Abbildung 8.14).<br />
8.3.1 Lizenz installieren<br />
1. Zunächst muss der Server lizenziert werden. Wir wählen dazu auf der linken Seite<br />
im Menü Software den Punkt Licensed Fe<strong>at</strong>ures aus.<br />
80
KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
8.3. KONFIGURATION<br />
Abbildung 8.14: Übersicht über die Konfigur<strong>at</strong>ion<br />
Abbildung 8.15: Lizenzverwaltung<br />
81
8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
2. Anschließend wählen wir Licence Source – Edit. . . aus und geben dann eine Seriennummer<br />
ein, die wir wie in Abschnitt 5.2 gezeigt, besorgt haben.<br />
Abbildung 8.16: Lizenz eingeben<br />
3. Die Testversion von VMware ESX Server bietet alle integrierten Funktionen. Da<br />
wir nur im Besitz einer eingeschränkten Lizenz sind, fällt durch die Aktivierung<br />
die Funktion Consolid<strong>at</strong>ed Backup weg (siehe Abbildung 8.17). Wir bestätigen<br />
dies mit OK<br />
Abbildung 8.17: Deaktivierung von Consolid<strong>at</strong>ed Backup durch Lizenzierung<br />
4. Nun erscheint nochmals eine ähnliche Meldung die uns auf den selben Missstand<br />
82
KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
8.3. KONFIGURATION<br />
hinweist. Wir bestätigen mit Ja.<br />
Abbildung 8.18: Wegfall von Funktionen<br />
5. Nachdem die Lizenz installiert wurde, wird diese in der Lizenzübersicht angezeigt.<br />
Abbildung 8.19: Lizenzübersicht mit eingetragener Lizenz<br />
8.3.2 Zeitkonfigur<strong>at</strong>ion<br />
Damit die Uhrzeit des Servers jederzeit richtig eingestellt ist, verwenden wir Network<br />
Time Protocol (NTP) zur Zeitsynchronisierung. Dies bietet vor allem dann einen großen<br />
Vorteil, wenn Log-Files durchgesehen werden müssen, weil man sicher sein kann, dass<br />
die darin vermerkte Uhrzeit mit der t<strong>at</strong>sächlichen übereinstimmt.<br />
1. Zur Konfigur<strong>at</strong>ion der NTP Server gehen wir widerum von der Konfigur<strong>at</strong>ionsübersicht<br />
aus und wählen den Menüpunkt Time Configur<strong>at</strong>ion im Menü Software.<br />
Dort wählen wir Properties. . . um ins Konfigur<strong>at</strong>ionsmenü zu gelangen.<br />
83
8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
Abbildung 8.20: Beginn der Einstellung für die Zeitsynchronis<strong>at</strong>ion<br />
2. Es erscheint nun ein Fenster in dem die Uhrzeit manuell eingestellt werden kann.<br />
Dies ist jedoch recht ungenau. Aus diesem Grund wählen wir Options. . . .<br />
Abbildung 8.21: Manuelle Einstellung der Uhrzeit<br />
3. Im nun erscheinenden Fenster wählen wir NTP Settings aus dem linken Menü.<br />
Danach kann mit dem Button Add. . . ein neuer NTP Server hinzugefügt werden.<br />
84
KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
8.3. KONFIGURATION<br />
Abbildung 8.22: NTP Server hinzufügen<br />
4. Als NTP Server geben wir zum einen 0.<strong>at</strong>.pool.ntp.org und zum anderen 1.<strong>at</strong>.pool.ntp.org<br />
ein. Die Eingaben müssen einzeln erfolgen.<br />
Abbildung 8.23: NTP Server angeben<br />
5. Nach erfolgreicher Eingabe der beiden NTP Server sieht die Übersicht wie in<br />
Abbildung 8.24 aus. Nun ist die Zeitsynchronis<strong>at</strong>ion aktiv.<br />
85
8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
Abbildung 8.24: Übersicht der Zeitkonfigur<strong>at</strong>ion mit eingetragenen NTP Servern<br />
8.3.3 DNS Identifik<strong>at</strong>ion<br />
1. Zur Konfigur<strong>at</strong>ion der DNS Identifik<strong>at</strong>ion wählen wir in der Konfigur<strong>at</strong>ionsübersicht<br />
den Menüpunkt DNS and Routing im Menü Software. Hier wählen wir<br />
anschließend Properties. . . .<br />
86
KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
8.3. KONFIGURATION<br />
Abbildung 8.25: Einstellung der DNS Identifik<strong>at</strong>ion<br />
2. Nun wählen wir die in Abbildung 8.26 gezeigten Einstellungen.<br />
Abbildung 8.26: DNS Einstellungen<br />
3. Nach erfolgreicher Eingabe der D<strong>at</strong>en sieht die Übersicht wie in Abbildung 8.27<br />
aus.<br />
87
8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
Abbildung 8.27: Übersicht der DNS Identifik<strong>at</strong>ion<br />
8.3.4 Start/Stop von Virtuellen Maschinen<br />
Wird der VMware ESX Server gestartet oder heruntergefahren, müssen standardmäßig<br />
alle virtuellen Maschinen manuell gestartet oder gestoppt werden. Die Einstellung Virtual<br />
Machine Startup/Shutdown erlaubt es, diesen Vorgang zu autom<strong>at</strong>isieren. Die in<br />
den folgenden Abbildungen gezeigten Virtuellen Maschinen sind jene, die in Abschnitt<br />
9.2.1 und in Abschnitt 10.2.1 angelegt werden<br />
1. Zur Konfigur<strong>at</strong>ion der Einstellungen für das autom<strong>at</strong>ische Starten/Stoppen der<br />
virtuellen Maschinen wählen wir im Konfigur<strong>at</strong>ionsmenü den Menüpunkt Virtual<br />
Machine Startup/Shutdown aus dem Menü Software aus.<br />
88
KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
8.3. KONFIGURATION<br />
Abbildung 8.28: Einstellungen für das autom<strong>at</strong>ische Starten/Stoppen von virtuellen<br />
Maschinen<br />
2. Über Properties. . . gelangen wir ins nächste Menü. Hier werden die Einstellungen<br />
– wie in Abbildung 8.29 gezeigt – vorgenommen. Die Einstellungen Default<br />
Startup Delay und Default Shutdown Delay bewirken eine Wartezeit zwischen<br />
Herunterfahren bzw. Starten des VMware ESX Servers und dem Herunterfahren<br />
bzw. Starten der virtuellen Maschinen.<br />
89
8.3. KONFIGURATION KAPITEL 8. VMWARE INFRASTRUCTURE CLIENT<br />
Abbildung 8.29: Erfolgreiche Konfigur<strong>at</strong>ion<br />
3. Nach erfolgreicher Einstellung sieht die Übersicht für das autom<strong>at</strong>ische Starten/-<br />
Stoppen der virtuellen Maschinen wie in Abbildung 8.30 aus.<br />
Abbildung 8.30: Übersicht der Einstellungen<br />
90
Teil IV<br />
Virtuelle Maschinen<br />
91
9 Microsoft Windows Server<br />
9.1 Warum<br />
Nach einer langen Evalu<strong>at</strong>ionsphase haben wir uns schlussendlich für den Microsoft<br />
Windows Server 2003 R2 entschieden. Wir haben im Laufe unserer Diplomarbeit Erfahrungen<br />
mit Windows Server 2003, Windows Server 2008 und Windows Server 2003<br />
R2 gesammelt und sind nun zu folgenden Ergebnissen gekommen:<br />
Windows Server 2003 ist momentan bei uns an der Schule auf den Servern installiert. In<br />
naher Zukunft soll jedoch Windows Server 2003 R2 zum Eins<strong>at</strong>z kommen, da ohnehin<br />
eine Neuinstall<strong>at</strong>ion der Server bevorsteht, und aus diesem Grund eine neuere Version<br />
verwendet werden soll.<br />
Windows Server 2008 sollte ursprünglich bei der Neuinstall<strong>at</strong>ion der Server verwendet<br />
werden. In unserer Testinstall<strong>at</strong>ion stellte sich jedoch heraus, dass dieses Betriebssystem<br />
sehr ressourcenfressend ist und für unsere Zwecke keine wirklichen Vorteile<br />
bietet.<br />
Schlussendlich blieb uns noch der Testversuch mit Windows Server 2003 R2. Dieser<br />
h<strong>at</strong> gezeigt, dass dieses Betriebssystem die besten Voraussetzungen bietet. Im Laufe<br />
unserer Tests stießen wir jedoch auf ein größeres Manko. Der Internet Authentic<strong>at</strong>ion<br />
Server (IAS) Dienst, den wir auf dem Server installiert haben, bietet in der Standard<br />
Version nur die Möglichkeit der Benutzung mit 50 Access Points. Aus diesem Grund<br />
mussten wir uns eine altern<strong>at</strong>ive Lösung ausdenken, die wir in Abschnitt 3.8.1 genauer<br />
erläutern.<br />
9.2 Install<strong>at</strong>ion<br />
Nach erfolgreicher Anmeldung am VMware ESX Server (siehe Abschnitt 8.2) erscheint<br />
das in Abbildung 8.13 gezeigte Fenster.<br />
93
9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.2.1 Anlegen einer Virtuellen Maschine<br />
1. Hier kann über Cre<strong>at</strong>e a new virtual machine im unteren Bereich eine neue virtuelle<br />
Maschine angelegt werden.<br />
2. Im nun erscheinenden Fenster wählen wir eine typische virtuelle Maschine durch<br />
den Punkt Typical. Wir bestätigen mit Next.<br />
Abbildung 9.1: Auswahl einer typischen Install<strong>at</strong>ion<br />
3. Als nächstes vergeben wir der virtuellen Maschine einen Namen. Wir wählen<br />
Windows Server 2003 R2 Standard. Weiter mit Next.<br />
Abbildung 9.2: Angabe eines Namens<br />
4. Im nächsten Schritt muss der Speicherort der virtuellen Maschine angegeben<br />
werden. In unserem Fall ist nur der [d<strong>at</strong>astore1] verfügbar und so wählen wir<br />
diesen aus. Mit Next fahren wir fort.<br />
94
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.2. INSTALLATION<br />
Abbildung 9.3: Auswahl des Speicherortes<br />
5. Nun muss das Gastbetriebssystem angegeben werden. Wir wählen unserem Betriebssystem<br />
entsprechend Microsoft Windows Server 2003, Standard Edition<br />
(32-bit) aus. Zum nächsten Schritt mit Next.<br />
Abbildung 9.4: Auswahl des Gastbetriebssystems<br />
6. Hier wird nun die dem Gastsystem zur Verfügung stehende Anzahl an Arbeitsspeicher<br />
eingestellt. Wir wählen hier 1024 MB und fahren mit Next fort.<br />
95
9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.5: Zuweisen von Arbeitsspeicher<br />
7. Als nächstes defininieren wir die Anzahl an Netzwerkadaptern. Wir wählen eine<br />
NIC aus dem Netzwerk VM Network aus. Als Adaptertyp wählen wir Flexible.<br />
Die Netzwerkverbindung soll beim Starten der Virtuellen Maschine autom<strong>at</strong>isch<br />
gestartet werden. Dies wird duch die Option Connect <strong>at</strong> Power On aktiviert.<br />
Abbildung 9.6: Auswahl der Netzwerkschnittstellen<br />
8. Zuletzt wählen wir die Größe der virtuellen Disk aus. Dies ist die Größe jener<br />
Disk, die der Virtuellen Maschine später als Festpl<strong>at</strong>tenspeicher zur Verfügung<br />
steht. Hier wurden von uns 30 GB eingestellt.<br />
96
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.2. INSTALLATION<br />
Abbildung 9.7: Größe der virtuellen Disk<br />
9. Als Abschluss wird eine Übersicht über die getätigten Einstellungen angezeigt.<br />
Sofern keine Fehler ersichtlich sind, kann mit Finish abgeschlossen werden. Ansonsten<br />
muss ein Haken bei Edit this virtual machine settings before submitting<br />
gesetzt werden und mit Continue bestätigt werden.<br />
Abbildung 9.8: Abschluss der Einrichtung<br />
9.2.2 Install<strong>at</strong>ion<br />
In den folgenden Schritten wird gezeigt, wie der Windows Server 2003 R2 als virtuelle<br />
Maschine installiert wird.<br />
1. Zunächst starten wir die virtuelle Maschine, die wir zuvor eingerichtet haben.<br />
Mit Rechtsklick und Power On starten wir die Maschine.<br />
97
9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.9: Virtuelle Maschine starten<br />
2. Nun bindet man das CD-Image ein. Dazu klickt man auf Connect CD-DVD 1<br />
und dann auf Connect to ISO image.... Nun muss man noch das richtige Image<br />
auswählen.<br />
Abbildung 9.10: Image einbinden<br />
3. Hier sieht man den Boot-Vorgang der Virtuellen Maschine. Zu Beginn wird versucht,<br />
über das Netzwerk zu booten. Schlägt dieser Versuch fehl, wird von einem<br />
lokalen Medium (CD/DVD/Image) gebootet.<br />
98
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.2. INSTALLATION<br />
Abbildung 9.11: Booten über das Netzwerk<br />
4. Nun beginnt die Install<strong>at</strong>ion von Windows Server 2003 R2. Die Install<strong>at</strong>ion sucht<br />
zunächst selbstständig die Treiber.<br />
Abbildung 9.12: Treibersuche<br />
5. Wir drücken nun Enter um mit der Install<strong>at</strong>ion zu starten.<br />
99
9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.13: Setup starten<br />
6. Wir stimmen mit F8 den Windows Lizenzbedingungen zu.<br />
Abbildung 9.14: Windows Lizenzbedingung akzeptieren<br />
7. Wir fahren fort mit Enter, da wir schon eine passende Partitionsgröße beim Erstellen<br />
der virtuellen Maschine festgelegt haben.<br />
100
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.2. INSTALLATION<br />
Abbildung 9.15: Partitionen erstellen<br />
8. Hier wählen wir Partition mit dem NTFS-D<strong>at</strong>eisystem form<strong>at</strong>ieren <br />
aus. Mit Enter setzen wir die Install<strong>at</strong>ion fort.<br />
Abbildung 9.16: NTFS-D<strong>at</strong>eisystem erstellen<br />
9. Hier sieht man den fortlaufenden Stand der Install<strong>at</strong>ion.<br />
101
9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.17: Fortlaufender Install<strong>at</strong>ionsstand<br />
10. Die virtuelle Maschine startet nun autom<strong>at</strong>isch neu. Mit der Eingabetaste kann<br />
man das Neustarten sofort bestätigen.<br />
Abbildung 9.18: virtuelle Maschine neustarten<br />
11. Nun beginnt die Install<strong>at</strong>ion auf der grafischen Oberfläche autom<strong>at</strong>isch.<br />
102
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.2. INSTALLATION<br />
Abbildung 9.19: Einrichtung der landesspezifischen Einstellungen<br />
12. Wir bestätigen mit Weiter um mit der Install<strong>at</strong>ion fortzufahren.<br />
Abbildung 9.20: Install<strong>at</strong>ion<br />
13. Wir geben hier als Name Inform<strong>at</strong>ionstechnik und als Organis<strong>at</strong>ion HTL Rankweil<br />
an.<br />
103
9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.21: Benutzerinform<strong>at</strong>ionen<br />
14. Hier ist der Product Key einzugeben und dann mit Weiter zu bestätigen.<br />
Abbildung 9.22: Product Key<br />
15. Hier kann der Lizenzierungsmodus angegeben werden. Wir wählen hier Pro Server<br />
Anzahl der gleichzeitigen Verbindungen 1000. Für jede Verbindung ist eine eigene<br />
Clientzugriffslizenz notwendig. aus. Wir bestätigen nun mit Weiter.<br />
104
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.2. INSTALLATION<br />
Abbildung 9.23: Lizenzierungsmodus<br />
16. Nun ist der Computername und das Administr<strong>at</strong>orkennwort anzugeben. Als Computername<br />
verwenden wir AIR09-DC1. Das Kennwort sollte mindestens 8 Zeichen<br />
haben und sicher sein. Das Kennwort muss zur Bestätigung 2 mal eingegeben<br />
werden. Nun bestätigen wir mit Weiter.<br />
Abbildung 9.24: Computername und Administr<strong>at</strong>orkennwort konfigurieren<br />
17. Hier sieht man die Fehlermeldung, falls das Kennwort nicht sicher sein sollte. Man<br />
kann es nun erneut ändern oder aber das unsichere Kennwort verwenden. Es ist<br />
jedoch aus sicherheitstechnischen Gründen zu empfehlen, ein sicheres Passwort<br />
zu verwenden.<br />
105
9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.25: Unsicheres Passwort<br />
18. Nun sind D<strong>at</strong>um und Uhrzeit anzugeben. Das aktuelle D<strong>at</strong>um wird vom Server<br />
selbst aus dem BIOS ausgelesen. Falls es nicht stimmen sollte, ist es händisch<br />
zu ändern. Bei der Zeitzone wählen wir (GMT+01:00) Amsterdam, Berlin,<br />
Rom, Stockholm, Wien aus. Ebenfalls wählen wir die Option Uhr autom<strong>at</strong>isch<br />
auf Sommer-/Winterzeit umstellen aus. Wir fahren mit Weiter fort.<br />
Abbildung 9.26: D<strong>at</strong>um- und Uhrzeiteinstellungen<br />
19. Nun werden die Netzwerkeinstellungen konfiguriert. Wir wählen hier Standardeinstellungen<br />
aus und bestätigen mit Weiter.<br />
106
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.2. INSTALLATION<br />
Abbildung 9.27: Netzwerkeinstellungen<br />
20. Unser Server befindet sich in keiner Domäne, da er später selbst Domänenserver<br />
wird. Deshalb wählen wir hier Nein, dieser Computer ist entweder... und<br />
ARBEITSGRUPPE aus.<br />
Abbildung 9.28: Arbeitsgruppe<br />
21. Nun ist die Install<strong>at</strong>ion beendet und wir können uns mit Strg+Alt+Entf einloggen.<br />
107
9.2. INSTALLATION KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.29: Anmeldefenster nach erfolgreich abgeschlossener Install<strong>at</strong>ion<br />
108
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.3. DNS-SERVER<br />
9.3 DNS-Server<br />
9.3.1 Warum<br />
Der DNS Server wird zur Namensauflösung in einem Netzwerk benötigt. Genauere<br />
Inform<strong>at</strong>ionen finden Sie im Abschnit 3.7.<br />
9.3.2 Install<strong>at</strong>ion<br />
In den folgenden Schritten wird gezeigt, wie man den DNS-Dienst auf einem Windows<br />
Server 2003 R2 installiert.<br />
1. Zunächst öffnet man das Fenster der Serververwaltung.<br />
2. Wir wählen Funktionen hinzufügen oder entfernen.<br />
Abbildung 9.30: Serververwaltung<br />
3. Nun kommen wir zu einem Fenster mit einigen Inform<strong>at</strong>ionen. Wir kommen zum<br />
nächsten Schritt mit Weiter.<br />
109
9.3. DNS-SERVER KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.31: Install<strong>at</strong>ions-Assistent Infos<br />
4. Wir wählen hier den DNS-Server Dienst aus und bestätigen mit Weiter.<br />
Abbildung 9.32: DNS-Serverdienst auswählen<br />
5. Hier bestätigen wir mit Weiter um die Install<strong>at</strong>ion zu starten.<br />
110
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.3. DNS-SERVER<br />
Abbildung 9.33: DNS-Install<strong>at</strong>ion starten<br />
6. Jetzt wird man nach der Original-CD von Windows Server 2003 R2 gefragt. Es ist<br />
notwendig, diese einzulegen, oder wie in unserem Fall, sie als Image zu mounten.<br />
Wie man ein Image einer Virtuellen Maschine mountet findet man im Kapitel:<br />
Microsoft Windows Server 2003 R2 /Install<strong>at</strong>ion. Wenn die CD gemountet oder<br />
sich im CD-Laufwerk befindet, bestätigen wir mit OK.<br />
Abbildung 9.34: DNS-Windows CD einlegen<br />
7. Die Install<strong>at</strong>ion beginnt autom<strong>at</strong>isch.<br />
111
9.3. DNS-SERVER KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.35: DNS-Install<strong>at</strong>ionsvorgang<br />
8. Da sich in unserem Netzwerk noch kein DNS-Server befindet, kann man die Überprüfung<br />
weglassen und mit Weiter fortfahren.<br />
Abbildung 9.36: DNS-Überprüfung<br />
9. Da wir nur über ein kleines Testnetzwerk verfügen, wählen wir hier Eine Forward-<br />
Lookupzone erstellen (für kleine Netzwerke empfohlen) aus und bestätigen mit<br />
Weiter.<br />
112
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.3. DNS-SERVER<br />
Abbildung 9.37: DNS-Lookupzone<br />
10. Weil wir diesen Server selbst betreiben, wählen wir hier Dieser Server verwaltet<br />
die Zone aus. Es wird mit Weiter bestätigt.<br />
Abbildung 9.38: DNS-Zonenverwaltung<br />
11. Wir nennen unsere Zone tit.air09 und bestätigen mit Weiter.<br />
113
9.3. DNS-SERVER KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.39: DNS-Zonenname<br />
12. Hier können wir auswählen, ob wir dynamische Upd<strong>at</strong>es für unseren DNS-Server<br />
zulassen. Aufgrund dessen, dass wir im nächsten Schritt ein Windows Active<br />
Directory installieren, wählen wir hier Nur sichere dynamische Upd<strong>at</strong>es zulassen<br />
(Für Active Directory empfohlen) aus. Wir bestätigen mit Weiter.<br />
Abbildung 9.40: DNS-Dynamische Upd<strong>at</strong>es<br />
13. Wir wählen hier Ja, der Server soll Abfragen an DNS-Server mit folgenden IP-<br />
Adressen weiterleiten: aus. Nun geben wir folgenden IP-Adressen an: 194.183.128.35<br />
und 194.183.128.35. Es wird mit Weiter bestätigt.<br />
114
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.3. DNS-SERVER<br />
Abbildung 9.41: DNS-Serveranfragen weiterleiten<br />
14. Nun bestätigen wir das Fertigstellen der Install<strong>at</strong>ion mit Hilfe des Install<strong>at</strong>ionsassistenten<br />
mit Fertig stellen.<br />
Abbildung 9.42: DNS-Install<strong>at</strong>ion fertig stellen<br />
15. Wir bestätigen nochmals die Fertigstellung der Install<strong>at</strong>ion mit Fertig stellen. Die<br />
Install<strong>at</strong>ion ist nun erfolgreich abgeschlossen.<br />
115
9.3. DNS-SERVER KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.43: DNS-Install<strong>at</strong>ion fertig stellen<br />
116
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.4. ACTIVE DIRECTORY<br />
9.4 Active Directory<br />
9.4.1 Warum<br />
Das Microsoft AD verwaltet die Benutzer einer Domäne. Somit können verschiedene<br />
Benutzer angelegt werden. Das Active Directory trägt wesentlich zur Sicherheit eines<br />
Netzwerks bei, da jeder Benutzer einen eigenen Acount besitzt und ein eigenes Passwort.<br />
Zudem kann jeder Benutzer in bestimmte Gruppen mit bestimmten Rechten<br />
gegeben werden.<br />
9.4.2 Install<strong>at</strong>ion<br />
In den folgenden Schritten wird gezeigt, wie man das Active Directory auf einem Windows<br />
Server 2003 R2 installiert.<br />
1. Zunächst öffnet man das Fenster der Serververwaltung.<br />
2. Nun wählen wir Funktionen hinzufügen oder entfernen.<br />
Abbildung 9.44: Serververwaltung<br />
3. Hier kommen wir zu einem Fenster mit einigen Inform<strong>at</strong>ionen. Wir kommen zum<br />
nächsten Schritt mit Weiter.<br />
117
9.4. ACTIVE DIRECTORY KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.45: Inform<strong>at</strong>ionen<br />
4. Im folgenden Schritt wählen wir Domänencontroller (Active Directory) aus und<br />
bestätigen mit Weiter.<br />
Abbildung 9.46: Auswahl Domänencontroller (Active Directory)<br />
5. Es wird gefragt, ob wir mit Hilfe des Install<strong>at</strong>ionsassistenten den Vorgang fortsetzen<br />
wollen, wir bestätigen mit Weiter.<br />
118
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.4. ACTIVE DIRECTORY<br />
Abbildung 9.47: Install<strong>at</strong>ionsassistent<br />
6. Wir bestätigen mit Weiter für den Install<strong>at</strong>ionsvorgang.<br />
Abbildung 9.48: Install<strong>at</strong>ionsassistent<br />
7. Nun wird man über die Komp<strong>at</strong>ibiltät von Windows Server 2003 R2 mit dem<br />
Active Directory informiert. Zum nächsten Schritt mit Weiter.<br />
119
9.4. ACTIVE DIRECTORY KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.49: Komp<strong>at</strong>ibilität<br />
8. Da unser Netzwerk neu ist, verfügt es noch über keinen Domänencontroller, deshalb<br />
wählen wir Domänencontroller für eine neue Domäne.<br />
Abbildung 9.50: Neuer Domänencontroller<br />
9. In diesem Fenster wählen wir Domäne in einer neuen Gesamtstruktur. Diese<br />
Option wählt man, wenn es sich um die erste Domäne in einem Netzwerk handelt.<br />
120
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.4. ACTIVE DIRECTORY<br />
Abbildung 9.51: Neuer Domänencontroller in Gesamtstruktur<br />
10. Im folgenden Schritt geben wir unserer Domäne einen Namen. Unsere Domäne<br />
heißt tit.air09. Mit Weiter kommen wir zum nächsten Schritt.<br />
Abbildung 9.52: Install<strong>at</strong>ion erfolgreich beenden<br />
11. Die NetBIOS-Domäne nennen wir TIT. Mit Weiter kommen wir zum nächsten<br />
Schritt.<br />
121
9.4. ACTIVE DIRECTORY KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.53: NetBIOS-Domäne benennen<br />
12. Hier kann der Pfad zur D<strong>at</strong>enbank geändert werden. Wir empfehlen aber, sie auf<br />
dem Standardpfad zu lassen. Wir bestätigen mit Weiter.<br />
Abbildung 9.54: Pfad der D<strong>at</strong>enbank<br />
13. Nun kann angegeben werden, wo die Kopie der veröffentlichten D<strong>at</strong>en gespeichert<br />
werden sollte. Wir bestätigen mit Weiter.<br />
122
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.4. ACTIVE DIRECTORY<br />
Abbildung 9.55: Pfad der Kopie der öffentlichen D<strong>at</strong>eien<br />
14. Im folgenden Schritt wählten wir Nur mit Windows 2000- oder Windows Server<br />
2003 Betriebssystemen komp<strong>at</strong>ible Berechtigungen. Wir haben uns zu diesem<br />
Schritt entschlossen, da die Sicherheit des Servers im Vordergrund stand, und der<br />
Server wichtige Funktionen und D<strong>at</strong>en enthält. Somit kann ausgeschlossen werden,<br />
dass fremde Programme auf unseren Server zugreifen können. Wir bestätigen<br />
mit Weiter.<br />
Abbildung 9.56: Serverprogramm Berechtigungen<br />
15. Um Verzeichnisdienste wiederherstellen zu können, ist ein eigenes Passwort notwendig.<br />
Wir haben hier das Passwort verwendet. Wir bestätigen<br />
mit Weiter.<br />
123
9.4. ACTIVE DIRECTORY KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.57: Verzeichnisdienst Passwort<br />
16. Hier wird nochmals aufgelistet, was wir zuvor an Einstellungen getroffen haben.<br />
Wir bestätigen mit Weiter.<br />
Abbildung 9.58: Auflistung der Einstellungen<br />
17. Die Install<strong>at</strong>ion kann einige Minuten in Anspruch nehmen, je nach Leistung der<br />
Hardware.<br />
124
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.4. ACTIVE DIRECTORY<br />
Abbildung 9.59: Install<strong>at</strong>ion<br />
18. Durch das Bestätigen mit Fertig stellen können wir die Install<strong>at</strong>ion mit dem<br />
Install<strong>at</strong>ionsassistenten erfolgreich beenden.<br />
Abbildung 9.60: Install<strong>at</strong>ion mit Install<strong>at</strong>ionsassistent beenden.<br />
19. Durch nochmaliges Bestätigen mit Fertig stellen können wir die Install<strong>at</strong>ion erfolgreich<br />
beenden.<br />
125
9.4. ACTIVE DIRECTORY KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.61: Install<strong>at</strong>ion erfolgreich beenden<br />
126
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.5. WINDOWS DHCP<br />
9.5 Windows DHCP<br />
9.5.1 Warum<br />
Der Windows DHCP Server ist dafür zuständig, dass jeder Benutzer des Netzwerkes autom<strong>at</strong>isch<br />
eine einzigartige IP-Adresse bekommt. Durch diesen Mechanismus kann eine<br />
mehrfache verteilung einer IP-Adresse an Geräte im Netzwerk größtenteils verhindert<br />
werden.<br />
9.5.2 Install<strong>at</strong>ion und Konfigur<strong>at</strong>ion<br />
In den folgenden Schritten wird gezeigt, wie man den Windows DHCP-Server auf einem<br />
Windows Server 2003 R2 installiert und wie man ihn konfiguriert.<br />
1. Wir wählen hier DHCP-Server aus und bestätigen mit Weiter.<br />
Abbildung 9.62: DHCP-Server<br />
2. Wir starten die Install<strong>at</strong>ion mit Weiter.<br />
127
9.5. WINDOWS DHCP KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.63: DHCP-Install<strong>at</strong>ionsassistent<br />
3. Die Install<strong>at</strong>ion läuft vorerst komplett autom<strong>at</strong>isch.<br />
Abbildung 9.64: DHCP-Install<strong>at</strong>ionsassistent<br />
4. Wir bestätigen mit Weiter.<br />
128
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.5. WINDOWS DHCP<br />
Abbildung 9.65: DHCP-Install<strong>at</strong>ionsassistent<br />
5. Jetzt geben wir den Namen des Adressbereiches an. Wir nehmen hier AIR09-<br />
MANAGEMENT. Bestätigung mit Weiter.<br />
Abbildung 9.66: DHCP-Install<strong>at</strong>ionsassistent<br />
6. Hier geben wir den IP-Adressbereich und die Netzwerkmaske an und bestätigen<br />
mit Weiter. In unserem Fall haben wir 10.0.10.100 als Start-IP-Adresse und<br />
10.0.10.200 als End-IP-Adresse angegeben.Wir haben eine 24 Bit Netzwerkmaske<br />
verwendet.<br />
129
9.5. WINDOWS DHCP KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.67: DHCP-Adressbereich<br />
7. Nun können wir, falls nötig, noch gewisse Adressbereiche aus dem Adresspool<br />
ausschließen. Bestätigen mit Weiter.<br />
Abbildung 9.68: DHCP-Adressbereiche ausschließen<br />
8. Wir wählen hier die Leasetime für die IP-Adresse. Falls einem zu wenige IP-<br />
Adressen zur Verfügung stehen, kann man die Leasetime auch kürzer wählen, da<br />
dann nicht verwendete IP-Adressen schneller wieder verfügbar sind. Bestätigen<br />
mit Weiter.<br />
130
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.5. WINDOWS DHCP<br />
Abbildung 9.69: DHCP-Leasetime<br />
9. Wir wählen Ja, diese Optionen jetzt konfigurieren.<br />
Abbildung 9.70: DHCP-Optionen konfigurieren<br />
10. Hier geben wir die IP-Adresse des Routers an 10.0.20.1. Dabei ist es wichtig, dass<br />
man nach dem Eingeben der IP-Adresse auf Hinzufügen klickt. Nun bestätigen<br />
wir mit Weiter.<br />
131
9.5. WINDOWS DHCP KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.71: DHCP-Router IP angeben<br />
11. Nun geben wir die IP-Adresse unseres Windows Servers an, da er ebenfalls die<br />
Rolle des Domänen- und DNS-Servers übernimmt. Die IP-Adresse unseres Servers<br />
lautet 10.0.20.11. Es ist wichtig, dass man nach dem Eingeben der IP-Adresse<br />
auf Hinzufügen klickt. Nun Bestätigen mit Weiter.<br />
Abbildung 9.72: DHCP-DNS Server angeben<br />
12. Hier geben wir die IP-Adresse unseres WINS-Servers an. Die IP-Adresse unseres<br />
Servers lautet 10.0.20.11. Hierbei ist es wichtig, dass man nach dem Eingeben<br />
der IP-Adresse auf Hinzufügen klickt. Nun bestätigen wir mit Weiter.<br />
132
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.5. WINDOWS DHCP<br />
Abbildung 9.73: DHCP-WINS Server angeben<br />
13. Wir wählen hier Ja, diesen Bereich jetzt aktivieren und bestätigen mit Weiter<br />
Abbildung 9.74: DHCP-Bereich aktivieren<br />
14. Wir bestätigen mit Fertig stellen, damit unser DHCP-Bereich erstellt wird.<br />
133
9.6. WINS KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.75: DHCP-Bereich fertig stellen<br />
15. Im folgenden Bild sieht man unsere DHCP-Einstellungen für unser Testnetzwerk.<br />
Hierbei werden IP-Adressen an die VLANs 10 (Management), 20 (Server),<br />
30 (PUBLIC=Schüler), 40 (PRIVATE=Lehrer) und 50 (test=N<strong>at</strong>ive VLAN) vergeben.<br />
Abbildung 9.76: DHCP-Struktur<br />
9.6 WINS<br />
9.6.1 Warum<br />
WINS dient zur Namensauflösung in einem Netzwerk. Siehe Kapitel: Grundlagen zur<br />
Them<strong>at</strong>ik /WINS.<br />
134
KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
9.6. WINS<br />
9.6.2 Install<strong>at</strong>ion<br />
In den folgenden Schritten wird gezeigt, wie man den WINS-Server auf einem Windows<br />
Server 2003 R2 installiert.<br />
1. Wir wählen beim Serverkonfigur<strong>at</strong>ions-Assistenten den WINS-Server aus und<br />
bestätigen mit Weiter.<br />
Abbildung 9.77: WINS-Install<strong>at</strong>ion<br />
2. Hier wird die Install<strong>at</strong>ion mit Weiter bestätigt.<br />
Abbildung 9.78: WINS-Install<strong>at</strong>ion bestätigen<br />
3. Die Install<strong>at</strong>ion wird autom<strong>at</strong>isch ausgeführt.<br />
135
9.6. WINS KAPITEL 9. MICROSOFT WINDOWS SERVER<br />
Abbildung 9.79: WINS-Install<strong>at</strong>ionsvorgang<br />
4. Wir bestätigen mit Fertig stellen den erfolgreichen Abschluss der Install<strong>at</strong>ion.<br />
Abbildung 9.80: WINS-fertig stellen<br />
136
10 Debian GNU/Linux 5.0 Lenny<br />
10.1 Warum<br />
Bei den ersten Authentifizierungstests mit dem IAS – Internetauthentifizierungsdienst<br />
der in Windows Server 2003 integriert ist, tr<strong>at</strong>en Probleme bezüglich der Verbindung<br />
zwischen Authentifizierungsserver und Access Point auf. Außerdem können mit der<br />
Windows Server 2003 R2 Version, welche wir im Testnetzwerk installiert haben, maximal<br />
50 Access Points mit dem IAS verbunden werden. Diese Anzahl erschien uns<br />
für das HTL Funknetzwerk zu gering und wir überlegten uns einen anderen RADIUS<br />
Server zu verwenden.<br />
Wir entschieden uns für den wesentlich mächtigeren und zudem frei verfügbaren Free<br />
RADIUS Server. Als Betriebssystem für das FreeRADIUS Paket fiel unsere Wahl auf<br />
Debian, da es sehr gut für Serverdienste geeignet ist. Außerdem haben wir diese Linux-<br />
Distribution gewählt, weil die meisten Pakete in einer stabilen Version zur Verfügung<br />
stehen und somit gleich auf Anhieb funktionieren.<br />
10.2 Install<strong>at</strong>ion<br />
Nach erfolgreicher Anmeldung am VMware ESX Server (siehe Abschnitt 8.2) erscheint<br />
das in Abbildung 8.13 gezeigte Fenster.<br />
10.2.1 Anlegen einer Virtuellen Maschine<br />
1. Hier kann über New Virtual Machine... im Kontextmenü unseres ESXi-Servers<br />
eine neue Virtuelle Maschine angelegt werden.<br />
137
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Abbildung 10.1: Neue virtuelle Maschine erstellen<br />
2. Im nun erscheinenden Fenster wählen wir eine typische virtuelle Maschine durch<br />
den Punkt Typical. Wir bestätigen mit Next<br />
Abbildung 10.2: Auswahl einer typischen Install<strong>at</strong>ion<br />
3. Als nächstes vergeben wir der virtuellen Maschine einen Namen. Wir wählten<br />
Debian 5.0. Weiter mit Next.<br />
138
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
Abbildung 10.3: Angabe eines Namens<br />
4. Im nächsten Schritt muss der Speicherort der virtuellen Maschine angegeben<br />
werden. In unserem Fall ist nur der [d<strong>at</strong>astore1] verfügbar und so wählen wir<br />
diesen aus. Mit Next fahren wir fort.<br />
Abbildung 10.4: Auswahl des Speicherortes<br />
5. Nun muss das Gastbetriebssystem angegeben werden. Da uns bei der Auswahl<br />
Debian nicht zur Verfügung stand, haben wir Other Linux (32-bit) ausgewählt.<br />
Zum nächsten Schritt mit Next.<br />
139
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Abbildung 10.5: Auswahl des Gastbetriebssystems<br />
6. Hier wird nun die dem Gastsystem zur Verfügung stehende Größe des Arbeitsspeichers<br />
eingegeben. Wir wählen hier 1024 MB und fahren mit Next fort.<br />
Abbildung 10.6: Zuweisen von Arbeitsspeicher<br />
7. Bei der Anzahl an Netzwerkadaptern wählen wir eine NIC aus dem Netzwerk<br />
VM Network aus. Als Adaptertyp wählen wir Flexible. Die Netzwerkverbindung<br />
soll beim Starten der Virtuellen Maschine autom<strong>at</strong>isch gestartet werden. Dies<br />
wird duch die Option Connect <strong>at</strong> Power On aktiviert.<br />
140
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
Abbildung 10.7: Auswahl der Netzwerkschnittstellen<br />
8. Als letzten Punkt definieren wir die Größe der virtuellen Festpl<strong>at</strong>te. Hier haben<br />
wir uns für 30 GB auf d<strong>at</strong>astore1 entschieden, da uns insgesamt noch 35,7 GB<br />
auf der physikalischen Festpl<strong>at</strong>te zur Verfügung standen.<br />
Abbildung 10.8: Zuweisen des virtuellen Festpl<strong>at</strong>tenspeichers<br />
9. Als Abschluss wird eine Übersicht über die getätigten Einstellungen angezeigt.<br />
Sofern keine Fehler ersichtlich sind, kann mit Finish abgeschlossen werden. Ansonsten<br />
muss ein Haken bei Edit this virtual machine settings before submitting<br />
gesetzt werden und mit Continue fortgefahren werden.<br />
141
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Abbildung 10.9: Abschluss der Einrichtung<br />
142
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
10.2.2 Install<strong>at</strong>ion<br />
1. Die soeben erstellte virtuelle Maschine Debian 5.0 wird nun durch einen Klick<br />
auf Power On im Kontextmenü hochgefahren.<br />
Abbildung 10.10: Virtuelle Maschine hochfahren<br />
2. Das CD-Image debian-500-i386-CD-1, welches für die Install<strong>at</strong>ion von Debian 5.0<br />
benötigt wird, muss über Connect to ISO image... eingebunden werden.<br />
Abbildung 10.11: CD-Image einbinden<br />
3. Für die weiteren Schritte muss die Konsole der virtuellen Maschine geöffnet werden.<br />
Dies geschieht durch einen Klick auf folgendes Symbol Launch Virtual Machine<br />
Console.<br />
Abbildung 10.12: Konsole öffnen<br />
143
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
4. Wir erkennen nun, dass noch kein Betriebssystem auf unserer virtuellen Maschine<br />
installiert ist. Durch die Tastenkombin<strong>at</strong>ion Strg + Alt + Insert wird die Maschine<br />
neu gestartet. Im Normalfall sollte das System nun von dem CD-Image<br />
booten. Sollte dies nicht der Fall sein, muss im BIOS (wird durch Drücken der<br />
ESC-Taste beim Systemstart betreten) die Bootreihenfolge angepasst werden.<br />
Abbildung 10.13: Kein Betriebssystem gefunden<br />
5. Nach dem Neustart erscheint das Installer boot menu von Debian. Hier wählen<br />
wir Install aus. Dies geschieht mit Hilfe der Pfeil-Tasten. Bestätigt wird eine<br />
Auswahl mit der Enter-Taste<br />
Abbildung 10.14: Installer boot menu<br />
6. Nach dem Bestätigen wird der Kernel gestartet und wir gelangen zur ersten<br />
Auswahl. Bei der Sprachauswahl haben wir German - Deutsch gewählt. Bestätigt<br />
wird wieder mittels Enter-Taste<br />
144
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
Abbildung 10.15: Auswahl der Sprache<br />
7. Bei der Auswahl des Landes haben wir Österreich ausgewählt.<br />
Abbildung 10.16: Auswahl des Landes/Gebiet<br />
8. Die Tast<strong>at</strong>urbelegung wurde auf Deutsch festgelegt.<br />
145
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Abbildung 10.17: Tast<strong>at</strong>urbelegung festlegen<br />
9. Im Anschluss wird eine Erkennung der Hardware ausgeführt um das CD-ROM-<br />
Laufwerk zu finden.<br />
Abbildung 10.18: Hardware-Erkennung<br />
10. Danach wird das CD-Image durchsucht um zusätzliche Komponenten zu laden.<br />
146
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
Abbildung 10.19: CD-Image durchsuchen<br />
11. Nach einer Weile gelangt man zur Einrichtung des Netzwerks. Bei dem Rechnernamen<br />
haben wir air09-rs (air09-radiusserver) gewählt. Durch Drücken der<br />
Tabul<strong>at</strong>or-Taste kann zwischen den Optionen gewechselt werden. Wechsel auf<br />
Weiter und bestätigen mit Enter-Taste<br />
Abbildung 10.20: Eingabe des Rechnernamens<br />
12. Da unsere Domaine tit.air09 heißt, haben wir dies hier eingegeben und bestätigt.<br />
147
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Abbildung 10.21: Eingabe des Domainnamens<br />
13. Nach der Konfigur<strong>at</strong>ion des Netzwerks wird die Festpl<strong>at</strong>te und andere Hardware<br />
eingelesen und anschließend das Programm für die Partitionierung geladen.<br />
Abbildung 10.22: Partitionierungsprogramm laden<br />
14. In der darauf folgenden Auswahl kann nun die Partitionsmethode gewählt werden.<br />
Wir haben hier Geführt - verwende vollständige Festpl<strong>at</strong>te gewählt, da wir unsere<br />
gesamte virtuelle Disk mit 30 GB für Debian 5.0 verwenden wollen. Bestätigen<br />
durch Enter-Taste<br />
148
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
Abbildung 10.23: Auswahl der Partitionsmethode<br />
15. Im nächsten Schritt wird die Festpl<strong>at</strong>te ausgewählt, welche partitioniert werden<br />
soll. Hier erscheint unsere VMware Virtual disk. Bestätigen der Auswahl durch<br />
die Enter-Taste.<br />
Abbildung 10.24: Auswahl der Festpl<strong>at</strong>te<br />
16. Da es für unseren Fall nicht nötig ist, separ<strong>at</strong>e Partitionen zu erstellen, haben wir<br />
uns für das erste Partitionsschema entschieden: Alle D<strong>at</strong>eien auf eine Partition<br />
(für Anfänger empf.).<br />
149
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Abbildung 10.25: Auswahl des Partitionsschemas<br />
17. Nach einer kurzen Prüfung (Errechnung der neuen Partitionen) gelangt man zu<br />
einer Übersicht der getätigten Einstellungen bezüglich der Partitionen und Einhängepunkte.<br />
Hier können gegebenenfalls Änderungen getätigt werden. Sollten<br />
die Einstellungen in Ordnung sein, wird mit Partitionierung beenden und Änderungen<br />
übernehmen fortgefahren.<br />
Abbildung 10.26: Übersicht über die Konfigur<strong>at</strong>ion<br />
18. Zum Schluss folgt noch ein Hinweis und eine Warnung. Hier h<strong>at</strong> man nochmals<br />
die Möglichkeit, etwaige Fehler zu korrigieren. Wir wählen mittels Tabul<strong>at</strong>or Ja<br />
150
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
aus und bestätigen mit der Enter-Taste.<br />
Abbildung 10.27: Letzte Zusammenfassung<br />
19. Nachdem die Festpl<strong>at</strong>te form<strong>at</strong>iert und partitioniert wurde, folgt die Install<strong>at</strong>ion<br />
des Grundsystems.<br />
Abbildung 10.28: Install<strong>at</strong>ion des Grundsystems<br />
20. Während der Install<strong>at</strong>ion muss das Passwort für den Root-Benutzer festgelegt<br />
werden. Wir haben hier eingegeben.<br />
151
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Abbildung 10.29: Root-Passwort einrichten<br />
21. Im Anschluss muss das eingegebene Root-Passwort zur Überprüfung bestätigt<br />
werden.<br />
Abbildung 10.30: Root-Passwort bestätigen<br />
22. Danach wird ein Benutzerkonto mit eingeschränkten Benutzerrechten angelegt.<br />
Hier muss als Erstes der volle Name des Benutzers eingegeben werden. Wir haben<br />
hier air09 geschrieben.<br />
152
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
Abbildung 10.31: Benutzer anlegen<br />
23. Auch bei der Eingabe des Benutzernamens für das Konto haben wir air09 eingegeben.<br />
Abbildung 10.32: Benutzer anlegen<br />
24. Hier muss ebenfalls ein Passwort gesetzt werden, welches bei uns gleich wie das<br />
Root-Passwort lautet: . Dies ist im produktiven Betrieb aus Sicherheitsgründen<br />
nicht zu empfehlen.<br />
153
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Abbildung 10.33: Benutzer-Passwort festlegen<br />
25. Zur Bestätigung das Passwort erneut eingeben: .<br />
Abbildung 10.34: Benutzer-Passwort bestätigen<br />
26. Wir werden gefragt, ob wir zusätzliche Medien einlesen wollen. Wir wählen hier<br />
Nein.<br />
154
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
Abbildung 10.35: Zusätzliche CDs DVDs einlesen<br />
27. Auch bei der Frage, ob ein Netzwerkspiegel zur Ergänzung der Software auf dem<br />
CD-Image verwendet werden soll, haben wir Nein gewählt.<br />
Abbildung 10.36: Ergänzung Netzwerkspiegel<br />
28. Nach diesen Fragen dauert es noch einige Zeit bis die Paketverwaltung apt (Advanced<br />
Packaging Tool) konfiguriert ist.<br />
155
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Abbildung 10.37: Konfigur<strong>at</strong>ion von apt<br />
29. Dann steht man noch vor der Entscheidung, ob man an der Paketverwendungserfassung<br />
teilnehmen will. Hier werden wöchentlich St<strong>at</strong>istiken an die Distributions-<br />
Entwickler gesendet. Wir nehmen daran nicht teil und wählen Nein.<br />
Abbildung 10.38: Teilnahme an der Paketverwendungserfassung<br />
30. Bei der Install<strong>at</strong>ion der passenden Software haben wir lediglich das Standard-<br />
System mittels der Leer-Taste ausgewählt und die Install<strong>at</strong>ion durch Weiter bestätigt.<br />
156
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
Abbildung 10.39: Auswahl der zu installierenden Software<br />
31. Nach der Install<strong>at</strong>ion der ausgewählten Software wird noch der Bootloader GRUB<br />
installiert. Hier muss gesagt werden, dass der GRUB-Bootloader in den Master<br />
Boot Record installiert werden soll. Bestätigen der Frage mit Ja.<br />
Abbildung 10.40: Install<strong>at</strong>ion des Bootloaders GRUB<br />
32. Während die Install<strong>at</strong>ion beendet wird, wird darauf hingewiesen, dass das CD-<br />
Image vor dem Neustart entfernt werden muss.<br />
157
10.2. INSTALLATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Abbildung 10.41: CD-Image entfernen<br />
33. Dazu klicken wir auf Disconnect CD/DVD 1 und danach auf Disconnect from<br />
F:\debian-500-i386-CD-1.iso. Jetzt kann der Hinweis in Abbildung 10.41 mit<br />
Weiter bestätigt werden.<br />
Abbildung 10.42: CD-Image trennen<br />
34. Nach der Beendigung der Install<strong>at</strong>ion wird das System neu gestartet und man<br />
gelangt zum Bootloader GRUB. Hier wählen wir Debian GNU/Linux, kernel<br />
2.6.26-1-686.<br />
158
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.2. INSTALLATION<br />
Abbildung 10.43: Bootloader GRUB<br />
35. Nach dem Hochfahren erscheint der Loginbereich. Jetzt kann man sich mit dem<br />
bei der Install<strong>at</strong>ion erstellten Benutzer air09 oder als Administr<strong>at</strong>or root einloggen.<br />
Abbildung 10.44: Loginbereich<br />
159
10.3. EINFÜHRUNG IN LINUX KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.3 Einführung in Linux<br />
Wie im Folgenden Abschnitt noch erklärt wird, verwenden wir auf unserem Debian<br />
Server keine grafische Oberfläche. Dies ist vor allem dann sinnvoll, wenn nur auf sehr<br />
leistungsschwache Hardware zurückgegriffen wird, da in solch einem Fall nicht zusätzliche<br />
Ressourcen durch das Betreiben einer grafischen Oberfläche verschwendet werden.<br />
Aus diesem Grund müssen sämtliche Arbeiten am Server über die Konsole getätigt<br />
werden.<br />
Auf die Konsole kann über mehrere Arten zugegriffen werden. Eine Möglichkeit ist der<br />
Zugriff über den VMware Infrastructure Client, wie er in Abschnitt 3 gezeigt wird.<br />
Eine andere Möglichkeit ist der Zugriff über eine SSH-Sitzung wie in Abschnitt 10.4.5<br />
gezeigt wird.<br />
Um mit Linux richtig produktiv arbeiten zu können, müssen einige Befehle bekannt<br />
sein. Viele Befehle benötigen Root-Rechte. Damit ein Benutzer mit rRoot-Rechten arbeiten<br />
kann, muss lediglich in der Kommandozeile su und das Benutzerpasswort eingegeben<br />
werden. In der folgenden Tabelle wird ein kleiner Überblick über die wichtigsten<br />
Befehle gegeben:<br />
su<br />
cd<br />
cp<br />
mv<br />
rm<br />
mkdir<br />
pwd<br />
Allgemeine Befehle<br />
Verleiht dem Benutzer Root-Rechte<br />
Wechselt das Arbeitsverzeichnis<br />
Kopiert D<strong>at</strong>eien und Verzeichnisse<br />
Verschiebt eine D<strong>at</strong>ei<br />
Löscht eine D<strong>at</strong>ei<br />
Erstellt ein Verzeichnis<br />
Zeigt das aktuelle Verzeichnis an<br />
chown<br />
chmod<br />
Befehle zur Rechteverwaltung<br />
Legt die Gruppenzugehörigkeit fest<br />
Verändert die Zugriffsrechte von D<strong>at</strong>eien<br />
Befehle zur Benutzerverwaltung<br />
adduser Fügt einen Benutzer hinzu<br />
deluser Löscht einen Benutzer<br />
usermod Benutzerkonto bearbeiten<br />
160
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
df<br />
du<br />
top<br />
ps<br />
kill<br />
Befehle zur Systemüberwachung<br />
Gibt den Speicherpl<strong>at</strong>z aller eingehängten Laufwerke aus<br />
Gibt den Speicherverbrauch von Verzeichnissen aus<br />
Gibt die Prozessorauslastung zurück<br />
Gibt alle laufenden Prozesse zurück<br />
Beendet einen Prozess nach der Prozess-ID<br />
less<br />
more<br />
tail<br />
clear<br />
grep<br />
wget<br />
Sonstige nützliche Befehle<br />
Zeigt eine Textd<strong>at</strong>ei in einem scrollbaren Fenster an<br />
Wie less, scrollt jedoch nicht zurück<br />
Gibt die letzten Zeilen einer D<strong>at</strong>ei zurück<br />
Löscht den momentanen Bildschirminhalt<br />
Durchsuchen von D<strong>at</strong>eien<br />
D<strong>at</strong>eien und Webseiten aus dem Internet herunterladen<br />
Zusätzlich empfiehlt es sich, bei Problemen entweder das Wiki [21] bzw. das Forum<br />
[22] von ubuntuusers aufzusuchen. Viele auftretende Probleme wurden dort bereits<br />
behandelt und oft wird auch ein Lösungsweg beschrieben.<br />
Um eine Textd<strong>at</strong>ei verändern zu können, verwenden wir den Editor pico. Im folgenden<br />
eine kurze Anleitung zur Verwendung von pico:<br />
1. Editor mit D<strong>at</strong>einame der zu verändernden D<strong>at</strong>ei aufrufen: pico text.txt<br />
2. Es öffnet sich der Editor und es wird die Textd<strong>at</strong>ei angezeigt. Diese kann nun<br />
verändert werden.<br />
3. Ist das Bearbeiten abgeschlossen, kann das Programm mit STRG + X beendet<br />
werden. Sind Veränderungen vorgenommen worden, fragt das Programm, ob diese<br />
gespeichert werden sollen. Dies Frage kann mit J bestätigt werden.<br />
4. Danach wird abgefragt, unter welchem D<strong>at</strong>einamen die D<strong>at</strong>ei abgespeichert werden<br />
soll. Mit der Taste ENTER kann die D<strong>at</strong>ei unter dem selben D<strong>at</strong>einamen<br />
abgespeichert werden.<br />
10.4 Konfigur<strong>at</strong>ion<br />
Damit das Betriebssystem die von uns geforderten Aufgaben erfüllen kann, muss es<br />
speziell dafür konfiguriert werden.<br />
161
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Im Folgenden wird die Konfigur<strong>at</strong>ion der einzelnen Komponenten genauer erklärt.<br />
Schlussendlich soll ein voll funktionsfähiges System zur Verfügung stehen. Viele der<br />
hier beschriebenen Arbeitsschritte stammen ursprünglich von diversen Anleitungen im<br />
Internet. Trotz der teilweise sehr detaillierten Anleitungen war es nicht immer möglich,<br />
diese direkt für uns zu übernehmen. Oftmals tr<strong>at</strong>en Fehler auf, die es zuerst zu lösen<br />
galt.<br />
Anfangs müssen sämtliche Einstellungen am Server direkt über den VMware Infrastructure<br />
Client getätigt werden, weil zu diesem Zeitpunkt keine andere Schnittstelle<br />
verfügbar ist. Der Zugriff auf diese Schnittstelle kann, wie in Abschnitt 10.2.2, Punkt<br />
35 gezeigt, vorgenommen werden. Anschließend erscheint die Konsole der Virtuellen<br />
Maschine. Durch Klicken in die Konsole kann mit der Eingabe der Einstellungen begonnen<br />
werden. Als Erstes muss die Anmeldung am System durch einen Benutzer mit<br />
Administr<strong>at</strong>orrechten erfolgen. Dabei kann der in Abschnitt 22 gezeigte Benutzername<br />
verwendet werden. Wir geben daher folgende D<strong>at</strong>en ein:<br />
air09-rs login: air09<br />
password: <br />
10.4.1 IP-Adresse<br />
Damit der Server eigenständig und unabhängig von anderen Faktoren (DHCP-Server,<br />
. . . ) zuverlässig eine IP-Adresse erhält, stellen wir direkt im Server eine st<strong>at</strong>ische IP-<br />
Adresse ein. Diese IP-Adresse wird auf das Interface eth0 des Servers angewendet,<br />
welches wir in Abschnitt 7.3 im VMware ESXi Server konfiguriert haben. Folgende<br />
Befehle sind dazu erforderlich:<br />
pico /etc/network/interfaces<br />
Die Zeile iface eth0 inet dhcp muss durch die folgenden Zeilen ersetzt werden:<br />
iface eth0 inet st<strong>at</strong>ic<br />
address 10.0.20.12<br />
netmask 255.255.0.0<br />
g<strong>at</strong>eway 10.0.20.1<br />
dns-nameservers 10.0.20.11<br />
162
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
Wichtig ist dabei, dass dns-nameservers der IP-Adresse des Active Directory entspricht,<br />
auf dem üblicherweise ein DNS-Server läuft. Nach dem Abspeichern muss das<br />
Interface mit dem Befehl<br />
/etc/init.d/networking restart<br />
neugestartet werden. Wenn keine Probleme aufgetreten sind, erscheint folgende Meldung:<br />
Reconfiguring network interfaces...done<br />
10.4.2 Proxy-Einstellungen<br />
Da an der HTL Rankweil ein Zugang zum Internet ausschließlich über einen Proxy-<br />
Server möglich ist, muss dieser auch auf dem Debian-Server eingestellt werden. Wir<br />
stellen diesen für den Benutzer air09, mit dem wir uns am Server angemeldet haben,<br />
ein. Dazu werden folgende Befehle benötigt:<br />
pico /home/air09/.profile<br />
Am Ende dieser D<strong>at</strong>ei müssen folgende Zeilen angehängt werden, wobei die Adresse<br />
192.168.103.1 den Proxy-Server und 8080 den Proxy-Port repräsentiert.<br />
export http_proxy=http://192.168.103.1:8080<br />
export https_proxy=http://192.168.103.1:8080<br />
export HTTP_PROXY=$http_proxy<br />
export HTTPS_PROXY=$https_proxy<br />
10.4.3 Paketverwaltung<br />
Über die Paketverwaltung kann eine Vielzahl von bereits vorkompilierten Programmen<br />
heruntergeladen und installiert werden. Standardmäßig greift Debian dabei zusätzlich<br />
auf die Install<strong>at</strong>ions-CD zu. Da dies für den alltäglichen Serverbetrieb aber nicht sehr<br />
163
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
praktikabel ist, deaktivieren wir dies und stellen zusätzlich weitere Paketquellen ein.<br />
Danach sollte das Konfigur<strong>at</strong>ionsfile unter pico /etc/apt/sources.list wie folgt<br />
aussehen:<br />
#<br />
# deb cdrom:[Debian GNU/Linux 5.0.0 _Lenny_ - Official i386 CD Binary-1 \<br />
20090214-16:29]/ lenny main<br />
# deb cdrom:[Debian GNU/Linux 5.0.0 _Lenny_ - Official i386 CD Binary-1 \<br />
20090214-16:29]/ lenny main<br />
deb http://ftp.<strong>at</strong>.debian.org/debian lenny main<br />
deb-src http://ftp.<strong>at</strong>.debian.org/debian lenny main<br />
deb http://security.debian.org/ lenny/upd<strong>at</strong>es main<br />
deb-src http://security.debian.org/ lenny/upd<strong>at</strong>es main<br />
deb http://vol<strong>at</strong>ile.debian.org/debian-vol<strong>at</strong>ile lenny/vol<strong>at</strong>ile main<br />
deb-src http://vol<strong>at</strong>ile.debian.org/debian-vol<strong>at</strong>ile lenny/vol<strong>at</strong>ile main<br />
Anschließend müssen die Paketquellen mit dem Befehl<br />
apt-get upd<strong>at</strong>e<br />
erneuert werden.<br />
Wenn keine Probleme aufgetreten sind, erscheint folgende Meldung:<br />
Paketlisten werden gelesen... Fertig<br />
Damit das System möglichst sicher ist, empfiehlt es sich, regelmäßig Upd<strong>at</strong>es zu installieren.<br />
Dies geschieht mit dem Befehl<br />
apt-get upgrade<br />
Wenn keine Upd<strong>at</strong>es verfügbar sind, erscheint folgende Meldung:<br />
164
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
Paketlisten werden gelesen... Fertig<br />
Abhängigkeitsbaum wird aufgebaut<br />
Lese St<strong>at</strong>us-Inform<strong>at</strong>ionen ein... Fertig<br />
0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.<br />
Sollten Upd<strong>at</strong>es verfügbar sein, muss auf die ausgegebenen Meldungen eingegangen<br />
werden.<br />
10.4.4 Zeitsynchronis<strong>at</strong>ion<br />
Eine Zeitsynchronis<strong>at</strong>ion mit einem Zeitserver ist zwingend erforderlich, da Kerberos<br />
nur eine geringe Zeitdifferenz zwischen dem Active Directory und sich selbst duldet. Wir<br />
synchronisieren deshalb die Uhrzeit auf unserem Server mit dem zentralen Server der<br />
Schule, um sicher zu gehen, dass unsere Zeit mit der im Schulnetzwerk übereinstimmt.<br />
Aus diesem Grund muss der NTP-Dienst installiert werden:<br />
apt-get install ntpd<strong>at</strong>e<br />
Anschließend wird mit dem Befehl ntpd<strong>at</strong>e -u itdc1.it.htlr eine Zeitsynchronis<strong>at</strong>ion<br />
mit dem Server ITDC1.IT.HTLR eingestellt. Wird die Zeit erfolgreich abgeglichen,<br />
folgt die Meldung<br />
24 Apr 10:35:17 ntpd<strong>at</strong>e[3233]: step time server<br />
172.20.1.41 offset -101.858334 sec<br />
10.4.5 OpenSSH-Server<br />
Nachdem die wichtigsten Einstellungen getätigt sind, kann eine zweite Konfigur<strong>at</strong>ionsschnittstelle<br />
– SSH – eingerichtet werden.<br />
Install<strong>at</strong>ion<br />
Dazu installiert man den OpenSSH-Server aus den Paketquellen mit dem Befehl<br />
165
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
apt-get install openssh-server<br />
Nach erfolgreicher Install<strong>at</strong>ion erscheint die Meldung<br />
Restarting OpenBSD Secure Shell Sherver: sshd<br />
Nun kann jeder Rechner, der über ein Netzwerk Zugang zum Server h<strong>at</strong>, über einen<br />
SSH-Client mit dem Befehl<br />
ssh air09@10.0.20.12<br />
und den entsprechenden Anmelded<strong>at</strong>en auf den Sever zugreifen.<br />
Dienst verwalten<br />
Mit dem Befehl<br />
/etc/init.d/ssh {start|stop|reload|force-reload|restart|try-restart|st<strong>at</strong>us}<br />
kann der Dienst verwaltet werden. Nach Änderung der Konfigur<strong>at</strong>ion sollte der Dienst<br />
neu gestartet werden.<br />
10.4.6 OpenSSL<br />
Damit für den FreeRADIUS Server Zertifik<strong>at</strong>e angelegt werden können, muss OpenSSL<br />
installiert werden. Wir installieren OpenSSL aus den Paketquellen mit dem Befehl<br />
Install<strong>at</strong>ion<br />
apt-get install openssl<br />
Ist die Install<strong>at</strong>ion erfolgreich abgeschlossen, erscheint folgende Meldung<br />
Richte openssl ein (0.9.8g-15+lenny1) ...<br />
166
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
Certific<strong>at</strong>e Authority und Zertifik<strong>at</strong>e erstellen<br />
Sowohl TLS als auch PEAP benötigen Server- und Clientzertifik<strong>at</strong>e für ihre Funktion.<br />
Mit dem soeben installierten Dienst OpenSSL können wir diese Zertifik<strong>at</strong>e erstellen 1 .<br />
Anschließend müssen diese im FreeRADIUS Server eingetragen, an die Clients verteilt<br />
und installiert werden. Die hier verwendeten Passwörter müssen später in der Konfigur<strong>at</strong>ionsd<strong>at</strong>ei<br />
/etc/freeradius/eap.conf von FreeRADIUS entsprechend eingetragen<br />
werden. Im Folgenden wird erklärt, wie diese Zertifik<strong>at</strong>e erstellt werden:<br />
1. Ins Zertifik<strong>at</strong>verzeichnis wechseln: cd /etc/ssl/<br />
2. Arbeitsverzeichnis erstellen: mkdir CA<br />
3. Ins Arbeitsverzeichnis wechseln: cd CA<br />
4. Zielverzeichnis für Zertifik<strong>at</strong>e erstellen: mkdir newcerts priv<strong>at</strong>e<br />
5. Die Seriennummer des nächsten zu erstellenden Zertifik<strong>at</strong>s in serial schreiben:<br />
echo ’01’ > serial<br />
6. Die D<strong>at</strong>ei zur Aufzeichnung der bisher erstellten Zertifik<strong>at</strong>e erstellen: touch index.txt<br />
7. Die Konfigur<strong>at</strong>ionsd<strong>at</strong>ei erstellen und öffnen: pico openssl.cnf<br />
8. Mit dem Befehl pico openssl.cnf wird eine Konfigur<strong>at</strong>ionsd<strong>at</strong>ei angelegt und geöffnet.<br />
Wir fügen folgende Inform<strong>at</strong>ionen hinzu:<br />
#<br />
# OpenSSL configur<strong>at</strong>ion file.<br />
#<br />
# Establish working directory.<br />
dir = .<br />
[ ca ]<br />
default_ca = CA_default<br />
[ CA_default ]<br />
serial = $dir/serial<br />
d<strong>at</strong>abase = $dir/index.txt<br />
new_certs_dir = $dir/newcerts<br />
certific<strong>at</strong>e = $dir/cacert.pem<br />
priv<strong>at</strong>e_key = $dir/priv<strong>at</strong>e/cakey.pem<br />
1 Eine Anleitung für das Erstellen einer Certific<strong>at</strong>e Authority sowie für das Erstellen von Zertifik<strong>at</strong>en<br />
kann unter [25] gefunden werden. Die folgende Anleitung basiert auf diesem Artikel.<br />
167
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
default_days = 365<br />
default_md = md5<br />
preserve = no<br />
email_in_dn = no<br />
nameopt = default_ca<br />
certopt = default_ca<br />
policy = policy_m<strong>at</strong>ch<br />
[ policy_m<strong>at</strong>ch ]<br />
countryName = m<strong>at</strong>ch<br />
st<strong>at</strong>eOrProvinceName = m<strong>at</strong>ch<br />
organiz<strong>at</strong>ionName = m<strong>at</strong>ch<br />
organiz<strong>at</strong>ionalUnitName = optional<br />
commonName = supplied<br />
emailAddress = optional<br />
[ req ]<br />
default_bits = 1024 # Size of keys<br />
default_keyfile = key.pem # name of gener<strong>at</strong>ed keys<br />
default_md = md5 # message digest algorithm<br />
string_mask = nombstr # permitted characters<br />
distinguished_name = req_distinguished_name<br />
req_extensions = v3_req<br />
[ req_distinguished_name ]<br />
# Variable name Prompt string<br />
#---------------------- ----------------------------------<br />
0.organiz<strong>at</strong>ionName = Organiz<strong>at</strong>ion Name (company)<br />
organiz<strong>at</strong>ionalUnitName = Organiz<strong>at</strong>ional Unit Name (department, division)<br />
emailAddress = Email Address<br />
emailAddress_max = 40<br />
localityName = Locality Name (city, district)<br />
st<strong>at</strong>eOrProvinceName = St<strong>at</strong>e or Province Name (full name)<br />
countryName = Country Name (2 letter code)<br />
countryName_min = 2<br />
countryName_max = 2<br />
commonName = Common Name (hostname, IP, or your name)<br />
commonName_max = 64<br />
# Default values for the above, for consistency and less typing.<br />
# Variable name Value<br />
168
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
#------------------------------ ------------------------------<br />
0.organiz<strong>at</strong>ionName_default = HTL Rankweil<br />
localityName_default = Rankweil<br />
st<strong>at</strong>eOrProvinceName_default = Vorarlberg<br />
countryName_default = AT<br />
[ v3_ca ]<br />
basicConstraints = CA:TRUE<br />
subjectKeyIdentifier = hash<br />
authorityKeyIdentifier = keyid:always,issuer:always<br />
[ v3_req ]<br />
basicConstraints = CA:FALSE<br />
subjectKeyIdentifier = hash<br />
9. Nachdem die D<strong>at</strong>ei abgespeichert wurde, erstellen wir mit folgendem Befehl unsere<br />
Certific<strong>at</strong>e Authority:<br />
openssl req -new -x509 -extensions \<br />
v3_ca -keyout priv<strong>at</strong>e/cakey.pem \<br />
-out cacert.pem -days 365 -config ./openssl.cnf<br />
10. Nach Eingabe des obigen Befehls werden der Reihe nach einige D<strong>at</strong>en abgefragt,<br />
die wir wie folgt beantworten:<br />
Gener<strong>at</strong>ing a 1024 bit RSA priv<strong>at</strong>e key<br />
.....................++++++<br />
..++++++<br />
writing new priv<strong>at</strong>e key to ’priv<strong>at</strong>e/cakey.pem’<br />
Enter PEM pass phrase:
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Locality Name (city, district) [Rankweil]:<br />
St<strong>at</strong>e or Province Name (full name) [Vorarlberg]:<br />
Country Name (2 letter code) [AT]:<br />
Common Name (hostname, IP, or your name) []: AIR09-RS.TIT.AIR09<br />
11. Nun können wir unser Zertifik<strong>at</strong> mit folgendem Befehl erstellen:<br />
openssl req -new -nodes -out req.pem \<br />
-config ./openssl.cnf<br />
12. Nach Eingabe des obigen Befehls werden der Reihe nach einige D<strong>at</strong>en abgefragt,<br />
die wir wie folgt beantworten:<br />
Gener<strong>at</strong>ing a 1024 bit RSA priv<strong>at</strong>e key<br />
.....................++++++<br />
..++++++<br />
writing new priv<strong>at</strong>e key to ’key.pem’<br />
-----<br />
You are about to be asked to enter inform<strong>at</strong>ion th<strong>at</strong> will be<br />
incorpor<strong>at</strong>ed into your certific<strong>at</strong>e request.<br />
Wh<strong>at</strong> you are about to enter is wh<strong>at</strong> is called a Distinguished Name<br />
or a DN.<br />
There are quite a few fields but you can leave some blank<br />
For some fields there will be a default value,<br />
If you enter ’.’, the field will be left blank.<br />
-----<br />
Organiz<strong>at</strong>ion Name (company) [HTL Rankweil]:<br />
Organiz<strong>at</strong>ional Unit Name (department, division) []: IT |<br />
Email Address []: roland.sandholzer@htlr.snv.<strong>at</strong><br />
Locality Name (city, district) [Rankweil]:<br />
St<strong>at</strong>e or Province Name (full name) [Vorarlberg]:<br />
Country Name (2 letter code) [AT]:<br />
Common Name (hostname, IP, or your name) []: AIR09-RS.TIT.AIR09<br />
13. Nun können wir unser Zertifik<strong>at</strong> mit folgendem Befehl erstellen:<br />
openssl ca -out cert.pem -config ./openssl.cnf -infiles req.pem<br />
14. Nach Eingabe des obigen Befehls werden der Reihe nach einige D<strong>at</strong>en abgefragt,<br />
die wir wie folgt beantworten:<br />
Using configur<strong>at</strong>ion from ./openssl.cnf<br />
Enter pass phrase for ./priv<strong>at</strong>e/cakey.pem: <br />
170
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
Check th<strong>at</strong> the request m<strong>at</strong>ches the sign<strong>at</strong>ure<br />
Sign<strong>at</strong>ure ok<br />
The Subject’s Distinguished Name is as follows<br />
organiz<strong>at</strong>ionName :PRINTABLE:’HTL Rankweil’<br />
organiz<strong>at</strong>ionalUnitName:PRINTABLE:’IT’<br />
localityName<br />
:PRINTABLE:’Rankweil’<br />
st<strong>at</strong>eOrProvinceName :PRINTABLE:’Vorarlberg’<br />
countryName<br />
:PRINTABLE:’AT’<br />
commonName<br />
:PRINTABLE:’ITRS01.IT.HTLR’<br />
Certific<strong>at</strong>e is to be certified until May 7 09:04:49 2010 GMT<br />
(365 days)<br />
Sign the certific<strong>at</strong>e [y/n]: y<br />
1 out of 1 certific<strong>at</strong>e requests certified, commit [y/n] y<br />
Write out d<strong>at</strong>abase with 1 new entries<br />
D<strong>at</strong>a Base Upd<strong>at</strong>ed<br />
15. Abschließend muss das random_file erstellt werden:<br />
cd /etc/freeradius/<br />
openssl dhparam -out certs/dh 1024<br />
10.4.7 FreeRADIUS<br />
Damit der FreeRADIUS-Server unseren Anforderungen gerecht wird, benötigen wir die<br />
Unterstützung von OpenSSL seitens FreeRADIUS. Die FreeRADIUS-Pakete die in den<br />
Paketquellen von Debian und Ubuntu enthalten sind unterstützen OpenSSL standardmäßig<br />
aus lizenzrechtlichen Gründen nicht 2 . Aus diesem Grund muss das OpenSSL<br />
Modul in FreeRADIUS von Hand eingebunden und kompiliert werden. Im Folgenden<br />
werden die dazu benötigten Schritte genauer erklärt.<br />
Pakete laden<br />
Bevor FreeRADIUS kompiliert werden kann, müssen die dazu benötigten Pakete geladen<br />
und installiert werden 3 . Dies geschieht mit folgendem Befehl.<br />
2 Laut https://bugs.launchpad.net/ubuntu/+source/freeradius/+bug/283807<br />
3 Dieser Schritt entspricht dem ersten Schritt auf der Seite http://www.howtoforge.com/<br />
setting-up-a-freeradius-based-aaa-server-with-mysql-and-management-with-daloradius<br />
171
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
apt-get install debhelper libltdl3-dev libpam0g-dev \<br />
libmysqlclient15-dev build-essential libgdbm-dev \<br />
libldap2-dev libsasl2-dev libiodbc2-dev libkrb5-dev \<br />
snmp autotools-dev dp<strong>at</strong>ch libperl-dev libtool dpkg-dev \<br />
libpq-dev libsnmp-dev libssl-dev libpcap-dev python-dev<br />
Nach Überprüfung der Pakete muss das Installieren bestätigt werden:<br />
0 aktualisiert, 74 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.<br />
Es müssen 51,6MB an Archiven heruntergeladen werden.<br />
Nach dieser Oper<strong>at</strong>ion werden 146MB Pl<strong>at</strong>tenpl<strong>at</strong>z zusätzlich benutzt.<br />
Möchten Sie fortfahren [J/n]<br />
Wenn die Install<strong>at</strong>ion erfolgreich abgeschlossen ist, folgt die Meldung<br />
Richte build-essential ein (11.4) ...<br />
Sourcen laden und Kompilieren<br />
Als nächstes muss der Sourcecode von FreeRADIUS heruntergeladen werden 4 . Dieser<br />
kann ebenfalls wie die vorkompilierten Pakete über die Paketquellen besorgt werden.<br />
Folgende Befehle sind notwendig:<br />
cd ~<br />
apt-get source freeradius=2.0.4+dfsg-6<br />
Wurde der Code ordnungsgemäß heruntergeladen, erscheint diese Meldung:<br />
dpkg-source: extrahiere freeradius nach freeradius-2.0.4+dfsg<br />
dpkg-source: Inform<strong>at</strong>ion: entpacke freeradius_2.0.4+dfsg.orig.tar.gz<br />
dpkg-source: Inform<strong>at</strong>ion: wende freeradius_2.0.4+dfsg-6.diff.gz an<br />
4 Dieser Schritt entspricht dem ersten Schritt auf der Seite http://www.howtoforge.com/<br />
setting-up-a-freeradius-based-aaa-server-with-mysql-and-management-with-daloradius<br />
172
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
Anschließend wechseln wir in das Verzeichnis, in dem sich der Sourcecode befindet:<br />
cd freeradius-2.0.4+dfsg/<br />
Nun müssen die von uns benötigten Module rlm_eap_tls, rlm_eap_ttls, rlm_eap_peap<br />
und openssl eingebunden werden. Dazu müssen folgende Zeilen in debian/rules<br />
...<br />
--without-rlm_eap_tls \<br />
--without-rlm_eap_ttls \<br />
--without-rlm_eap_peap \<br />
...<br />
--without-openssl \<br />
...<br />
gegen diese Zeilen ausgetauscht werden:<br />
...<br />
--with-rlm_eap_tls \<br />
--with-rlm_eap_ttls \<br />
--with-rlm_eap_peap \<br />
...<br />
--with-openssl \<br />
...<br />
Anschließend müssen folgende Zeilen gelöscht werden:<br />
for pkg in ${pkgs} ; do \<br />
if dh_shlibdeps -p $$pkg -- -O 2>/dev/null | grep -q libssl; then \<br />
echo "$$pkg links to openssl" ;\<br />
exit 1 ;\<br />
fi ;\<br />
done<br />
Danach muss in der D<strong>at</strong>ei debian/control in der Zeile<br />
173
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Build-Depends: autotools-dev, debhelper (>= 6.0.7), libgdbm-dev, . . .<br />
der Ausdruck libssl-dev angehängt werden. Nun sind alle Voraussetzungen für das Kompilieren<br />
erfüllt. Bevor das Kompilieren gestartet werden kann, muss wieder ins Verzeichnis<br />
~/freeradius-2.0.4+dfsg/ gewechselt werden. Anschließend wird das Kompilieren<br />
mit dem Befehl<br />
dpkg-buildpackage -rfakeroot<br />
gestartet. Je nach eingesetzter Hardware kann dieser Vorgang zwischen 5 und 20 Minuten<br />
dauern. Ist der Vorgang abgeschlossen, erscheint folgende Meldung:<br />
dpkg-genchanges >../freeradius_2.0.4+dfsg-6_i386.changes<br />
dpkg-genchanges: füge Originalquellen beim Hochladen nicht hinzu<br />
dpkg-buildpackage: Binär und Diff hochzuladen (Originalquellen NICHT<br />
enthalten)<br />
dpkg-buildpackage: Warnung: Konnte .dsc- und .changes-D<strong>at</strong>ei nicht<br />
signieren<br />
Install<strong>at</strong>ion<br />
Nun befinden sich eine Reihe von Install<strong>at</strong>ionsd<strong>at</strong>eien im Ordner<br />
~/freeradius-2.0.4+dfsg/. Wir installieren einige der D<strong>at</strong>eien mit folgenden Befehlen<br />
5 :<br />
dpkg -i libfreeradius2_2.0.4+dfsg-6_i386.deb \<br />
freeradius-common_2.0.4+dfsg-6_all.deb \<br />
freeradius_2.0.4+dfsg-6_i386.deb \<br />
freeradius-krb5_2.0.4+dfsg-6_i386.deb \<br />
freeradius-ldap_2.0.4+dfsg-6_i386.deb \<br />
freeradius-utils_2.0.4+dfsg-6_i386.deb<br />
5 Dieser Schritt entspricht dem ersten und dem zweiten Schritt auf der Seite [23]<br />
174
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
Konfigur<strong>at</strong>ion<br />
Die Konfigur<strong>at</strong>ion des FreeRADIUS Servers setzt sich aus mehreren Konfigur<strong>at</strong>ionsd<strong>at</strong>eien<br />
zusammen. Die D<strong>at</strong>eien finden sich im Verzeichnis /etc/freeradius/. In der<br />
D<strong>at</strong>ei radiusd.conf lässt sich das allgemeine Verhalten von FreeRADIUS einstellen. In<br />
der D<strong>at</strong>ei user werden Einstellungen zur Art der Benutzerauthentifizierung getätigt.<br />
In der D<strong>at</strong>ei clients.conf werden alle Access Points, die Zugriff auf den FreeRADIUS<br />
Server haben sollen, eingetragen. Dies sind soweit die wichtigsten D<strong>at</strong>eien. Nun werden<br />
die benötigten Einstellungen genauer erklärt. Die hier getätigten Schritte entstammen<br />
der Anleitung auf der Seite http://wiki.freeradius.org/FreeRADIUS_Active_<br />
Directory_Integr<strong>at</strong>ion_HOWTO<br />
In der D<strong>at</strong>ei /etc/freeradius/radiusd.conf verändern wir folgende Werte bzw. fügen wir<br />
folgende Werte hinzu:<br />
modules {<br />
exec ntlm_auth {<br />
wait = yes<br />
program = "/usr/bin/ntlm_auth ntlm_auth<br />
--request-nt-key<br />
--domain=TIT.AIR09<br />
--username=%{mschap:User-Name}<br />
--password=%{User-Password}"<br />
}<br />
...<br />
ldap {<br />
server = "10.0.20.11"<br />
basedn = "dc=tit,dc=air09"<br />
filter = "(sAMAccountName=%{%{Stripped-User-Name}<br />
:-%{%{User-Name}:-none}})"<br />
base_filter = "(objectclass=user)"<br />
start_tls = no<br />
dictionary_mapping = ${raddbdir}/ldap.<strong>at</strong>trmap<br />
ldap_connections_number = 5<br />
groupname_<strong>at</strong>tribute = "cn"<br />
groupmembership_<strong>at</strong>tribute = memberOf<br />
groupmembership_filter = "(|(&(objectClass=group)<br />
(member=%{check:LDAP-UserDn}))<br />
(&(objectClass=GroupOfNames)(member=%{check:Ldap-UserDn})))"<br />
timeout = 4<br />
timelimit = 3<br />
175
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
}<br />
net_timeout = 1<br />
}<br />
...<br />
chap {<br />
authtype = MS-CHAP<br />
}<br />
...<br />
mschap {<br />
...<br />
with_ntdomain_hack = yes<br />
...<br />
ntlm_auth = "/usr/bin/ntlm_auth<br />
--request-nt-key<br />
--username=%{mschap:User-Name:-None}<br />
--domain=%{mschap:NT-Domain:-TIT.AIR09}<br />
--challenge=%{mschap:Challenge:-00}<br />
--nt-response=%{mschap:NT-Response:-00}"<br />
...<br />
}<br />
In der D<strong>at</strong>ei /etc/freeradius/eap.conf verändern wir folgende Werte bzw. fügen wir<br />
folgende Werte hinzu:<br />
eap {<br />
...<br />
default_eap_type = peap<br />
...<br />
}<br />
...<br />
tls {<br />
...<br />
priv<strong>at</strong>e_key_password = <br />
priv<strong>at</strong>e_key_file = /etc/ssl/CA/key.pem<br />
...<br />
certific<strong>at</strong>e_file = /etc/ssl/CA/cert.pem<br />
...<br />
CA_file = /etc/ssl/CA/cacert.pem<br />
...<br />
random_file = /dev/urandom<br />
}<br />
176
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
...<br />
ttls {<br />
...<br />
default_eap_type = mschapv2<br />
...<br />
}<br />
In der D<strong>at</strong>ei /etc/freeradius/clients.conf werden alle Access Points eingetragen, von<br />
denen FreeRADIUS Anfragen beantworten soll. Die hier unter secret eingetragenen<br />
Passwörter müssen später auf den Access Points jeweils passend eingetragen werden.<br />
Dabei müssen die Einträge wie folgt aussehen:<br />
...<br />
client 10.0.10.101/24 {<br />
secret = <br />
shortname = 10.0.10.101<br />
nastype = cisco<br />
}<br />
client 10.0.10.102/24 {<br />
secret = <br />
shortname = 10.0.10.102<br />
nastype = cisco<br />
}<br />
...<br />
In der D<strong>at</strong>ei /etc/freeradius/sites-enabled/default verändern wir folgende Werte bzw.<br />
fügen wir folgende Werte hinzu:<br />
authentic<strong>at</strong>e {<br />
...<br />
ntml_auth<br />
...<br />
}<br />
In der D<strong>at</strong>ei /etc/freeradius/sites-enabled/inner-tunnel verändern wir folgende Werte<br />
bzw. fügen wir folgende Werte hinzu:<br />
177
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
authentic<strong>at</strong>e {<br />
...<br />
ntml_auth<br />
...<br />
}<br />
Abschließend muss jener Benutzer, mit dem der FreeRADIUS Server gestartet wird,<br />
zu einer zusätzlichen Gruppe hinzugefügt werden. Dies ist deshalb notwendig, da FreeRADIUS<br />
auf winbind zugreifen muss, aber nicht die entsprechende Berechtigung h<strong>at</strong>.<br />
Wir fügen deshalb den Benutzer freerad in die Gruppe winbindd_priv hinzu:<br />
usermod -G winbindd_priv freerad<br />
Dienst verwalten<br />
Mit dem Befehl<br />
/etc/init.d/freeradius {start|stop|restart|force-reload}<br />
kann der Dienst verwaltet werden. Nach Änderung der Konfigur<strong>at</strong>ion sollte der Dienst<br />
neu gestartet werden.<br />
Mit dem Befehl freeradius -X kann der FreeRADIUS Server im Debug-Modus gestartet<br />
werden. Es wird nun genau protokolliert, was der Dienst macht.<br />
Mit dem Befehl<br />
tail -f /var/log/freeradius/radius.log<br />
können die Log-D<strong>at</strong>eien überprüft werden.<br />
10.4.8 Samba<br />
Wir benutzen den Samba Server 6 nicht der D<strong>at</strong>enfreigabe wegen, sondern nur um ein<br />
paar darin enthaltene Tools zu verwenden, wie z.B. winbind und NTML.<br />
6 Die hier getätigten Arbeitsschritte entstammen der Anleitung auf [24]<br />
178
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
Install<strong>at</strong>ion<br />
Wir installieren dieses Paket über die Paketquellen mit dem Befehl:<br />
apt-get install samba<br />
Nach Überprüfung der Pakete muss das Installieren bestätigt werden:<br />
0 aktualisiert, 5 neu installiert, 0 zu entfernen und 5 nicht aktualisiert.<br />
Es müssen 7957kB an Archiven heruntergeladen werden.<br />
Nach dieser Oper<strong>at</strong>ion werden 21,4MB Pl<strong>at</strong>tenpl<strong>at</strong>z zusätzlich benutzt.<br />
Möchten Sie fortfahren [J/n]<br />
Während der Install<strong>at</strong>ion wird nach der Domäne gefragt, in der der Samba-Server<br />
stehen soll.<br />
Bitte geben Sie die Arbeitsgruppe an, in der der Server bei Anfragen von<br />
Clients erscheinen soll. Beachten Sie, dass dieser Parameter auch den<br />
Domain-Namen festlegt, der für die Einstellung security=domain verwendet wird.<br />
Wir geben hier die Domäne TIT ein. Anschließend kann eingestellt werden, ob per<br />
DHCP gelieferte D<strong>at</strong>en über Samba an die Clients weitergegeben werden sollen.<br />
Wenn Ihr Computer IP-Adress-Inform<strong>at</strong>ionen von einem DHCP-Server im Netzwerk<br />
bezieht, kann es sein, dass auch Inform<strong>at</strong>ionen über WINS-Server<br />
(>NetBIOS-Name-Server
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Wir bestätigen diese Frage mit JA. Ist die Install<strong>at</strong>ion erfolgreich abgeschlossen, erscheint<br />
folgende Meldung<br />
Fertig.<br />
Starting Samba daemons: nmbd smbd.<br />
Konfigur<strong>at</strong>ion<br />
Als nächstes wird der Samba Server konfiguriert. Wir verändern bzw. ergänzen die<br />
Konfigur<strong>at</strong>ionsd<strong>at</strong>ei /etc/samba/smb.conf um folgende Zeilen:<br />
[global]<br />
...<br />
workgroup = tit<br />
...<br />
security = ads<br />
...<br />
idmap uid = 16777216-33554431<br />
idmap gid = 16777216-33554431<br />
templ<strong>at</strong>e shell = /bin/bash<br />
winbind use default domain = yes<br />
winbind separ<strong>at</strong>or = /<br />
password server = *<br />
encrypt passwords = yes<br />
client use spnego = yes<br />
name resolve order = host wins lmhosts<br />
realm = TIT.AIR09<br />
...<br />
[homes]<br />
...<br />
comment = Home Directories<br />
browseable = no<br />
writeable = yes<br />
...<br />
Dienst verwalten<br />
Mit dem Befehl<br />
180
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
/etc/init.d/samba {start|stop|restart|force-reload}<br />
kann der Dienst verwaltet werden. Nach Änderung der Konfigur<strong>at</strong>ion sollte der Dienst<br />
neu gestartet werden. Mit dem Befehl<br />
tail -f /var/log/samba/log.nmbd /var/log/samba/log.smbd<br />
können die Log-D<strong>at</strong>eien überprüft werden.<br />
10.4.9 Winbind<br />
Winbind benötigen wir, um den Sambaserver an das Active Directory als Memberserver<br />
binden zu können. Wir installieren das Paket widerum aus den Paketquellen mit dem<br />
Befehl<br />
Install<strong>at</strong>ion<br />
apt-get install winbind<br />
Konfigur<strong>at</strong>ion<br />
In der D<strong>at</strong>ei /etc/nsswitch.conf müssen folgende Zeilen wie folgt angepasst werden:<br />
passwd:<br />
group:<br />
files winbind<br />
files winbind<br />
Ist die Install<strong>at</strong>ion erfolgreich abgeschlossen, erscheint folgende Meldung<br />
Starting the Winbind daemon: winbind.<br />
181
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Dienst verwalten<br />
Mit dem Befehl<br />
/etc/init.d/winbind {start|stop|restart|force-reload}<br />
kann der Dienst verwaltet werden. Nach Änderung der Konfigur<strong>at</strong>ion sollte der Dienst<br />
neu gestartet werden. Mit dem Befehl<br />
tail -f /var/log/samba/log.winbindd*<br />
können die Log-D<strong>at</strong>eien überprüft werden.<br />
10.4.10 Kerberos<br />
Kerberos wird gemeinsam mit Samba zur Authentisierung am Active Directory mittels<br />
NTLM benötigt. Wir installieren 7 das Paket aus den Paketquellen mit dem Befehl<br />
Install<strong>at</strong>ion<br />
apt-get install krb5-kdc krb5-admin-server<br />
Während der Install<strong>at</strong>ion wird man darüber informiert, dass während der Install<strong>at</strong>ion<br />
kein Kerberos Realm eingerichtet wird. Der Realm muss nach der Install<strong>at</strong>ion mit dem<br />
Befehl krb5_newrealm erstellt werden. Wir bestätigen diese Meldung und fahren fort.<br />
Anschließend müssen die zu verwendenden Kerberos Server angegeben werden. Hier<br />
geben wir AIR09-RS.TIT.AIR09 an.<br />
7 Die hier getätigten Arbeitsschritte entstammen der Anleitung auf http://wiki.freeradius.org/<br />
FreeRADIUS_Active_Directory_Integr<strong>at</strong>ion_HOWTO<br />
182
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
Konfigur<strong>at</strong>ion<br />
Anschließend führen wir noch den Befehl krb5_newrealm aus. Es erscheint folgende<br />
Meldung<br />
This script should be run on the master KDC/admin server to initialize<br />
a Kerberos realm. It will ask you to type in a master key password.<br />
This password will be used to gener<strong>at</strong>e a key th<strong>at</strong> is stored in<br />
/etc/krb5kdc/stash. You should try to remember this password, but it<br />
is much more important th<strong>at</strong> it be a strong password than th<strong>at</strong> it be<br />
remembered. However, if you lose the password and /etc/krb5kdc/stash,<br />
you cannot decrypt your Kerberos d<strong>at</strong>abase.<br />
Loading random d<strong>at</strong>a<br />
Nach einer Weile erscheint die Aufforderung zur Eingabe eines D<strong>at</strong>abase Master Password<br />
für den Kerberos Realm. Wir geben hier das Passwort an. Nun<br />
muss die Konfigur<strong>at</strong>ionsd<strong>at</strong>ei /etc/krb5.conf angepasst werden:<br />
[logging]<br />
default = FILE:/var/log/krb5libs.log<br />
kdc = FILE:/var/log/krb5kdc.log<br />
admin_server = FILE:/var/log/kadmind.log<br />
[libdefaults]<br />
default_realm = TIT.AIR09<br />
dns_lookup_realm = false<br />
dns_lookup_kdc = false<br />
clockskew = 300<br />
...<br />
[realms]<br />
TIT.AIR09 = {<br />
kdc = air09-dc1.tit.air09<br />
}<br />
...<br />
[domain_realm]<br />
.tit.air09 = TIT.AIR09<br />
tit.air09 = TIT.AIR09<br />
...<br />
[appdefaults]<br />
183
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
pam = {<br />
}<br />
debug = false<br />
ticket_lifetime = 1d<br />
renew_lifetime = 1d<br />
forwardable = true<br />
proxiable = false<br />
retain_after_close = false<br />
minimum_uid = 0<br />
Nun kann der Samba Server mit folgendem Befehl an das Active Directory auf dem<br />
air09-dc1.tit.air09 gebunden werden. Dabei steht [Administr<strong>at</strong>or] für einen Benutzer<br />
im Active Directory mit Administr<strong>at</strong>orrechten.<br />
net join -S air09-dc1.tit.air09 -U [Administr<strong>at</strong>or]<br />
Nun geben wir noch das für den Benutzernamen entsprechende Passwort ein und erhalten<br />
die Meldung, dass wir der Domäne beigetreten sind.<br />
Enter Administr<strong>at</strong>or’s password:<br />
Joined domain TIT.<br />
Abschließend können wir die Anbindung testen. Mit dem Befehl wbinfo -u können<br />
wir die Benutzer aus dem Active Directory anzeigen lassen<br />
wbinfo-u<br />
AIR09-RS/nobody<br />
AIR09-RS/lp<br />
AIR09-RS/debian-exim<br />
AIR09-RS/root<br />
AIR09-RS/daemon<br />
AIR09-RS/mail<br />
AIR09-RS/st<strong>at</strong>d<br />
AIR09-RS/news<br />
AIR09-RS/bin<br />
AIR09-RS/uucp<br />
AIR09-RS/air09<br />
184
KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
10.4. KONFIGURATION<br />
AIR09-RS/sshd<br />
AIR09-RS/proxy<br />
AIR09-RS/sys<br />
AIR09-RS/freerad<br />
AIR09-RS/sync<br />
AIR09-RS/list<br />
AIR09-RS/games<br />
AIR09-RS/irc<br />
AIR09-RS/www-d<strong>at</strong>a<br />
AIR09-RS/gn<strong>at</strong>s<br />
AIR09-RS/man<br />
AIR09-RS/libuuid<br />
Administr<strong>at</strong>or<br />
5aheli-gm<br />
5aheli-pf<br />
5aheli-tf<br />
...<br />
Mit dem Befehl wbinfo -a % kann die Benutzerauthentisierung<br />
überprüft werden, wobei für einen Benutzer im Active Directory und<br />
für das zum Benutzer gehörende Passwort stehen. Ist die Authentisierung<br />
erfolgreich, erscheint folgende Meldung<br />
plaintext password authentic<strong>at</strong>ion succeeded<br />
challenge/response password authentic<strong>at</strong>ion succeeded<br />
Zusätzlich kann die Authentisierung mittels NTLM überprüft werden. NTLM wird von<br />
FreeRADIUS zur Authentisierung verwendet. Näheres dazu im Abschnitt 10.4.7. Mit<br />
dem Befehl<br />
ntlm_auth --request-nt-key --domain=TIT.AIR09 --username= <br />
wird die NTLM Authentisierung gestartet, wobei durch einen Benutzernamen<br />
aus dem Active Directory ausgetauscht wurde. Ist die Authentisierung erfolgreich,<br />
erscheint folgende Meldung<br />
NT_STATUS_OK : Success (0x0)<br />
185
10.4. KONFIGURATION KAPITEL 10. DEBIAN GNU/LINUX 5.0 LENNY<br />
Dienst verwalten<br />
Mit dem Befehl<br />
/etc/init.d/krb5-kdc {start|stop|restart|force-reload}<br />
kann der Dienst verwaltet werden. Nach Änderung der Konfigur<strong>at</strong>ion sollte der Dienst<br />
neu gestartet werden.<br />
Mit dem Befehl<br />
tail -f /var/log/krb5kdc.log /var/log/krb5libs.log /var/log/kadmind.log<br />
können die Log-D<strong>at</strong>eien überprüft werden.<br />
186
Teil V<br />
Autom<strong>at</strong>isierung<br />
187
11 Tera Term<br />
11.1 Warum<br />
Wir waren auf der Suche nach einer Möglichkeit die Access Points autom<strong>at</strong>isch zu<br />
konfigurieren. Dies sollte über das Netzwerk funktionieren und auch sehr sicher sein, da<br />
die ganze Konfigur<strong>at</strong>ion inklusive aller Passwörter dem Access Point übermittelt wird.<br />
Wir waren darauf angewiesen, ein Programm zu finden das kostenlos ist. Durch unseren<br />
Projektbetreuer kamen wir auf ein Programm namens Tera Term, mit dessen Hilfe es<br />
möglich sein sollte, die Access Points autom<strong>at</strong>isch zu konfigurieren. Darauf hin haben<br />
wir das Programm heruntergeladen, installiert und getestet. Wie sich herausstellte, war<br />
es ein ausgesprochen nützliches und sicheres Programm.<br />
11.2 Install<strong>at</strong>ion<br />
In den folgenden Schritten wird gezeigt, wie Tera Term installiert wird. Wir haben<br />
Tera Term Version 4.60 verwendet[32].<br />
1. Zuerst führt man die TeraTerm.exe aus.<br />
2. Im nun erscheinenden Fenster bestätigen wir mit Next.<br />
189
11.2. INSTALLATION KAPITEL 11. TERA TERM<br />
Abbildung 11.1: Bestätigen für den nächsten Schritt<br />
3. Als nächstes wählen wir I accept the agreement und bestätigen mit Next.<br />
Abbildung 11.2: Akzeptieren der Bedingungen<br />
4. Im folgenden Schritt kann der Pfad für den Speicherort ausgewählt werden. Wir<br />
haben das Programm unter C:\\Programme\ter<strong>at</strong>erm installiert, was auch der<br />
Standardeinstellung entspricht. Weiter mit Next.<br />
190
KAPITEL 11. TERA TERM<br />
11.2. INSTALLATION<br />
Abbildung 11.3: Auswahl des Speicherortes<br />
5. Nun können wir die Komponenten installieren die wir benötigen. Die Standardauswahl<br />
beinhaltet die Komponente LogMeTT und TTLEdit die wir für die Autom<strong>at</strong>isierung<br />
benötigen. Weiter mit Next.<br />
Abbildung 11.4: Auswahl der Komponenten<br />
6. Hier können wir die Programmsprache auswählen. Wir wählen n<strong>at</strong>ürlich German.<br />
Weiter mit Next.<br />
191
11.2. INSTALLATION KAPITEL 11. TERA TERM<br />
Abbildung 11.5: Sprache auswählen<br />
7. Hier wird der Ordner für das Startmenü erzeugt. Wir haben die Standardeinstellung<br />
gewählt. Weiter mit Next.<br />
Abbildung 11.6: start menu folder<br />
8. Nun kann man noch weitere Tasks auswählen. Wir wählen Cre<strong>at</strong>e Tera Term<br />
shortcut to Desktop und Cre<strong>at</strong>e Tera Term shortcut to Quick Launch und gehen<br />
weiter mit Next<br />
192
KAPITEL 11. TERA TERM<br />
11.2. INSTALLATION<br />
Abbildung 11.7: Additional Tasks<br />
9. Hier starten wir die Install<strong>at</strong>ion indem wir auf Install klicken.<br />
Abbildung 11.8: start Install<br />
10. Wir beenden die Install<strong>at</strong>ion erfolgreich indem wir Launch LogMeTT wählen und<br />
dann mit Finish bestätigen.<br />
193
11.2. INSTALLATION KAPITEL 11. TERA TERM<br />
Abbildung 11.9: Install<strong>at</strong>ion erfolgreich beenden<br />
194
KAPITEL 11. TERA TERM<br />
11.3. VERWENDUNG<br />
11.3 Verwendung<br />
Im folgenden Themenbereich wird beschrieben, was wir unternommen haben um die<br />
Access Points autom<strong>at</strong>isch konfigurieren zu können. Zunächst haben wir ein Makrofile<br />
mit Hilfe von TeraTerm geschrieben. Nachdem dies funktionierte, haben wir die<br />
SSH2 Verbindung über die Kommandozeile autom<strong>at</strong>isiert. Bei Unklarheiten zu den<br />
Makrofiles, ist eine Hilfe im Programm verfügbar. Weitere Inform<strong>at</strong>ionen findet man<br />
im Liter<strong>at</strong>urverzeichnis unter Tera Term. [31]<br />
11.4 Makrofile<br />
In den folgenden Schritten wird gezeigt, wie man TeraTerm verwendet um ein Makrofile<br />
zu schreiben. Es wird ebenso gezeigte, welche Befehle man wie verwendet.<br />
1. Wir starten TeraTerm, indem wir Doppelklick auf folgendes Icon machen.<br />
Abbildung 11.10: TeraTerm starten<br />
2. Nun öffnet sich das Programm LogMeTT mit welchem es möglich ist, das gewünschte<br />
Makrofile zu schreiben.<br />
195
11.4. MAKROFILE KAPITEL 11. TERA TERM<br />
Abbildung 11.11: LogMeTT<br />
3. Zunächst wechseln wir auf das Macro Tab.<br />
Abbildung 11.12: Macro<br />
4. Nun kann man mit einem Rechtsklick auf This Computer (...) ein Fenster mit<br />
verschiedenen Optionen öffnen. Hier wählen wir Add Child. Es wird ein File erzeugt,<br />
das wir AIR09_AP_1 genannt haben. Wir haben das Projekt an einem Ort<br />
gespeichert, wo wir es wieder finden.<br />
196
KAPITEL 11. TERA TERM<br />
11.4. MAKROFILE<br />
Abbildung 11.13: Add Child<br />
Abbildung 11.14: Macrofile benennen<br />
5. Im folgenden Schritt haben wir nun das Makrofile geschrieben. Zwischendurch<br />
sollte man es abspeichern.<br />
197
11.5. PROGRAMMCODE KAPITEL 11. TERA TERM<br />
Abbildung 11.15: Additional Tasks<br />
11.5 Programmcode<br />
1. Aufbau einer SSH2-Verbindung mittels Passwortabfragebox:<br />
;Angabe von Benutzername und Ziel_IP_Adresse<br />
;Kommentare sind durch ; gekennzeichnet,die Zeichen danach sind kein Code<br />
username = ’admin’ ;Username für die SSH2 Verbindung<br />
hostname = ’10.0.10.101’ ;IP-Adresse des Device<br />
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;<br />
;Autom<strong>at</strong>isches einloggen mittels SSH<br />
msg = ’Hallo ’ ;Message die in der Popupbox erscheint<br />
strconc<strong>at</strong> msg username ;Username wird in Popupbox geschrieben<br />
passwordbox msg ’Get password’<br />
msg = hostname ;hostaddresse wird übergeben<br />
;Verbindung aufbauen über Port 22 SSH2<br />
strconc<strong>at</strong> msg ’:22 /ssh /2 /auth= /user=’<br />
strconc<strong>at</strong> msg username<br />
strconc<strong>at</strong> msg ’ /passwd=’<br />
strconc<strong>at</strong> msg inputstr<br />
connect msg<br />
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;<br />
2. Aufbau einer SSH2 Verbindung ohne Passwortabfrage:<br />
;connect ’myserver /ssh /2 /auth=password /user=username /passwd=password’<br />
connect ’10.0.10.101 /ssh /2 /auth=mode /user=username /passwd=’<br />
198
KAPITEL 11. TERA TERM<br />
11.5. PROGRAMMCODE<br />
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;<br />
3. Programmcode für das Aufspielen von Konfigur<strong>at</strong>ionsfiles:<br />
Je nach Einstellung am Access Point muss man auf das Zeichen > oder # warten.<br />
Falls der Access Point noch nicht enabled ist, ist das Passwort ebenfalls an den<br />
Access Point zu senden. In unserem Code ist der Code für das Enablen des Access<br />
Point auskommentiert. Die Einstellung, damit man kein enable mehr braucht,<br />
finden wir im Konfigur<strong>at</strong>ionsfile des Access Point (siehe Abschnitt 13.4).<br />
;warten bis er das Zeichen "#" sieht, da er ansonsten zu schnell ist<br />
wait ’#’<br />
;wait ’>’<br />
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;<br />
;In den nächsten beiden Zeilen steht der Code für das enablen des AP<br />
;sendln ’enable’<br />
;sendln ’’<br />
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;<br />
;Hier wechselt man in den config Modus des AP<br />
sendln ’configure’<br />
sendln ’terminal’<br />
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;<br />
;Im folgenden Programmcode steht, wie man Zeile für Zeile aus einem<br />
;Konfigur<strong>at</strong>ionsfile ausliest und ausgeführt wird.<br />
filename = ’~\test.d<strong>at</strong>’;Pfad zum Konfigur<strong>at</strong>ionsfile<br />
fileopen fhandle filename 0 ;öffnet das File mit der Konfigur<strong>at</strong>ion<br />
:loop ;startet die Schleife<br />
filereadln fhandle d<strong>at</strong>a ;liest Zeile für Zeile aus der Konfigur<strong>at</strong>ion<br />
sendln d<strong>at</strong>a ;Zeile für Zeile wird ausgeführt<br />
if result goto fclose ;wenn keine Zeile mehr vorhanden ist wird<br />
;die Schleife beendet<br />
goto loop ;Schleife wird wieder von Anfang an durchlaufen<br />
:fclose<br />
fileclose fhandle ;File wird geschlossen<br />
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;<br />
end ;Makro wird beendet<br />
199
11.6. UMSETZUNG DER AUTOMATISIERUNG KAPITEL 11. TERA TERM<br />
11.6 Umsetzung der Autom<strong>at</strong>isierung<br />
Für die Umsetzung der Autom<strong>at</strong>isierung haben wir ein Makrofile benötigt. Zudem<br />
musste es möglich sein, das selbe File auf alle Access Points adaptieren zu können. Es<br />
war somit erforderlich, dass Hostname, Username und Passwort über die Kommandozeile<br />
übergeben werden können.<br />
11.6.1 B<strong>at</strong>chd<strong>at</strong>ei<br />
Wir haben zur Umsetzung der Autom<strong>at</strong>isierung eine B<strong>at</strong>chd<strong>at</strong>ei genommen, die ausgeführt<br />
werden kann und alle Access Points mit Hilfe eines Makrofiles konfigurieren<br />
kann.<br />
11.6.2 Erstellen und Bearbeiten einer .b<strong>at</strong> D<strong>at</strong>ei<br />
1. Zunächst erzeugen wir uns ein neues Textfile. Wir erstellen es mit Rechtsklick,<br />
Neu, Textdokument.<br />
Abbildung 11.16: D<strong>at</strong>ei erstellen<br />
2. Nun benennen wir unser Textfile in AIR09.b<strong>at</strong> um.<br />
200
KAPITEL 11. TERA TERM<br />
11.6. UMSETZUNG DER AUTOMATISIERUNG<br />
Abbildung 11.17: txt umbenennen<br />
3. Es kommt nun eine Warnung, die einen darauf hinweist, dass die D<strong>at</strong>ei möglicherweise<br />
unbrauchbar wird. Wir bestätigen mit Ja<br />
Abbildung 11.18: Warnung bei umbenennen<br />
4. Nun sind wir im Besitz einer .b<strong>at</strong> D<strong>at</strong>ei.<br />
Abbildung 11.19: .b<strong>at</strong> D<strong>at</strong>ei<br />
5. Jetzt können wir unsere B<strong>at</strong>ch-D<strong>at</strong>ei mit Rechtsklick Bearbeiten bearbeiten. Speichern<br />
nicht vergessen!<br />
201
11.6. UMSETZUNG DER AUTOMATISIERUNG KAPITEL 11. TERA TERM<br />
Abbildung 11.20: D<strong>at</strong>ei bearbeiten<br />
11.6.3 Code<br />
echo on<br />
pushd "C:\Programme\ter<strong>at</strong>erm>"<br />
set PARAMS=/2 /user=******** /auth=mode /passwd=********* /M=test.ttl<br />
/L=C:\Programme\ter<strong>at</strong>erm\Logs\test<br />
:: ip ssh2<br />
ttermpro.exe 192.168.0.10 %PARAMS%01.log<br />
ttermpro.exe 192.168.0.11 %PARAMS%02.log<br />
cd "C:\Programme\ter<strong>at</strong>erm\Logs>"<br />
grep -H ERROR test*.log > Ausgabe.txt<br />
popd<br />
Für jeden Access Point kann diese Codezeile kopiert und in einer neuen Zeile eingefügt<br />
werden. N<strong>at</strong>ürlich muss sie für die verschiedenen Access Points noch angepasst<br />
werden. Meist muss nur die IP-Adresse geändert werden.<br />
202
KAPITEL 11. TERA TERM<br />
11.6. UMSETZUNG DER AUTOMATISIERUNG<br />
Abbildung 11.21: Bsp .b<strong>at</strong> D<strong>at</strong>ei<br />
11.6.4 Verwendetes Makrofile<br />
Wir haben folgendes Makrofile für die Autom<strong>at</strong>isierung geschrieben. Es ist darauf zu<br />
achten, dass man zum Schluss ein .ttl File besitzt. Wir haben den Code mit dem<br />
LogMeTT geschrieben und danach in ein Textfile kopiert und es dann in eine .ttl D<strong>at</strong>ei<br />
umbenannt.<br />
11.6.5 Code des Makrofiles<br />
wait ’#’<br />
;wait ’>’<br />
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;<br />
;In den nächsten beiden Zeilen steht der Code für das enablen des AP<br />
;sendln ’enable’<br />
;sendln ’’<br />
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;<br />
;Hier wechselt man in den config Modus des AP<br />
sendln ’configure’<br />
sendln ’terminal’<br />
;holen des config files vom tftp-Server<br />
sendln ’copy running-config tftp ’<br />
sendln ’copy running-config startup-config’<br />
sendln ’exit’<br />
sendln ’exit’<br />
203
11.6. UMSETZUNG DER AUTOMATISIERUNG KAPITEL 11. TERA TERM<br />
204
12 Install<strong>at</strong>ionsskript<br />
12.1 Warum<br />
Die zahlreichen Einstellungen und Konfigur<strong>at</strong>ionen, die im Laufe der Install<strong>at</strong>ion des<br />
Debian Servers vorgenommen werden mussten, sollten autom<strong>at</strong>isiert werden. Dadurch<br />
können Rechtschreibfehler und falsch pl<strong>at</strong>zierte Einträge in den Konfigur<strong>at</strong>ionsd<strong>at</strong>eien<br />
verhindert werden. Ebenfalls ist eine neue Install<strong>at</strong>ion somit um einiges schneller zu<br />
bewerkstelligen.<br />
12.2 Skript-Code<br />
!#/bin/bash<br />
echo "<br />
************************************************************<br />
* AIR09 *<br />
* Debian Install<strong>at</strong>ionsscript *<br />
************************************************************<br />
* Diplomarbeit 2008/09 *<br />
* <strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong>, <strong>Franz</strong> <strong>Pucher</strong>, <strong>Felix</strong> <strong>Tiefenthaler</strong> *<br />
************************************************************"<br />
echo "Drücke ENTER um mit der Install<strong>at</strong>ion zu beginnen ..."<br />
read confirm<br />
echo "Richte Proxy ein ..."<br />
mv config/profile /home/air09/.profile<br />
echo "Richte Paketquellen ein ..."<br />
mv config/sources.list /etc/apt/sources.list<br />
echo "Mache Upd<strong>at</strong>es ..."<br />
205
12.2. SKRIPT-CODE KAPITEL 12. INSTALLATIONSSKRIPT<br />
apt-get upd<strong>at</strong>e<br />
apt-get upgrade<br />
echo "Konfiguriere debconf ..."<br />
cp config/debconf/config.d<strong>at</strong> /var/cache/debconf/config.d<strong>at</strong><br />
echo "Installiere Pakete ..."<br />
dpkg -i packages/*<br />
echo "Synchronisiere Zeit ..."<br />
echo "Welcher Zeitserver soll verwendet werden"<br />
read ntpserver<br />
ntpd<strong>at</strong>e -u $ntpserver<br />
echo "Richte FreeRADIUS ein ..."<br />
cp config/freeradius/eap.conf /etc/freeradius/eap.conf<br />
cp config/freeradius/radiusd.conf /etc/freeradius/radiusd.conf<br />
cp config/freeradius/default /etc/freeradius/sites-enabled/default<br />
cp config/freeradius/inner-tunnel /etc/freeradius/sites-enabled/inner-tunnel<br />
usermod -G winbindd_priv freerad<br />
echo "Richte Samba ein ..."<br />
cp config/samba/smb.conf /etc/samba/smb.conf<br />
echo "Richte Kerberos ein ..."<br />
cp config/kerberos/krb5.conf /etc/krb5.conf<br />
echo "Richte Winbind ein ..."<br />
cp config/nsswitch.conf /etc/nsswitch.conf<br />
echo "Erstelle Zertifik<strong>at</strong>e ..."<br />
mkdir -p /etc/ssl/CA/newcerts<br />
mkdir -p /etc/ssl/CA/priv<strong>at</strong>e<br />
echo ’01’ > /etc/ssl/CA/serial<br />
touch /etc/ssl/CA/index.txt<br />
openssl req -new -x509 -extensions v3_ca -keyout \<br />
/etc/ssl/CA/priv<strong>at</strong>e/cakey.pem -out /etc/ssl/CA/cacert.pem \<br />
-days 365 -config config/openssl/openssl.cnf<br />
openssl req -new -nodes -out /etc/ssl/CA/req.pem -config \<br />
config/openssl/openssl.cnf<br />
openssl ca -out /etc/ssl/CA/cert.pem -config \<br />
config/openssl/openssl.cnf -infiles /etc/ssl/CA/req.pem<br />
206
KAPITEL 12. INSTALLATIONSSKRIPT<br />
12.3. ANLEITUNG<br />
openssl dhparam -out /etc/freeradius/certs/dh 1024<br />
echo "Erstelle neuen Kerberos Realm ..."<br />
krb5_newrealm<br />
echo "Binde Samba an Active Directory ..."<br />
echo "Gib den AD-Server an:"<br />
read $adserver<br />
echo "Gib einen Administr<strong>at</strong>or-Benutzer an um dich an das AD zu binden:"<br />
read $account<br />
net join -S $adserver -U $account<br />
12.3 Anleitung<br />
Das oben gezeigte Install<strong>at</strong>ionsskript ist mit allen zur Install<strong>at</strong>ion benötigten Paketen<br />
auf der beigelegten CD-ROM vorhanden. Es kann direkt nach der Install<strong>at</strong>ion des<br />
Systems, wie sie in Abschnitt 10.2.1 gezeigt wurde, ausgeführt werden. Das Install<strong>at</strong>ionsskript<br />
entspricht im Prinzip der in Abschnitt 10.4 gezeigten Konfigur<strong>at</strong>ion und<br />
kann als altern<strong>at</strong>ive Install<strong>at</strong>ions- und Konfigur<strong>at</strong>ionsmethode gesehen werden. Bevor<br />
das Install<strong>at</strong>ionsskript jedoch verwendet werden kann, muss die IP-Adresse des Rechners<br />
nach der Anleitung in Abschnitt 10.4.1 konfiguriert werden.<br />
Zunächst muss die auf der CD-ROM mitgelieferte ISO-D<strong>at</strong>ei install-script.iso über<br />
den VMware Infrastructure Client an die Virtuelle Maschine angeschlossen werden<br />
(siehe Abschnitt 2). Anschließend kann in der Konsole von Debian mit dem Befehl<br />
mount /dev/cdrom /media/cdrom das Image eingehängt werden. Nun sind alle für<br />
das Install<strong>at</strong>ionsskript benötigten D<strong>at</strong>eien unter /media/cdrom/ verfügbar. Bevor das<br />
Install<strong>at</strong>ionsskript nun jedoch ausgeführt werden kann, müssen die Konfigur<strong>at</strong>ionsd<strong>at</strong>eien<br />
angepasst werden. Dazu kopieren wir alle D<strong>at</strong>eien mit dem Befehl<br />
cp -R /media/cdrom/* /tmp<br />
in ein temporäres Verzeichnis. Danach sind folgende D<strong>at</strong>eien anzupassen:<br />
• /tmp/debconf/config.d<strong>at</strong><br />
• /tmp/freeradius/default<br />
• /tmp/freeradius/eap.conf<br />
207
12.3. ANLEITUNG KAPITEL 12. INSTALLATIONSSKRIPT<br />
• /tmp/freeradius/inner-tunnel<br />
• /tmp/freeradius/radiusd.conf<br />
• /tmp/kerberos/krb5.conf<br />
• /tmp/openssl/openssl.cnf<br />
• /tmp/samba/smb.conf<br />
• /tmp/nsswitch.conf<br />
• /tmp/profile<br />
• /tmp/sources.list<br />
In diesen D<strong>at</strong>eien müssen die Pl<strong>at</strong>zhalter durch entsprechende Werte<br />
ausgetauscht werden. Dabei kann die bei der Variable stehende Beschreibung als Hilfe<br />
verwendet werden. Ebenfalls befinden sich Inform<strong>at</strong>ionen zur richtigen Auswahl der<br />
Parameter im Security Appendix.<br />
Nachdem in den Konfigur<strong>at</strong>ionsd<strong>at</strong>eien die richtigen Werte eingetragen wurden, kann<br />
das Install<strong>at</strong>ionsskript gestartet werden. Dabei kann folgender Befehl verwendet werden:<br />
/tmp/script.sh<br />
Während das Install<strong>at</strong>ionsskript ausgeführt wird, erscheinen immer wieder Inform<strong>at</strong>ionen,<br />
die Auskunft über die aktuell ausgeführte Install<strong>at</strong>ion geben. Teilweise werden<br />
auch einige Parameter abgefragt, die beantwortet werden müssen. Nach Ausführen des<br />
Install<strong>at</strong>ionsskripts sollte das System mit dem Befehl reboot neu gestartet werden.<br />
208
Teil VI<br />
Access Point<br />
209
13 Access Point<br />
Dankenswerterweise haben wir insgesamt vier Cisco Aironet 1242AG Access Points von<br />
der Firma NextiraOne zur Verfügung gestellt bekommen. Aus diesem Grund haben wir<br />
in unserem Testnetzwerk ausschließlich mit diesen Access Points gearbeitet.<br />
13.1 Access Point Eigenschaften<br />
Die Eigenschaften des Access Points können dem D<strong>at</strong>enbl<strong>at</strong>t von Cisco entnommen<br />
werden. [26]<br />
13.2 VLAN Routing und Bridging Konzept<br />
Um zwischen VLANs zu routen muss der VLAN-Tag erhalten bleiben. Grundsätzlich<br />
werden die original VLAN Header bei Routern beim Eingang entfernt und beim Ausgang<br />
neu geschrieben. Dies bedeutet aber, dass es sich auch bei einer gleichen VLAN-ID<br />
um zwei verschiedene VLANs handelt.<br />
Unter Verwendung der IRB (Integr<strong>at</strong>ed Routing and Bridging) Fähigkeiten in Cisco<br />
Geräten kann ein Router so konfiguriert werden, dass der VLAN Header im Frame<br />
erhalten bleibt, während er vom Router von einem Interface zum anderen übertragen<br />
wird.<br />
IRB ermöglicht es, die VLANs mit Hilfe des virtuellen Interfaces BVI (Bridged Group<br />
Virtual Interface) zu übertragen. Der Router kann nun sowohl routen als auch bridgen.<br />
Ein BVI ist ein virtuelles Interface innerhalb eines Routers. Die Interfacenummer ist<br />
die Verbindung zwischen dem BVI und der bridge group (BVI 1 - bridge group 1). BVI<br />
1 repräsentiert die FastEthernetschnittstelle sowie die Funkschnittstelle. [2]<br />
211
13.3. ALLGEMEINE INFORMATIONEN KAPITEL 13. ACCESS POINT<br />
13.3 Allgemeine Inform<strong>at</strong>ionen<br />
1. In den folgenden Abschnitten werden die Konfigur<strong>at</strong>ionen der Access Points gezeigt<br />
und erklärt, welche in unserem Testnetzwerk verwendet wurden. Für individuelle<br />
Konfigur<strong>at</strong>ionen oder bei Unklarheiten empfiehlt sich der Konfigur<strong>at</strong>ionsguide<br />
von Cisco für Aironet Access Points. [3] Auch die Online Hilfe des Access<br />
Points ist empfehlenswert. Diese kann durch einen Klick auf das Hilfe Symbol in<br />
der rechten oberen Ecke im Webinterface aufgerufen werden.<br />
Abbildung 13.1: Online Hilfe des Access Points<br />
2. Der Access Point bezieht seine IP-Adresse mit den Standardeinstellungen autom<strong>at</strong>isch<br />
über das FastEthernetinterface per DHCP. Diese IP-Adresse wird dem<br />
BVI 1 Interface zugewiesen, da dieses sowohl das FastEthernet als auch das Funkinterface<br />
repräsentiert. Bei einem Access Point mit Werkseinstellungen sind folgende<br />
Einstellungen, welche die IP-Adresszuweisung betreffen, bereits vorkonfiguriert:<br />
interface BVI1<br />
ip address dhcp client-id FastEthernet0<br />
Dies bedeutet, dass der Access Point eine IP-Adresse bekommt, wenn ein DHCP<br />
Server vorhanden ist. Da wir in unserem Testnetzwerk einen DHCP Server haben,<br />
wurde dem Access Point autom<strong>at</strong>isch eine IP-Adresse zugewiesen.<br />
3. Da WEP eine sehr unsichere Verschlüsselung ist, verwenden wir bei unseren Access<br />
Points die wesentlich sicherere WPA2 Verschlüsselung. Hierfür muss allerdings<br />
eine cipher suite verwendet werden, da ansonsten keine WPA Verschlüsselung<br />
möglich ist.<br />
Mit cipher suites können mehrere Verschlüsselungsalgorithmen verwendet werden,<br />
um eine Funkverbindung zu verschlüsseln, und damit die Sicherheit zu verbessern.<br />
212
KAPITEL 13. ACCESS POINT<br />
13.3. ALLGEMEINE INFORMATIONEN<br />
4. Das Shared Secret muss sowohl beim Access Point als auch beim RADIUS Server<br />
dasselbe Passwort sein. Dieses wird benötigt, um die Kommunik<strong>at</strong>ion zwischen<br />
Access Point und RADIUS Server zu ermöglichen.<br />
213
13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT<br />
13.4 Konfigur<strong>at</strong>ion – Console<br />
Die folgende Konfigur<strong>at</strong>ion wurde für unser Testnetzwerk geschrieben.<br />
Die Konfigur<strong>at</strong>ion der VLANs unseres Testnetzwerkes können dem Security Appendix<br />
unter Abschnitt VLAN entnommen werden. Hier verwendete VLANs werden nur als<br />
Beispiele verwendet.<br />
In nächsten Abschnitt wird beschrieben wie dies mit Hilfe der Console durchgeführt<br />
wird.<br />
Unsere Konfigur<strong>at</strong>ion setzt einen Access Point mit Werkseinstellungen voraus. Dies<br />
wird durch Zurücksetzen des Access Points (siehe Abschnitt 13.4.2) erreicht.<br />
13.4.1 Verbindungsaufbau<br />
Als erstes muss, wie in Kapitel 3.2 beschrieben, eine Verbindung zum Access Point<br />
aufgebaut werden. Dazu muss ein Rollover 1 Kabel am Console Port des Access Points<br />
(siehe Abbildung 13.2) mit dem seriellen Port eines PCs verbunden werden.<br />
Abbildung 13.2: Blaues Rollover Kabel am Console Port<br />
1. Nachdem die Verbindung zum Access Point hergestellt wurde, sollte Folgendes<br />
erscheinen.<br />
1 So bezeichnet Cisco die seriellen Kabel für den Zugriff auf den Consolen Port des Access Points<br />
214
KAPITEL 13. ACCESS POINT<br />
13.4. KONFIGURATION – CONSOLE<br />
Abbildung 13.3: Telnet Verbindung zum AP<br />
13.4.2 Zurücksetzen eines Access Points<br />
Als erstes wird in den privilegierten Modus gewechselt. Dies geschieht mit denselben<br />
Befehlen wie bei anderen Cisco Produkten (Router, Switch). Das Standard enable<br />
Passwort lautet Cisco.<br />
ap>enable<br />
Password: Cisco<br />
Hier muss als erstes der Befehl:<br />
ap#erase startup-config<br />
eingegeben werden. Nach Eingabe dieses Befehls wird eine Warnung angezeigt.<br />
Erasing the nvram filesystem will remove all configur<strong>at</strong>ion<br />
files! Continue [confirm]<br />
Fortgesetzt wird mit der Enter-Taste.<br />
Das Löschen der startup-config wird mit folgender Ausgabe bestätigt:<br />
215
13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT<br />
[OK]<br />
Erase of nvram: complete<br />
Anschließend kann mit dem Befehl:<br />
ap#reload<br />
Proceed with reload [confirm]<br />
und Bestätigen mit Enter der Access Point zurückgesetzt werden.<br />
13.4.3 Allgemeine Einstellungen<br />
Zunächst muss in den Globalen Konfigur<strong>at</strong>ionsmodus gewechselt werden.<br />
ap#configure terminal<br />
ap(config)#<br />
Danach wird der Hostname des Access Points geändert.<br />
ap(config)#hostname AP1<br />
AP1(config)#<br />
Es empfiehlt sich, das enable Passwort aus Sicherheitsgründen zu ändern. Zudem sollte<br />
dieses stets verschlüsselt werden.<br />
AP1(config)#enable secret <br />
AP1(config)#service password-encryption<br />
216
KAPITEL 13. ACCESS POINT<br />
13.4. KONFIGURATION – CONSOLE<br />
13.4.4 SSH Zugang aktivieren<br />
Um den Access Point über SSH verwalten zu können muss als erstes ein Benutzer<br />
angelegt werden.<br />
AP1(config)#username admin privilege 15 secret <br />
Durch den Zus<strong>at</strong>z privilege 15 bekommt der neu erstellte User mit dem Namen<br />
admin alle Rechte (Schreiben/Lesen). Zusätzlich wird das Passwort durch secret <br />
verschlüsselt.<br />
Danach muss als erstes ein Domainname definiert werden.<br />
AP1(config)#ip domain name tit.air09<br />
Anschließend wird ein RSA key mit 2048 Bits generiert.<br />
AP1(config)#crypto key gener<strong>at</strong>e rsa<br />
How many bits in the modulus [512]: 2048<br />
% Gener<strong>at</strong>ing 2048 bit RSA keys, keys will be non-exportable...[OK]<br />
Dies kann einige Zeit in Anspruch nehmen. Anschließend wird SSH2 durch folgenden<br />
Befehl aktiviert.<br />
AP1(config)#ip ssh version 2<br />
Nunmehr kann mittels SSH Username: admin und Passwort: , wie in<br />
Kapitel 3.3.2 beschrieben, auf den Access Point zugegriffen werden.<br />
Aus Sicherheitsgründen entfernen wir den vorhandenen Benutzer Cisco. Dies geschieht<br />
mit folgendem Befehl.<br />
AP1(config)#no username Cisco<br />
217
13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT<br />
13.4.5 Telnet deaktivieren<br />
Standardmäßig ist Telnet aktiviert. Um die Sicherheit zu verbessern wird Telnet mit<br />
folgenden Befehlen deaktiviert.<br />
Als erstes muss eine access list angelegt werden<br />
access-list 111 permit tcp any any neq telnet. Danach muss diese access list<br />
dem console terminal und dem virtual terminal zugewiesen werden.<br />
AP1(config)#access-list 111 permit tcp any any neq telnet<br />
AP1(config)#line console 0<br />
AP1(config-line)#access-class 111 in<br />
AP1(config-line)#exit<br />
AP1(config)#line vty 0 15<br />
AP1(config-line)#access-class 111 in<br />
13.4.6 VLANs auf den Schnittstellen einrichten<br />
1. Um VLANs auf dem Access Point zu erstellen, muss für jede Schnittstelle (Fast-<br />
Ethernetinterface, Funkinterface) ein oder mehrere Subinterfaces eingerichtet werden.<br />
Zudem wird die encapsul<strong>at</strong>ion dot1Q eingestellt, also das Trunking Protokoll<br />
IEEE 802.1Q verwendet.<br />
2. Jedem VLAN wird durch den Befehl<br />
AP1(config-subif)#description eine Bezeichnung gegeben.<br />
3. Als erstes wird das N<strong>at</strong>ive VLAN eingestellt, da über dieses die Access Points<br />
verwaltet werden.<br />
4. Beim Festlegen des N<strong>at</strong>ive VLAN wird das Interface autom<strong>at</strong>isch der bridge group 1<br />
zugewiesen.<br />
5. Jedes Subinterface, sowohl FastEthernet als auch Funkinterface (Dot11Radio 0-<br />
1), muss der zugehörigen bridge group zugewiesen werden bridge group x. Dabei<br />
werden für FastEthernetsubinterfaces folgende Konfigur<strong>at</strong>ionen autom<strong>at</strong>isch<br />
eingerichtet:<br />
no bridge-group 2 source-learning<br />
bridge-group 2 spanning-disabled<br />
Für Funksubinterfaces werden folgende Konfigur<strong>at</strong>ionen autom<strong>at</strong>isch eingerichtet:<br />
218
KAPITEL 13. ACCESS POINT<br />
13.4. KONFIGURATION – CONSOLE<br />
bridge-group 2 subscriber-loop-control<br />
bridge-group 2 block-unknown-source<br />
no bridge-group 2 source-learning<br />
no bridge-group 2 unicast-flooding<br />
bridge-group 2 spanning-disabled<br />
FastEthernetsubinterfaces<br />
In unserem Fall müssen nun 4 Subinterfaces erstellt werden.<br />
VLAN 10 ist das N<strong>at</strong>ive VLAN.<br />
AP1(config)#interface fastEthernet 0.10<br />
AP1(config-subif)#description n<strong>at</strong>ive<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 10 n<strong>at</strong>ive<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
VLAN 30 für Schüler.<br />
AP1(config)#interface fastEthernet 0.30<br />
AP1(config-subif)#description schueler<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 30<br />
AP1(config-subif)#bridge-group 30<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
VLAN 40 für Lehrer.<br />
AP1(config)#interface fastEthernet 0.40<br />
AP1(config-subif)#description lehrer<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 40<br />
AP1(config-subif)#bridge-group 40<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
VLAN 50 für Gäste.<br />
219
13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT<br />
AP1(config)#interface fastEthernet 0.50<br />
AP1(config-subif)#description guest<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 50<br />
AP1(config-subif)#bridge-group 50<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
Funksubinterfaces<br />
Danach werden die Funksubinterfaces interface Dot11Radio 0.x und<br />
interface Dot11Radio 1.x erstellt und mit der Verkapselung encapsul<strong>at</strong>ion dot1Q x<br />
konfiguriert. Auch hier muss wieder die entsprechende bridge group bridge group x<br />
zugewiesen werden.<br />
Wir beginnen mit dem Subinterface interface Dot11Radio 0.x:<br />
AP1(config)#interface Dot11Radio 0.10<br />
AP1(config-subif)#description n<strong>at</strong>ive<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 10 n<strong>at</strong>ive<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
VLAN 30 für Schüler.<br />
AP1(config)#interface Dot11Radio 0.30<br />
AP1(config-subif)#description schueler<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 30<br />
AP1(config-subif)#bridge-group 30<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
VLAN 40 für Lehrer.<br />
AP1(config)#interface Dot11Radio 0.40<br />
AP1(config-subif)#description lehrer<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 40<br />
AP1(config-subif)#bridge-group 40<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
220
KAPITEL 13. ACCESS POINT<br />
13.4. KONFIGURATION – CONSOLE<br />
VLAN 50 für Gäste.<br />
AP1(config)#interface Dot11Radio 0.50<br />
AP1(config-subif)#description guest<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 50<br />
AP1(config-subif)#bridge-group 50<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
Nun werden die Subinterfaces für das Interface interface Dot11Radio 1 konfiguriert:<br />
AP1(config)#interface Dot11Radio 1.10<br />
AP1(config-subif)#description n<strong>at</strong>ive<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 10 n<strong>at</strong>ive<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
VLAN 30 für Schüler.<br />
AP1(config)#interface Dot11Radio 1.30<br />
AP1(config-subif)#description schueler<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 30<br />
AP1(config-subif)#bridge-group 30<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
VLAN 40 für Lehrer.<br />
AP1(config)#interface Dot11Radio 1.40<br />
AP1(config-subif)#description lehrer<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 40<br />
AP1(config-subif)#bridge-group 40<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
221
13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT<br />
VLAN 50 für Gäste.<br />
AP1(config)#interface Dot11Radio 1.50<br />
AP1(config-subif)#description guest<br />
AP1(config-subif)#encapsul<strong>at</strong>ion dot1Q 50<br />
AP1(config-subif)#bridge-group 50<br />
AP1(config-subif)#exit<br />
AP1(config)#<br />
13.4.7 VLAN Verschlüsselung<br />
Im nächsten Schritt wird festgelegt, welche Verschlüsselung die einzelnen VLANs verwenden.<br />
Dazu muss auf beiden Funkinterfaces interface Dot11Radio die Verschlüsselung<br />
eingestellt werden. Wir haben bei jedem VLAN den Modus ciphers ausgewählt<br />
und dann die Verschlüsselung auf aes-ccm tkip eingestellt.<br />
AP1(config)#interface Dot11Radio 0<br />
AP1(config-if)#encryption vlan 10 mode ciphers aes-ccm tkip<br />
AP1(config-if)#encryption vlan 30 mode ciphers aes-ccm tkip<br />
AP1(config-if)#encryption vlan 40 mode ciphers aes-ccm tkip<br />
AP1(config-if)#encryption vlan 50 mode ciphers aes-ccm tkip<br />
AP1(config-if)#exit<br />
AP1(config)#<br />
AP1(config)#interface Dot11Radio 1<br />
AP1(config-if)#encryption vlan 10 mode ciphers aes-ccm tkip<br />
AP1(config-if)#encryption vlan 30 mode ciphers aes-ccm tkip<br />
AP1(config-if)#encryption vlan 40 mode ciphers aes-ccm tkip<br />
AP1(config-if)#encryption vlan 50 mode ciphers aes-ccm tkip<br />
AP1(config-if)#exit<br />
AP1(config)#<br />
13.4.8 RADIUS Server bestimmen<br />
Dem Access Point muss die IP-Adresse (IP-Adresse: 10.0.20.12) des RADIUS Servers<br />
bekannt gegeben werden. Ebenso ist der Authentifizierungsport 1812 und der Accoun-<br />
222
KAPITEL 13. ACCESS POINT<br />
13.4. KONFIGURATION – CONSOLE<br />
tingport 1813 anzugeben. Zudem muss ein shared secret festgelegt werden. Dieses muss<br />
auch beim RADIUS Server eingetragen werden.<br />
AP1(config)#aaa new-model<br />
AP1(config)#radius-server host 10.0.20.12 auth-port 1812<br />
acct-port 1813 key <br />
Mit den folgenden Befehlen wird der Server der Gruppe mit dem Namen rad_eap1<br />
zugewiesen und konfiguriert.<br />
AP1(config)#aaa group server radius rad_eap1<br />
AP1(config-sg-radius)#server 10.0.20.12 auth-port 1812 acct-port 1813<br />
AP1(config-sg-radius)#exit<br />
Nun wird eine Liste mit dem Namen eap_methods1 für die Anmeldemethode erstellt<br />
und mit der Servergruppe rad_eap1 verbunden. Diese Liste wird benötigt, um dem<br />
Service Set Identifier (SSID) eine Anmeldemethode und den dazugehörigen RADIUS<br />
Server zuzuweisen.<br />
AP1(config)#aaa authentic<strong>at</strong>ion login eap_methods1 group rad_eap1<br />
Damit der Access Point seinen Hostname %h zum RADIUS Server für die Authentifizierung<br />
sendet, muss folgender Befehl eingegeben werden.<br />
AP1(config)#radius-server <strong>at</strong>tribute 32 include-in-access-req form<strong>at</strong> %h<br />
13.4.9 SSID erstellen<br />
Hier wird beschrieben wie eine SSID erstellt wird und diese einem VLAN zugewiesen<br />
wird. Es wird nur ein SSID benötigt, da wir VLAN assignment verwenden. Wir weisen<br />
der SSID guest das VLAN 5 zu.<br />
AP1(config)#dot11 ssid guest<br />
AP1(config-ssid)#vlan 50<br />
223
13.4. KONFIGURATION – CONSOLE KAPITEL 13. ACCESS POINT<br />
Nun wird die Authentifizierungsmethode für diese SSID festgelegt. Dabei verwenden<br />
wir die offene Authentifizierungsmethode. Zusätzlich wird hier das Protokoll EAP<br />
(Extensible Authentic<strong>at</strong>ion Protocoll) gewählt. Danach muss noch die EAP-Liste gewählt<br />
werden, die die Inform<strong>at</strong>ionen des RADIUS Servers beinhaltet (eap_methods1 ).<br />
authentic<strong>at</strong>ion open eap eap_methods1. Als Letztes wird noch die Verschlüsselung<br />
auf WPA2 eingestellt.<br />
AP1(config-ssid)#authentic<strong>at</strong>ion open eap eap_methods1<br />
AP1(config-ssid)#authentic<strong>at</strong>ion key-management wpa version 2<br />
Durch den folgenden Befehl wird die SSID ausgestrahlt (sichtbar).<br />
AP1(config-ssid)#guest-mode<br />
AP1(config-ssid)#exit<br />
AP1(config)#<br />
13.4.10 SSID den Funkinterfaces zuweisen<br />
Die SSID muss jedem Funkinterface einzeln zugewiesen werden. Wichtig ist hierbei der<br />
Befehl no shutdown damit die Interfaces eingeschaltet werden.<br />
AP1(config)#interface Dot11Radio 0<br />
AP1(config-if)#ssid guest<br />
AP1(config-if)#no shutdown<br />
AP1(config-if)#exit<br />
AP1(config)#<br />
AP1(config)#interface Dot11Radio 1<br />
AP1(config-if)#ssid guest<br />
AP1(config-if)#no shutdown<br />
AP1(config-if)#exit<br />
AP1(config)#<br />
Bestätigt wird das Einschalten der Interfaces mit folgender Ausgabe (für Dot11Radio0):<br />
224
KAPITEL 13. ACCESS POINT<br />
13.4. KONFIGURATION – CONSOLE<br />
%LINK-5-CHANGED: Interface Dot11Radio0, changed st<strong>at</strong>e to reset<br />
%DOT11-6-FREQ_SCAN: Interface Dot11Radio0, Scanning frequencies<br />
for 22 seconds<br />
%DOT11-6-FREQ_USED: Interface Dot11Radio0, frequency 2412 selected<br />
%LINK-3-UPDOWN: Interface Dot11Radio0, changed st<strong>at</strong>e to up<br />
%LINEPROTO-5-UPDOWN: Line protocol on Interface Dot11Radio0, changed<br />
st<strong>at</strong>e to up<br />
13.4.11 Speichern der running-config<br />
Da bei einem Stromausfall des Access Points die running-config verloren geht, empfiehlt<br />
es sich, diese zu speichern. Mit folgendem Befehl wird die running-config auf<br />
dem Access Point abgespeichert:<br />
AP1#copy running-config startup-config<br />
Destin<strong>at</strong>ion filename [startup-config]<br />
Building configur<strong>at</strong>ion...<br />
[OK]<br />
AP1#<br />
225
13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT<br />
13.5 Konfigur<strong>at</strong>ion – Webinterface<br />
In diesem Abschnitt wird beschrieben, wie die Konfigur<strong>at</strong>ion des Access Points mit<br />
Hilfe des Webinterfaces durchgeführt wird.<br />
Unsere Konfigur<strong>at</strong>ion setzt einen Access Point mit Werkseinstellungen voraus. Dies<br />
wird durch Zurücksetzen des Access Points (siehe Abschnitt 13.4.2) erreicht.<br />
13.5.1 Verbindungsaufbau<br />
Um eine Verbindung aufbauen zu können, wird zunächst die IP-Adresse des BVI 1<br />
benötigt. Diese erhält man entweder vom DHCP Server oder über die Console vom<br />
Access Point mit dem Befehl:<br />
ap>enable<br />
Password: Cisco<br />
ap#show interfaces BVI 1<br />
Danach muss im Internet Explorer (Es muss der Internet Explorer verwendet werden)<br />
die IP-Adresse eingegeben werden.<br />
Abbildung 13.4: Verbindung zum Webinterface<br />
Nach Eingabe der IP-Adresse gelangt man zur Passwortabfrage. Hier muss das globale<br />
Passwort eingegeben werden. Dieses lautet standardmäßig Cisco.<br />
226
KAPITEL 13. ACCESS POINT<br />
13.5. KONFIGURATION – WEBINTERFACE<br />
Abbildung 13.5: Passworteingabe<br />
Nach Bestätigung mit OK erscheint im Internet Explorer der Home-Bereich des Access<br />
Point Webinterface.<br />
Abbildung 13.6: Home-Bereich<br />
13.5.2 Allgemeine Einstellungen<br />
Als Erstes wird der Hostname des Access Points von ap auf AP1 geändert. Dazu wird<br />
auf der linken Seite im Menü auf Express-Setup geklickt. Anschließend kann im oberen<br />
227
13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT<br />
Bereich bei Host Name: der Hostname geändert werden.<br />
Abbildung 13.7: Hostnamen ändern<br />
Allgemein werden Änderungen durch klick auf den Apply-Button bestätigt.<br />
Abbildung 13.8: Bestätigen durch Apply<br />
Anschließend erscheint eine Warnung die mit klick auf OK bestätigt wird. Dabei werden<br />
die Einstellungen sofort in die startup-config gespeichert.<br />
228
KAPITEL 13. ACCESS POINT<br />
13.5. KONFIGURATION – WEBINTERFACE<br />
Abbildung 13.9: Warnung bestätigen<br />
Um das enable Passwort zu ändern muss im Menü auf SECURITY und anschließend<br />
auf Admin Access geklickt werden.<br />
Hier wird im Bereich Default Authentic<strong>at</strong>ion (Global Password) das neue Passwort<br />
eingegeben. Dabei wird ein enable secret password in die Konfigur<strong>at</strong>ion des Access<br />
Points gespeichert, welches verschlüsselt ist.<br />
Abbildung 13.10: enable Passwort ändern und verschlüsseln<br />
N<strong>at</strong>ürlich muss auch hier wieder die Eingabe durch Klick auf Apply und anschließendem<br />
Klick auf OK bestätigt werden.<br />
Da nun das enable Passwort geändert wurde, verlangt der Access Point, dass man sich<br />
mit dem neuen Kennwort erneut beim Webinterface anmeldet.<br />
229
13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT<br />
Abbildung 13.11: Neues enable Passwort eingeben<br />
13.5.3 SSH Zugang aktivieren<br />
Um den Access Point über SSH verwalten zu können, legen wir als Erstes einen neuen<br />
Benutzer an. Dies geschieht ebenfalls im Menüunterpunkt Admin Access.<br />
Im unteren Bereich können neue Benutzer hinzugefügt werden. Dazu geben wir bei<br />
Username: den Usernamen admin und bei Password: das Passwort <br />
ein. Bestätigt wird die Passworteingabe durch das Textfeld Confirm Password:. Da<br />
dieser User sowohl Lese- als auch Schreibrecht besitzen soll, wählen wir bei Capability<br />
Settings: Read-Write.<br />
Abbildung 13.12: Admin User anlegen<br />
230
KAPITEL 13. ACCESS POINT<br />
13.5. KONFIGURATION – WEBINTERFACE<br />
Bestätigen der Eingabe wieder durch Apply und OK.<br />
Wir sehen nun im Feld User List:, dass der neue User erstellt wurde. Hier können<br />
erstellte Benutzer gelöscht bzw. bearbeitet werden. Es muss mindestens ein Benutzer<br />
vorhanden sein.<br />
Abbildung 13.13: Userliste<br />
Um nun SSH zu aktivieren, muss im Menü auf SERVICES und danach auf Telnet/SSH<br />
geklickt werden. Hier muss im Abschnitt Secure Shell Configur<strong>at</strong>ion bei Secure Shell:<br />
SSH aktiviert (Enable) werden. Der Domain Name wird bei Domain Name: eingegeben.<br />
Bei RSA Key Size (optional): geben wir 2048 Bits ein. Mit dem Webinterface kann<br />
allerdings nur die SSH Version 1.99 aktiviert werden. Soll SSH2 aktiviert werden, muss<br />
dies wie in Abschnitt 13.4.4 gezeigt, über die Console konfiguriert werden.<br />
231
13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT<br />
Abbildung 13.14: SSH aktivieren<br />
Auch hier mit Apply und anschließendem OK die Eingabe bestätigen. Jetzt kann mittels<br />
SSH Username: admin und Passwort: wie in Kapitel 3.3.2 auf den<br />
Access Point zugegriffen werden.<br />
13.5.4 Telnet deaktivieren<br />
Standardmäßig ist Telnet aktiviert. Aus Sicherheitsgründen wird Telnet im folgenden<br />
Schritt deaktiviert. Dies geschieht ebenfalls im Menüunterpunkt Telnet/SSH im Abschnitt<br />
Telnet.<br />
232
KAPITEL 13. ACCESS POINT<br />
13.5. KONFIGURATION – WEBINTERFACE<br />
Abbildung 13.15: Funkinterface St<strong>at</strong>us<br />
Bestätigen durch Apply und OK.<br />
13.5.5 VLANs erstellen<br />
VLANs werden im Menüunterpunkt VLAN bei SERVICES erstellt. Wir legen zuerst<br />
das N<strong>at</strong>ive VLAN an. Dazu wird bei VLAN ID: die VLAN-ID eingetragen (in unserem<br />
Fall 10). Danach kann dem VLAN bei VLAN Name (optional): eine Beschreibung<br />
gegeben werden. Das N<strong>at</strong>ive VLAN wird durch einen Hacken bei N<strong>at</strong>ive VLAN festgelegt.<br />
Jedes VLAN muss mindestens einem Funkinterface (Radio0-802.11G und oder Radio1-<br />
802.11A) zugewiesen werden.<br />
233
13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT<br />
Abbildung 13.16: N<strong>at</strong>ive VLAN erstellen<br />
Nach dem Bestätigen mit Apply wird eine Warnung angezeigt.<br />
Abbildung 13.17: VLAN Warnung<br />
Dies bedeutet, dass nun jede SSID, die erstellt wird, einem VLAN zugewiesen werden<br />
muss. Ansonsten werden diese nicht zugewiesenen SSIDs deaktiviert. Wir bestätigen<br />
durch OK.<br />
Anschließend können die restlichen VLANs erstellt werden. Hier muss lediglich die<br />
VLAN-ID, sowie das Zuweisen zu den Funkinterfaces eingestellt werden.<br />
234
KAPITEL 13. ACCESS POINT<br />
13.5. KONFIGURATION – WEBINTERFACE<br />
Abbildung 13.18: VLANs erstellen<br />
Jedes neue VLAN muss über Apply und OK bestätigt werden. Die einzelnen VLANs<br />
können später über die Current VLAN List bearbeitet werden.<br />
Abbildung 13.19: VLAN Liste<br />
13.5.6 VLAN Verschlüsselung<br />
Im nächsten Schritt wird konfiguriert, wie die einzelnen VLANs verschlüsselt werden.<br />
Dabei muss auf den Menüpunkt SECURITY und danach auf Encryption Manager<br />
geklickt werden. Hier wird bei Set Encryption Mode and Keys for VLAN: das VLAN<br />
ausgewählt. Anschließend kann festgelegt werden, wie das ausgewählte VLAN ver-<br />
235
13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT<br />
schlüsselt werden soll.<br />
Wir haben für jedes VLAN Cipher AES CCMP + TKIP gewählt.<br />
Abbildung 13.20: VLANs verschlüsseln<br />
Nach jeder Änderung muss wieder auf Apply und OK geklickt werden.<br />
13.5.7 RADIUS Server bestimmen<br />
Nun müssen noch die D<strong>at</strong>en des RADIUS Servers (IP-Adresse: 10.0.20.12) eingegeben<br />
werden. Dazu klicken wir im Menü bei SECURITY auf Server Manager. Hier muss bei<br />
Server: die IP-Adresse (10.0.20.12) des RADIUS Server angegeben werden. Bei Shared<br />
Secret: muss dasselbe Passwort wie beim RADIUS Server angegeben werden. Der<br />
Authentifizierungsport 1812 wird im Feld Authentic<strong>at</strong>ion Port (optional): eingegeben.<br />
Beim Feld Accounting Port (optional): wird der Port 1813 eingetragen.<br />
236
KAPITEL 13. ACCESS POINT<br />
13.5. KONFIGURATION – WEBINTERFACE<br />
Abbildung 13.21: RADIUS Server D<strong>at</strong>en eintragen<br />
Apply und OK darf nicht vergessen werden.<br />
13.5.8 SSID erstellen<br />
Jetzt kann eine SSID erstellt werden. Dazu klickt man im Menü auf SSID Manager.<br />
Dieser Menüunterpunkt befindet sich ebenfalls bei SECURITY.<br />
Zuerst muss im oberen Bereich SSID Properties der Name der SSID bei SSID: eingetragen<br />
werden. Danach wird die SSID über VLAN: einem VLAN zugewiesen. Wir haben<br />
hier das VLAN 50 gewählt. Die SSID muss mindestens einem Funkinterface zugewiesen<br />
werden. Wir haben bei Interface: beide Funkschnittstellen sowohl Radio0-802.11G als<br />
auch Radio1-802.11A ausgewählt.<br />
Abbildung 13.22: SSID erstellen<br />
237
13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT<br />
Danach wird etwas weiter unten Client Authentic<strong>at</strong>ion Settings die Authentifizierungsmethode<br />
eingestellt. Hier wird Open Authentic<strong>at</strong>ion: with EAP ausgewählt. Bei Server<br />
Priorities: wird der in Abschnitt 13.5.7 definierte RADIUS Server eingestellt. Wenn<br />
mehrere RADIUS Server erstellt wurden, können diese bei den einzelnen Prioritäten<br />
eingetragen werden. Dies dient als Backup, falls ein Server ausfallen sollte.<br />
Abbildung 13.23: Authentifizierungsmethode der SSID festlegen<br />
WPA2 wird im Bereich Client Authentic<strong>at</strong>ed Key Management eingestellt. Hier wird<br />
bei Key Management: Mand<strong>at</strong>ory ausgewählt. Dies bedeutet, dass WPA2 verwendet<br />
werden muss. Aktiviert wird WPA über Enable WPA und die Version durch WPAv2<br />
ausgewählt.<br />
Abbildung 13.24: Key Management WPA2<br />
238
KAPITEL 13. ACCESS POINT<br />
13.5. KONFIGURATION – WEBINTERFACE<br />
Danach muss vor dem Bereich Guest Mode/Infrastructure SSID Settings auf Apply und<br />
dann auf OK geklickt werden.<br />
SSID ausstrahlen<br />
Nun kann im Bereich Guest Mode/Infrastructure SSID Settings festgelegt werden, ob<br />
die SSID ausgestrahlt werden soll oder nicht. Wenn dies wie in unserem Fall ausgestrahlt<br />
werden soll, muss bei Set Single Guest Mode SSID: die SSID guest ausgewählt<br />
werden.<br />
Abbildung 13.25: SSID in guest mode setzen<br />
Beim Klick auf guest wird eine Warnung angezeigt.<br />
Abbildung 13.26: Key Management WPA2<br />
Da unsere guest SSID beiden Funkinterfaces zugewiesen ist, wird diese auch auf bei-<br />
239
13.5. KONFIGURATION – WEBINTERFACE KAPITEL 13. ACCESS POINT<br />
den Interfaces ausgestrahlt (sichtbar). Wir bestätigen mit OK. Durch die angezeigte<br />
Warnung wird nun durch Klick auf Apply und OK die SSID auf beiden Interfaces (A<br />
und G) als Single Guest Mode SSID gesetzt.<br />
Abbildung 13.27: Guest Mode SSID auf beiden Interfaces<br />
13.5.9 Funkinterface aktivieren<br />
Zum Schluss müssen noch beide Funkinterfaces aktiviert werden. Dazu klickt man im<br />
Menü auf NETWORK INTERFACES und dann muss jedes Funkinterface einzeln aktiviert<br />
werden. In der Abbildung 13.28 wird gezeigt, wie das Radio0-802.11G aktiviert<br />
wird. Dabei muss noch der Reiter SETTINGS ausgewählt werden.<br />
240
KAPITEL 13. ACCESS POINT<br />
13.6. RUNNING-CONFIG<br />
Abbildung 13.28: Funkinterface aktivieren<br />
Danach muss die Änderung mit Apply und OK bestätigt werden.<br />
Nach kurzer Zeit sollte das Funkinterface aktiviert sein. Dies wird durch den Current<br />
St<strong>at</strong>us (Software/Hardware): angezeigt.<br />
Abbildung 13.29: Funkinterface St<strong>at</strong>us<br />
Kurz nach dem Ändern des St<strong>at</strong>us auf Enable wird das Funkinterface als Disabled und<br />
Down angezeigt. Nach kurzer Wartezeit und anschließendem Aktualisieren des Browsers<br />
mit der F5-Taste sollte das Funkinterface aktiviert sein.<br />
Dasselbe muss für das Radio1-802.11A gemacht werden.<br />
13.6 running-config<br />
Hier sehen wir die aktuelle Konfigur<strong>at</strong>ion des Access Points welche über das Command<br />
Line Interface mit Hilfe des Befehls show running-config angezeigt werden kann.<br />
241
13.6. RUNNING-CONFIG KAPITEL 13. ACCESS POINT<br />
!<br />
version 12.4<br />
no service pad<br />
service timestamps debug d<strong>at</strong>etime msec<br />
service timestamps log d<strong>at</strong>etime msec<br />
service password-encryption<br />
!<br />
hostname AP1<br />
!<br />
enable secret 5 $1$.Zno$.xPILuQWzEgeTfiA4rXay1<br />
!<br />
aaa new-model<br />
!<br />
!<br />
aaa group server radius rad_eap1<br />
server 10.0.20.12 auth-port 1812 acct-port 1813<br />
!<br />
aaa authentic<strong>at</strong>ion login eap_methods1 group rad_eap1<br />
!<br />
aaa session-id common<br />
ip domain name tit.air09<br />
!<br />
!<br />
ip ssh version 2<br />
!<br />
dot11 ssid guest<br />
vlan 50<br />
authentic<strong>at</strong>ion open eap eap_methods2<br />
authentic<strong>at</strong>ion key-management wpa version 2<br />
guest-mode<br />
!<br />
power inline negoti<strong>at</strong>ion prestandard source<br />
!<br />
!<br />
username admin privilege 15 secret 5 $1$o4qm$elc67CZrkHFrMNRgKGfR0/<br />
!<br />
bridge irb<br />
!<br />
!<br />
interface Dot11Radio0<br />
no ip address<br />
242
KAPITEL 13. ACCESS POINT<br />
13.6. RUNNING-CONFIG<br />
no ip route-cache<br />
!<br />
encryption mode ciphers aes-ccm tkip<br />
!<br />
encryption vlan 10 mode ciphers aes-ccm tkip<br />
!<br />
encryption vlan 30 mode ciphers aes-ccm tkip<br />
!<br />
encryption vlan 40 mode ciphers aes-ccm tkip<br />
!<br />
encryption vlan 50 mode ciphers aes-ccm tkip<br />
!<br />
ssid guest<br />
!<br />
st<strong>at</strong>ion-role root<br />
!<br />
interface Dot11Radio0.10<br />
description n<strong>at</strong>ive<br />
encapsul<strong>at</strong>ion dot1Q 10 n<strong>at</strong>ive<br />
no ip route-cache<br />
bridge-group 1<br />
bridge-group 1 block-unknown-source<br />
no bridge-group 1 source-learning<br />
no bridge-group 1 unicast-flooding<br />
bridge-group 1 spanning-disabled<br />
!<br />
interface Dot11Radio0.30<br />
description schueler<br />
encapsul<strong>at</strong>ion dot1Q 30<br />
no ip route-cache<br />
bridge-group 30<br />
bridge-group 30 subscriber-loop-control<br />
bridge-group 30 block-unknown-source<br />
no bridge-group 30 source-learning<br />
no bridge-group 30 unicast-flooding<br />
bridge-group 30 spanning-disabled<br />
!<br />
interface Dot11Radio0.40<br />
description lehrer<br />
encapsul<strong>at</strong>ion dot1Q 40<br />
no ip route-cache<br />
bridge-group 40<br />
243
13.6. RUNNING-CONFIG KAPITEL 13. ACCESS POINT<br />
bridge-group 40 subscriber-loop-control<br />
bridge-group 40 block-unknown-source<br />
no bridge-group 40 source-learning<br />
no bridge-group 40 unicast-flooding<br />
bridge-group 40 spanning-disabled<br />
!<br />
interface Dot11Radio0.50<br />
description guest<br />
encapsul<strong>at</strong>ion dot1Q 50<br />
no ip route-cache<br />
bridge-group 50<br />
bridge-group 50 block-unknown-source<br />
no bridge-group 50 source-learning<br />
no bridge-group 50 unicast-flooding<br />
bridge-group 50 spanning-disabled<br />
!<br />
interface Dot11Radio1<br />
no ip address<br />
no ip route-cache<br />
!<br />
encryption mode ciphers aes-ccm tkip<br />
!<br />
encryption vlan 10 mode ciphers aes-ccm tkip<br />
!<br />
encryption vlan 30 mode ciphers aes-ccm tkip<br />
!<br />
encryption vlan 40 mode ciphers aes-ccm tkip<br />
!<br />
encryption vlan 50 mode ciphers aes-ccm tkip<br />
!<br />
ssid guest<br />
!<br />
no dfs band block<br />
channel dfs<br />
st<strong>at</strong>ion-role root<br />
!<br />
interface Dot11Radio1.10<br />
description n<strong>at</strong>ive<br />
encapsul<strong>at</strong>ion dot1Q 10 n<strong>at</strong>ive<br />
no ip route-cache<br />
bridge-group 1<br />
bridge-group 1 block-unknown-source<br />
244
KAPITEL 13. ACCESS POINT<br />
13.6. RUNNING-CONFIG<br />
no bridge-group 1 source-learning<br />
no bridge-group 1 unicast-flooding<br />
bridge-group 1 spanning-disabled<br />
!<br />
interface Dot11Radio1.30<br />
description schueler<br />
encapsul<strong>at</strong>ion dot1Q 30<br />
no ip route-cache<br />
bridge-group 30<br />
bridge-group 30 subscriber-loop-control<br />
bridge-group 30 block-unknown-source<br />
no bridge-group 30 source-learning<br />
no bridge-group 30 unicast-flooding<br />
bridge-group 30 spanning-disabled<br />
!<br />
interface Dot11Radio1.40<br />
description lehrer<br />
encapsul<strong>at</strong>ion dot1Q 40<br />
no ip route-cache<br />
bridge-group 40<br />
bridge-group 40 subscriber-loop-control<br />
bridge-group 40 block-unknown-source<br />
no bridge-group 40 source-learning<br />
no bridge-group 40 unicast-flooding<br />
bridge-group 40 spanning-disabled<br />
!<br />
interface Dot11Radio1.50<br />
description guest<br />
encapsul<strong>at</strong>ion dot1Q 50<br />
no ip route-cache<br />
bridge-group 50<br />
bridge-group 50 block-unknown-source<br />
no bridge-group 50 source-learning<br />
no bridge-group 50 unicast-flooding<br />
bridge-group 50 spanning-disabled<br />
!<br />
interface FastEthernet0<br />
no ip address<br />
no ip route-cache<br />
duplex auto<br />
speed aut<br />
!<br />
245
13.6. RUNNING-CONFIG KAPITEL 13. ACCESS POINT<br />
interface FastEthernet0.10<br />
description n<strong>at</strong>ive<br />
encapsul<strong>at</strong>ion dot1Q 10 n<strong>at</strong>ive<br />
no ip route-cache<br />
bridge-group 1<br />
no bridge-group 1 source-learning<br />
bridge-group 1 spanning-disabled<br />
!<br />
interface FastEthernet0.30<br />
description schueler<br />
encapsul<strong>at</strong>ion dot1Q 30<br />
no ip route-cache<br />
bridge-group 30<br />
no bridge-group 30 source-learning<br />
bridge-group 30 spanning-disabled<br />
!<br />
interface FastEthernet0.40<br />
description lehrer<br />
encapsul<strong>at</strong>ion dot1Q 40<br />
no ip route-cache<br />
bridge-group 40<br />
no bridge-group 40 source-learning<br />
bridge-group 40 spanning-disabled<br />
!<br />
interface FastEthernet0.50<br />
description guest<br />
encapsul<strong>at</strong>ion dot1Q 50<br />
no ip route-cache<br />
bridge-group 50<br />
no bridge-group 50 source-learning<br />
bridge-group 50 spanning-disabled<br />
!<br />
interface BVI1<br />
ip address dhcp client-id FastEthernet0<br />
no ip route-cache<br />
!<br />
ip http server<br />
no ip http secure-server<br />
ip http help-p<strong>at</strong>h http://www.cisco.com/warp/public/779/smbiz/prodconfig/<br />
help/eag<br />
ip radius source-interface BVI1<br />
radius-server <strong>at</strong>tribute 32 include-in-access-req form<strong>at</strong> %h<br />
246
KAPITEL 13. ACCESS POINT<br />
13.6. RUNNING-CONFIG<br />
radius-server host 10.0.20.12 auth-port 1812 acct-port 1813 key 7<br />
130446005B5549382A20212626<br />
access-list 111 permit tcp any any neq telnet<br />
bridge 1 route ip<br />
!<br />
!<br />
!<br />
line con 0<br />
access-class 111 in<br />
line vty 0 4<br />
access-class 111 in<br />
login local<br />
line vty 5 15<br />
access-class 111 in<br />
login<br />
!<br />
end<br />
247
13.6. RUNNING-CONFIG KAPITEL 13. ACCESS POINT<br />
248
Teil VII<br />
Qualitätssicherung<br />
249
14 Wochenmails<br />
14.1 Beispiel<br />
Wochenmail der KW13 von <strong>Felix</strong> <strong>Tiefenthaler</strong> an Prof. Roland Sandholzer<br />
Arbeiten in der KW13<br />
• Install<strong>at</strong>ion eines Debian 5.0 Servers<br />
• Konfigur<strong>at</strong>ion von Samba, Kerberos, Winbind, Freeradius<br />
Probleme in der KW13<br />
Momentaner Stand<br />
• Der Zugriff von Debian auf das AD scheint zu funktionieren. Es ist möglich, sich<br />
auf dem Debian Server lokal mit einem Benutzernamen des AD zu authentifizieren<br />
(über winbind).<br />
• Es gibt jedoch noch Probleme, den Debian Server bzw. den Samba Server an das<br />
AD als Memberserver () zu binden.<br />
• Es ist möglich sich vom AP aus mit einem lokalen Benutzernamen des Debian<br />
Servers zu authentifizieren.<br />
• Eine Authentifizierung auf dem AP mit einem Benutzernamen aus dem AD funktioniert<br />
nicht (rejected).<br />
• Samba, Kerberos, Winbind und Freeradius sind grundsätzlich installiert und konfiguriert.<br />
• Weitere Konfigur<strong>at</strong>ionen und Funktionstests laufen.<br />
Geplante Arbeiten in der KW14<br />
• weitere Konfigur<strong>at</strong>ions- und Testarbeiten<br />
251
14.1. BEISPIEL KAPITEL 14. WOCHENMAILS<br />
252
15 Besprechungsprotokolle<br />
Im Laufe der Diplomarbeit standen immer wieder Besprechungen mit unserem Projektbetreuer<br />
bzw. mit Nextira One an, um die weitere Vorgehensweise planen zu können.<br />
Diese Besprechungen h<strong>at</strong>ten für uns den Vorteil, dass wir zum einen ungefähren Anhaltspunkt<br />
zum aktuellen Projektstand h<strong>at</strong>ten. Alle besprochenen Themen wurden dabei<br />
in einem Besprechungsprotokoll festgehalten. Dadurch konnten wir später leichter<br />
feststellen, welche Entscheidungen wann getroffen wurden.<br />
15.1 Beispiel<br />
Besprechungsprotokoll vom 11. November 2008<br />
Anwesend<br />
• <strong>Gopp</strong> <strong>M<strong>at</strong>hias</strong><br />
• <strong>Pucher</strong> <strong>Franz</strong><br />
• <strong>Tiefenthaler</strong> <strong>Felix</strong><br />
Experimenteller Aufgabenplan<br />
• Testgerät von Nextira One in Betrieb nehmen<br />
• Tests mit eingeschränktem Benutzerfeld<br />
• Ausweitung der Tests auf die gesamte Klasse<br />
• Inbetriebnahme eines Microsoft Windows Servers<br />
• Integr<strong>at</strong>ion des Windows Servers in das WLAN-Netzwerk<br />
Konzeptioneller Aufgabenplan<br />
• Protokoll-Ebene<br />
253
15.1. BEISPIEL KAPITEL 15. BESPRECHUNGSPROTOKOLLE<br />
• CSMA/CA<br />
• Standards: 802.11a/b/g/n<br />
• Wie funktioniert eine Übertragung<br />
• Richtige Performancetests → Autom<strong>at</strong>isierung<br />
• Elektromagnetische Strahlung/Auswirkungen, Gesundheitliche Aspekte<br />
Dokument<strong>at</strong>ion<br />
• Beginn der Diplomdokument<strong>at</strong>ion<br />
• Struktur/Inhaltsverzeichnis<br />
• Beginn einzelner Teile<br />
Zeitplanung<br />
• Must have/should have/nice to have<br />
• Grobe Abschätzung (Zeitaufwand)<br />
• Aufteilung der Arbeiten<br />
• Grober Zeitplan<br />
254
16 Subversion<br />
16.1 Einführung<br />
Subversion (SVN) ist eine Open-Source-Software zur Versionsverwaltung von D<strong>at</strong>eien<br />
und Verzeichnissen. Damit ist es möglich, eine Versionsverwaltung in Form eines<br />
zentralen Projektarchiv (engl. repository) mit einer einfachen Revisionszählung zu realisieren.<br />
Ein weiterer großer Vorteil liegt in der gesteigerten Produktivität, die durch<br />
SVN erlangt wird. In unserem Fall war es durch den Eins<strong>at</strong>z von SVN und L A TEX möglich,<br />
zur selben Zeit an der Dokument<strong>at</strong>ion arbeiten zu können. Nach abgeschlossener<br />
Arbeit wurden die getätigten Änderungen einfach mit dem SVN-Server synchronisiert,<br />
wodurch alle Projektmitglieder wieder auf dem selben Stand waren. [28]<br />
16.2 Verwendung<br />
In unserer Diplomarbeit wurde SVN für jene Inhalte verwendet, die für alle Projektmitglieder<br />
von Bedeutung waren (z.B. Dokument<strong>at</strong>ion, Pflichtenheft, Präsent<strong>at</strong>ion, . . . ).<br />
Da unsere Dokument<strong>at</strong>ion mit L A TEX geschrieben wurde ergab sich duch SVN ein sehr<br />
großer Vorteil: Die Dokument<strong>at</strong>ion setzt sich aus mehreren TEX-D<strong>at</strong>eien zusammen.<br />
Diese werden in einer Wurzeld<strong>at</strong>ei zusammengefasst. Dadurch kann jedes Projektmitglied<br />
an seiner eigenen TEX-D<strong>at</strong>ei arbeiten, ohne den anderen dadurch in die Quere<br />
zu kommen. Gibt es jedoch trotzdem einen Konflikt zwischen zwei Revisionen, meldet<br />
SVN dies und der Konflikt kann manuell beseitigt werden. Der SVN-Server konnte<br />
unter der Adresse http://fhost1.no-ip.info/air09 erreicht werden.<br />
Mit SVN ist es auch sehr leicht möglich, ein Sicherung der D<strong>at</strong>en durchführen zu<br />
können. Es gibt fertige Befehle, die es erlauben, einen sogenannten Dump zu erstellen.<br />
Diese Sicherungen wurden auf unserem SVN-Server, der unter http://fhost1.<br />
no-ip.info/backup erreicht werden kann, gespeichert. Diese Sicherungen wurden täglich<br />
erstellt. Gleichzeitig wurden die Sicherungen täglich auf einen zweiten Server<br />
(http://fhost2.no-ip.info/backup) gesichert.<br />
255
16.3. SOFTWARE KAPITEL 16. SUBVERSION<br />
Für den SVN-Server verwendeten wir einen vServer des Beta-Programms der Firma<br />
EU-Serv mit Debian 5.0. Der SVN-Server wurde anhand einer Anleitung auf ubuntuusers.de<br />
installiert. [20]<br />
16.3 Software<br />
Wir verwendeten als SVN-Server das kostenlos verfügbare Programm Subversion. Es<br />
kann aus den Paketquellen von Debian/Ubuntu bezogen werden. Als SVN-Client verwendeten<br />
wir hauptsächlich das Programm SVN Workbench, welches für Ubuntu Linux<br />
frei verfügbar ist. Teilweise wurde auch TortoiseSVN für Windows als SVN-Client verwendet.<br />
Dieses Programm ist ebenfalls kostenlos verfügbar.<br />
256
17 Wiki<br />
17.1 Einführung<br />
Zur Dokument<strong>at</strong>ion unseres Projektes wurde während des Jahres hauptsächlich ein<br />
Wiki verwendet. Dabei diente das Wiki zum D<strong>at</strong>enaustausch zwischen den einzelnen<br />
Projektmitgliedern. Diese Entscheidung wurde deshalb getroffen, weil ein solches<br />
System den Vorteil h<strong>at</strong>, dass die D<strong>at</strong>en quasi von überall aus verfügbar sind<br />
und ein Wiki gleichzeitig pl<strong>at</strong>tformunabhängig ist. Größtenteils wurde das Wiki zur<br />
Verwaltung der wöchentlichen E-Mails, zur Aufzeichnung der Stundenübersicht und<br />
zur allgemeinen Verwaltung von wichtigen Dokumenten verwendet. Das Wiki wurde<br />
auf einem Linux-Server installiert, der durchgehend in Betrieb ist. Unter der Adresse<br />
http://wiki.air09.net kann auf das Wiki zugegriffen werden. [29]<br />
17.2 Software<br />
Das Wiki wurde auf der Pl<strong>at</strong>tform Mediawiki betrieben. [30]<br />
257
17.2. SOFTWARE KAPITEL 17. WIKI<br />
258
18 Stundenaufzeichnung<br />
259
18.1. MATHIAS GOPP KAPITEL 18. STUNDENAUFZEICHNUNG<br />
18.1 <strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong><br />
Art der Arbeit Zeit in der Schule [h] Zeit zu Hause [h] Summe [h]<br />
Dokument<strong>at</strong>ion 10 51 61<br />
Konfigur<strong>at</strong>ion 87 48 135<br />
Organis<strong>at</strong>orisches 8 12 20<br />
Recherche 11 41 52<br />
Testen 32 27 59<br />
148 179 327<br />
Abbildung 18.1: Stundenaufteilung <strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong><br />
Abbildung 18.2: Gesamtaufwand <strong>M<strong>at</strong>hias</strong> <strong>Gopp</strong><br />
260
KAPITEL 18. STUNDENAUFZEICHNUNG<br />
18.2. FRANZ PUCHER<br />
18.2 <strong>Franz</strong> <strong>Pucher</strong><br />
Art der Arbeit Zeit in der Schule [h] Zeit zu Hause [h] Summe [h]<br />
Dokument<strong>at</strong>ion 24 53 77<br />
Konfigur<strong>at</strong>ion 60 62 122<br />
Organis<strong>at</strong>orisches 23 11 34<br />
Recherche 24 32 56<br />
Testen 17 26 43<br />
148 184 332<br />
Abbildung 18.3: Stundenaufteilung <strong>Franz</strong> <strong>Pucher</strong><br />
Abbildung 18.4: Gesamtaufwand <strong>Franz</strong> <strong>Pucher</strong><br />
261
18.3. FELIX TIEFENTHALER KAPITEL 18. STUNDENAUFZEICHNUNG<br />
18.3 <strong>Felix</strong> <strong>Tiefenthaler</strong><br />
Art der Arbeit Zeit in der Schule [h] Zeit zu Hause [h] Summe [h]<br />
Dokument<strong>at</strong>ion 25 61 86<br />
Konfigur<strong>at</strong>ion 59 73 132<br />
Organis<strong>at</strong>orisches 23 14 37<br />
Recherche 24 31 55<br />
Testen 17 34 51<br />
148 213 361<br />
Abbildung 18.5: Stundenaufteilung <strong>Felix</strong> <strong>Tiefenthaler</strong><br />
Abbildung 18.6: Gesamtaufwand <strong>Felix</strong> <strong>Tiefenthaler</strong><br />
262
19 Zeitplan<br />
263
KAPITEL 19. ZEITPLAN<br />
Abbildung 19.1: Zeitplan<br />
264
KAPITEL 19. ZEITPLAN<br />
Abbildung 19.2: Balkendiagramm<br />
265
266<br />
KAPITEL 19. ZEITPLAN
20 Danksagung<br />
Wir möchten uns ganz herzlich bei den folgenden Personen für ihre große Hilfe bei der<br />
Erstellung dieser Diplomarbeit und der beschaffung der benötigten Hardware bedanken.<br />
Ohne ihre Hilfe wäre es nicht möglich gewesen, ein solches Projekt zu realisieren.<br />
Unseren Familien und Freunden<br />
Unserem Projektbetreuer Prof. Dipl.Ing. Dr. Roland Sandholzer<br />
Der Firma Nextira One für die Bereitstellung der Access Points<br />
Der Firma Pantec AG für die Bereitstellung der Server-Hardware<br />
Herrn Christoph Fink für die Bereitstellung des Servers für unser Doku-Wiki<br />
267
268
Liter<strong>at</strong>urverzeichnis<br />
[1] Wikipedia: RADIUS http: // de. wikipedia. org/ wiki/ RADIUS<br />
[2] Cisco: Understanding and Configuring VLAN Routing and Bridging on a Router<br />
Using the IRB Fe<strong>at</strong>ure http: // www. cisco. com/ en/ US/ tech/ tk389/ tk815/<br />
technologies_ tech_ note09186a0080094663. shtml<br />
[3] Cisco IOS Software Configur<strong>at</strong>ion Guide for Cisco Aironet Access Points,<br />
12.4(3g)JA & 12.3(8)JEB<br />
http: // cisco. com/ en/ US/ docs/ wireless/ access_ point/ 12. 4_ 3g_ JA/<br />
configur<strong>at</strong>ion/ guide/ ios1243gjaconfigguide. html<br />
[4] FIPS 140-2 http: // csrc. nist. gov/ cryptval/<br />
[5] Wikipedia: WPA2 http: // de. wikipedia. org/ wiki/ WPA2<br />
[6] Wikpedia: AES<br />
http: // de. wikipedia. org/ wiki/ Advanced_ Encryption_ Standard<br />
[7] Wikipedia: IEEE 802.1X http: // de. wikipedia. org/ wiki/ IEEE_ 802. 1X<br />
[8] Uni-Regensburg: IEEE 802.1X<br />
http: // www-wlan. uni-regensburg. de/ 8021x. html<br />
[9] Microsoft: IEEE 802.1X http: // www. microsoft. com/ germany/ technet/<br />
d<strong>at</strong>enbank/ articles/ 900933. mspx<br />
[10] Wikipedia: Virtualisierung<br />
http: // de. wikipedia. org/ wiki/ Virtualisierung_ ( Inform<strong>at</strong>ik)<br />
[11] Wikipedia: Telnet http: // de. wikipedia. org/ wiki/ Telnet<br />
[12] Wikipedia: SSH http: // de. wikipedia. org/ wiki/ Ssh<br />
[13] Wikipedia: RSA-Kryptosystem<br />
http: // de. wikipedia. org/ wiki/ RSA-Kryptosystem<br />
[14] Erklärung eines DHCP-Anfrage<br />
http: // www. planet-rcs. de/ article/ dhcp_ howto/<br />
[15] Wikipedia: Microsoft Active Directory<br />
http: // de. wikipedia. org/ wiki/ Active_ Directory<br />
269
Liter<strong>at</strong>urverzeichnis<br />
Liter<strong>at</strong>urverzeichnis<br />
[16] Wikipedia: LDAP http:<br />
// de. wikipedia. org/ wiki/ Lightweight_ Directory_ Access_ Protocol<br />
[17] Wikipedia: WINS http: // de. wikipedia. org/ wiki/ Wins<br />
[18] Wikipedia: DNS http: // de. wikipedia. org/ wiki/ Domain_ Name_ System<br />
[19] IEEE Standard for Inform<strong>at</strong>ion technology<br />
http: // standards. ieee. org/ getieee802/ download/ 802. 11-2007. pdf<br />
[20] ubuntuusers.de/Wiki: Subversion http: // wiki. ubuntuusers. de/ subversion<br />
[21] ubuntuusers.de Wiki http: // wiki. ubuntuusers. de<br />
[22] ubuntuusers.de Forum http: // forum. ubuntuusers. de<br />
[23] howtoforge.com: Aufsetzen eines FreeRADIUS Servers<br />
http://www.howtoforge.com/setting-up-a-freeradius-based-aaaserver-with-mysql-and-management-with-daloradius<br />
[24] freeradius.org/Wiki: FreeRADIUS mit Active Directory Integr<strong>at</strong>ion<br />
http: // wiki. freeradius. org/ FreeRADIUS_ Active_ Directory_<br />
Integr<strong>at</strong>ion_ HOWTO<br />
[25] debian-administr<strong>at</strong>ion.org: Certific<strong>at</strong>e Authority und Zertifik<strong>at</strong>e erstellen<br />
http: // www. debian-administr<strong>at</strong>ion. org/ articles/ 284<br />
[26] Cisco: Eigenschaften des Cisco Aironet 1242AG<br />
http: // www. cisco. com/ en/ US/ prod/ coll<strong>at</strong>eral/ wireless/ ps5678/<br />
ps6521/ product_ d<strong>at</strong>a_ sheet0900aecd8031c844. html<br />
[27] Lüders Christian: Lokale Funknetze, Vogel Buchverlag Würzburg<br />
[28] Wikipedia: SVN http: // de. wikipedia. org/ wiki/ Subversion_ ( Software)<br />
[29] Wikipedia: Wiki http: // de. wikipedia. org/ wiki/ Wiki<br />
[30] Wikimedia: Wiki http: // www. mediawiki. org/ wiki/ MediaWiki<br />
[31] Sourceforge: Tera Term<br />
http: // ttssh2. sourceforge. jp/ manual/ en/ commandline/ ter<strong>at</strong>erm. html<br />
[32] Tera Term 6.40:<br />
http: // sourceforge. jp/ projects/ ttssh2/ releases/ fulllist= 1&_ sl= 1<br />
[33] Hardwareangaben: http:<br />
// www4. dealtime. com/ xPF-Dell-DELL-POWEREDGE-4400-DUAL-1-0GHZ<br />
270
Glossar<br />
Forward-Lookup-Zone<br />
Umsetzung von Domänennamen in IP-Adressen<br />
FreeRADIUS<br />
Open Source Authentifizierungsserver<br />
IEEE 802.11a<br />
Der 802.11a Standard h<strong>at</strong> eine Übertragungsgeschwindigkeit von 6-54Mbits. Dieser<br />
Standard sendet im 5GHz Bereich und basiert auf einer OFDM-Modul<strong>at</strong>ion.<br />
IEEE 802.11b<br />
Der 802.11b Standard h<strong>at</strong> eine Übertragungsgeschwindigkeit von 5,5-11Mbits.<br />
Dieser Standard sendet im 2,4GHz Bereich in 3 sich nicht überlagernden Kanälen.<br />
IEEE 802.11g<br />
Der 802.11g Standard h<strong>at</strong> eine Übertragungsgeschwindigkeit von 6-54Mbits. Dieser<br />
Standard sendet im 2,4GHz Bereich. Hier können Störungen durch Geräte<br />
auftreten, die im selben Frequenzbereich senden, wie z.B. Bluetooth-Geräte und<br />
Mikrowellenherde.<br />
IEEE 802.11n<br />
802.11n derzeit nur als Entwurf vorliegend, soll zur D<strong>at</strong>enübertragung die Technik<br />
Multiple Input Multiple Output (MIMO) nutzen. Dadurch sollen von bestehenden<br />
WLAN-Techniken erreichte D<strong>at</strong>enr<strong>at</strong>en über größere Distanzen erreicht<br />
werden oder aber auf gleicher Distanz eine höhere D<strong>at</strong>enr<strong>at</strong>e als bisher ermöglicht<br />
werden. 802.11n kann sowohl im 2,4-GHz-Frequenzbereich, als auch im 5-GHz-<br />
Frequenzbereich arbeiten. Der Komp<strong>at</strong>ibilitätsmodus ermöglicht eine Koexistenz<br />
von 802.11n- und bestehenden 802.11a/b/g-Netzen<br />
IEEE 802.1X<br />
LaTeX<br />
Standard zur Authentisierung in Rechnernetzwerken<br />
LaTeX ist ein Softwarepaket, das die Benutzung des Texts<strong>at</strong>zprogramms TeX mit<br />
Hilfe von Makros vereinfacht<br />
271
Glossar<br />
Glossar<br />
Microsoft Active Directory<br />
Verzeichnisdienst der Firma Microsoft<br />
Microsoft IAS Server<br />
Proprietärer Authentifizierungsserver der Firma Microsoft<br />
OSI-Modell<br />
Als OSI-Modell wird ein Schichtenmodell der Intern<strong>at</strong>ionalen Standardisierungsorganis<strong>at</strong>ion<br />
(ISO) bezeichnet. Es wurde als Designgrundlage von Kommunik<strong>at</strong>ionsprotokollen<br />
entwickelt<br />
Reverse-Lookup-Zone<br />
RSA<br />
Snapshot<br />
Telnet<br />
Wiki<br />
Umsetzung von IP-Adressen in Domänennamen<br />
Ronald L. Rivest, Adi Shamir und Leonard Adleman<br />
Momentanabbild einer Virtuellen Maschine<br />
Bidirektionale Verbindung zu meist internetfähigen Geräten<br />
Wiki ist eine Enzyklopädie, die wir für den Austausch von Inform<strong>at</strong>ionen für<br />
unser Projekt verwendet haben.<br />
272
Abkürzungsverzeichnis<br />
Active Directory (AD)<br />
Verzeichnisdienst<br />
Advanced Encryption Standard (AES)<br />
Symmetrisches Kryptosystem<br />
American N<strong>at</strong>ional Standards Institute (ANSI)<br />
US-amerikanische Stelle zur Normung industrieller Verfahrensweisen<br />
Dynamic Host Configur<strong>at</strong>ion Protocol (DHCP)<br />
Dynamische IP-Adress-Vergabe<br />
Domain Name System (DNS)<br />
Dient zur Namensauflösung in Netzwerken<br />
Extensible Authentic<strong>at</strong>ion Protocol (EAP)<br />
Protokoll für die Authentifizierung<br />
European Telecommunic<strong>at</strong>ions Standards Institute (ETSI)<br />
Europäische Institut für Telekommunik<strong>at</strong>ionsnormen ist eine der drei großen Normungsorganis<strong>at</strong>ionen<br />
in Europa<br />
Internet Authentic<strong>at</strong>ion Server (IAS)<br />
Authentifizierungsserver<br />
Institute of Electrical and Electronics Engineers (IEEE)<br />
IEEE ist ein weltweiter Berufsverband von Ingenieuren aus den Bereichen Elektrotechnik<br />
und Inform<strong>at</strong>ik<br />
Intern<strong>at</strong>ionale Fernmelde Union (ITU)<br />
Die einzige Organis<strong>at</strong>ion die sich offiziell und weltweit mit technischen Aspekten<br />
der Telekommunik<strong>at</strong>ion beschäftigt<br />
273
Abkürzungsverzeichnis<br />
Abkürzungsverzeichnis<br />
Lightweight Directory Access Protocol (LDAP)<br />
Dient zur Abfrage von Inform<strong>at</strong>ionen aus einem Verzeichnis<br />
Network Time Protocol (NTP)<br />
Dient zur Synchronisierung der Uhrzeit in Computersystemen.<br />
Remote Authentic<strong>at</strong>ion Dial-In User Service (RADIUS)<br />
Authentifizierungsdienst für sich einwählende Benutzer<br />
Secure Shell (SSH)<br />
Verschlüsselte Verbindung zu entfernten Geräten<br />
Service Set Identifier (SSID)<br />
Kennung eines Funknetzwerkes<br />
Subversion (SVN)<br />
Subversion ist eine Open-Source-Software zur Versionsverwaltung von D<strong>at</strong>eien<br />
und Verzeichnissen<br />
Telecommunic<strong>at</strong>ion Network (Telnet)<br />
Netzwerkprotokoll zur verwaltung von Geräten über die Kommandozeile<br />
Voice over IP (VoIP)<br />
IP-Telefonie (eine Kurzform für die Internet-Protokoll-Telefonie) auch Internet-<br />
Telefonie. Darunter versteht man das Telefonieren über Computernetzwerke welche<br />
nach Internet-Standards aufgebaut sind.<br />
Wired Equivalent Privacy (WEP)<br />
Ehemaliger Sicherheitsstandard für Funknetzwerke<br />
Windows Internet Naming Service (WINS)<br />
Dient zur Namensauflösung in Netzwerken (ähnlich wie DNS)<br />
Wireless Local Area Network (WLAN)<br />
Kabelloses Funknetzwerk<br />
Wi-Fi Protected Access 2 (WPA2)<br />
Sicherheitsstandard für Funknetzwerke<br />
274