Montag, 7. Mai 2018

OpenVPN für IOS Remotezugriff auf Home-Verzeichnisse

Um auf die Homeshares aus dem Internet zugreifen zu können brauchen Sie einen funktionierenden OpenVPN Zugang. Die Anleitung dazu findet sich im Administratoren Handbuch in Kapitel 20. 

Wenn der Zugang funktioniert haben Sie bereits die zwei Dateien client.ovpn und ucs-root-ca.crt. Die erste Datei enthält die Adresse der Schule und die Konfiguration der Client Einstellungen, die zweite Datei ist das Stammzertifikat zur Authentifizierung des Servers.

OpenVPN Connect Vorbereitungen 

Um einen Zugriff für iOS Geräte herzustellen laden Sie bitte die kostenfreie App OpenVPN Connect herunter. Wenn Sie die client.ovpn und ucs-root-ca.crt über iTunes in den Ordner der App laden kann die Verbindung ohne weitere Arbeiten hergestellt werden.
Die App bietet auch die Möglichkeit die ovpn Datei über andere Quellen wie AirDrop oder eMail einzulesen, jedoch funktioniert dies nicht mit der Zertifikatsdatei.

Um über "einfachem" Wege die Zertifikatsdatei ebenfalls übertragen zu können kann das Zertifikat in die opvn Datei eingearbeitet werden. Die Anleitung dazu findet sich auch in der Hilfe der  OpenVPN Connect App.

Öffnen Sie die client.ovpn und ucs-root-ca.crt mit einem Texteditor.
Dort entfernt man die Zeile "ca ucs-root-ca.crt". Kopieren Sie den Inhalt der ucs-root-ca.crt und fügen Sie diesen am Ende der Datei client.ovpn ziwschen einem "ca" html Tag ein.

          client
          remote 123.4.56.78
          ca ucs-root-ca.crt <-- entfernen
          auth-user-pass
          cipher AES-128-CBC
          comp-lzo yes
          dev tun
          auth-nocache
          <ca>
          -----BEGIN CERTIFICATE-----
          223hE9DISTtt4Btvhp3ubjyApfbcvA3AhA4CsFZ5h3WX2XQgliUOcYBjr2ZyX6OS2
          bzpcT7iZ30WAZk6OBbaGtGbvyZNsvEQWWN2hgyeC9pbjYYoBL5UVIhzAn7pslN8
          xhpaPDCSvpDWpMTb5a6Kt4tGwvIidEJRWgOUagyaSoT2TeMsjg5ltnIF021VcPUUa
          2XkQVWjgJxBvneQ4V0ec2vLvhnb1DbdEtR93bfdbewkOuHHbNK85geSHsrKv8DSL
          P6J71bl00vqSTDOTnAji2RaE5aL5fkVe6dWrrzKnO8UGjThf09BXQTK4Uu2cpFz01S
          ----END CERTIFICATE----
          </ca>

Speichern Sie die Datei z.B. unter dem Namen ios.ovpn ab. Die Datei kann nun auf beliebigem Weg in die OpenVPN App übertragen und eingelesen werden und eine Verbindung hergestellt werden.

Schülerinnen und Schüler für OpenVPN Verbindung freischalten

Ein Lehrer kann sich mit diesen Einstellungen direkt Verbinden, Accounts von Schülerinnen und Schülern werden jedoch abgelehnt. Dazu muss dies in der Firewall eingestellt werden. 
Dazu auf der Firewall (10.1.0.11) per Browser anmelden. 
(Ich bitte um Entschuldigung dass meine Firewall auf deutsch umgestellt ist, ich gehe jedoch davon aus, dass sich die Schritte auch auf der englischen Variante gut übertragen lassen.)

Klicken Sie auf System --> Benutzerverwaltung --> Authentifizierungsserver

Klicken Sie auf  "+Hinzufügen". 
Tragen Sie jeweils ein (siehe auch: Bild unten):

  • Beschreibender Name: schuelerUndLehrer.paedml-linux.lokal
  • Hostnamen: server.paedml-linux.lokal
  • Transport: SSL - Encrypted
  • (Dadurch ändert sich der Port auf 636)
  • Suchumfang: Gesamte Unterstruktur
  • Base DN: DC=paedml-linux,DC=lokal
  • Authentifizierungscontainer: CN=users,OU=schule,DC=paedml-linux,DC=lokal
  • Klicken Sie auf Anonym binden um dies zu deaktivieren.
  • Bindungsanmeldedaten:
    • User DN: CN=ldapsuche,CN=Users,DC=paedml-linux,DC=lokal
    • Passwort: 
      • Das Passwort finden Sie auf dem Server in /etc/ldapsuche.secret
  • Benutzer-Namensattribut: samAccountName
  • Gruppen-Mitgliedsattribut: MemberOf
(Die Datei ist bis auf den Authentifizierungscontainer und dem Suchumfang identisch mit den Einstellungen aus "lehrer_server.paedml-linux.lokal".)

Klicken Sie nun auf Speichern.


Nun muss OpenVPN noch diese Benutzereinstellungen mitgeteilt bekommen. Klicken Sie auf
VPN --> OpenVPN. Wählen Sie bei "OpenVPN INTERNET (tun)" die Aktion "Server bearbeiten".
Wählen Sie bei "Backend für die Authentifizierung" den gerade erstellten Server "schuelerUndLehrer.paedml-linux.lokal" an und klicken Sie ganz unten auf Speichern.

Nun werden sowohl Schüler und Lehrer bei einer OpenVPN Verbindung authentifiziert.
Eingestellt von um Keine Kommentare:

IOS Zugriff auf Home-Verzeichnisse

Meine Schule hat mittlerweile zwei iPad Klassen mit 1:1 zuordnung. Die SuS brauchen den Zugriff auf Ihre Heimatverzeichnisse, auch von Zuhause. Um dies umzusetzen haben wir unsere OpenVPN Verbindung und die App FileExplorer eingesetzt.
Das Einrichten von OpenVPN für den iPad-Einsatz wird in einem zweiten Artikel beschrieben.

Einrichten von FileExplorer zur Verbindung der Home-Laufwerke

Zum Einsatz kommt die kostenfreie Variante von FileExplorer. Diese erlaubt die Verbindung zu EINEM Share (z.B. Schüler Home).  Hier eine kurze Anleitung zur Einrichtung. Voraussetzung: die Geräte müssen in einem WLAN mit Zugriff auf den Server (10.1.0.1) liegen. 
  •  App öffnen
  •  Oben links auf das "+" klicken
  •  Windows auswählen 
    • Anzeigename wählen, z.B. "Home" 
    • Host oder IP-Adresse 10.1.0.1 
    • Path Schüler- oder Lehrer-Login im paed Netz, z.B. max.muster 
    • Zugangsdaten: Schülerlogin und Schülerpw
  • Anschließend rechts oben Speichern
Nun kann in der App auf "Home" bzw. den Anzeigenamen geklickt werden um den Inhalt des Homeverzeichnisses zu sehen. 


Eingestellt von um Keine Kommentare:
Abonnieren Posts (Atom)