Um auf die Homeshares aus dem Internet zugreifen zu können brauchen Sie einen funktionierenden OpenVPN Zugang. Die Anleitung dazu findet sich im Administratoren Handbuch in Kapitel 20.
Wenn der Zugang funktioniert haben Sie bereits die zwei Dateien client.ovpn und ucs-root-ca.crt. Die erste Datei enthält die Adresse der Schule und die Konfiguration der Client Einstellungen, die zweite Datei ist das Stammzertifikat zur Authentifizierung des Servers.
OpenVPN Connect Vorbereitungen
Um einen Zugriff für iOS Geräte herzustellen laden Sie bitte die kostenfreie App OpenVPN Connect herunter. Wenn Sie die client.ovpn und ucs-root-ca.crt über iTunes in den Ordner der App laden kann die Verbindung ohne weitere Arbeiten hergestellt werden.Die App bietet auch die Möglichkeit die ovpn Datei über andere Quellen wie AirDrop oder eMail einzulesen, jedoch funktioniert dies nicht mit der Zertifikatsdatei.
Um über "einfachem" Wege die Zertifikatsdatei ebenfalls übertragen zu können kann das Zertifikat in die opvn Datei eingearbeitet werden. Die Anleitung dazu findet sich auch in der Hilfe der OpenVPN Connect App.
Öffnen Sie die client.ovpn und ucs-root-ca.crt mit einem Texteditor.
Dort entfernt man die Zeile "ca ucs-root-ca.crt". Kopieren Sie den Inhalt der ucs-root-ca.crt und fügen Sie diesen am Ende der Datei client.ovpn ziwschen einem "ca" html Tag ein.
client
remote 123.4.56.78
ca ucs-root-ca.crt <-- entfernen
auth-user-pass
cipher AES-128-CBC
comp-lzo yes
dev tun
auth-nocache
<ca>
-----BEGIN CERTIFICATE-----
223hE9DISTtt4Btvhp3ubjyApfbcvA3AhA4CsFZ5h3WX2XQgliUOcYBjr2ZyX6OS2
bzpcT7iZ30WAZk6OBbaGtGbvyZNsvEQWWN2hgyeC9pbjYYoBL5UVIhzAn7pslN8
xhpaPDCSvpDWpMTb5a6Kt4tGwvIidEJRWgOUagyaSoT2TeMsjg5ltnIF021VcPUUa
2XkQVWjgJxBvneQ4V0ec2vLvhnb1DbdEtR93bfdbewkOuHHbNK85geSHsrKv8DSL
P6J71bl00vqSTDOTnAji2RaE5aL5fkVe6dWrrzKnO8UGjThf09BXQTK4Uu2cpFz01S
----END CERTIFICATE----
223hE9DISTtt4Btvhp3ubjyApfbcvA3AhA4CsFZ5h3WX2XQgliUOcYBjr2ZyX6OS2
bzpcT7iZ30WAZk6OBbaGtGbvyZNsvEQWWN2hgyeC9pbjYYoBL5UVIhzAn7pslN8
xhpaPDCSvpDWpMTb5a6Kt4tGwvIidEJRWgOUagyaSoT2TeMsjg5ltnIF021VcPUUa
2XkQVWjgJxBvneQ4V0ec2vLvhnb1DbdEtR93bfdbewkOuHHbNK85geSHsrKv8DSL
P6J71bl00vqSTDOTnAji2RaE5aL5fkVe6dWrrzKnO8UGjThf09BXQTK4Uu2cpFz01S
----END CERTIFICATE----
</ca>
Speichern Sie die Datei z.B. unter dem Namen ios.ovpn ab. Die Datei kann nun auf beliebigem Weg in die OpenVPN App übertragen und eingelesen werden und eine Verbindung hergestellt werden.
Nun muss OpenVPN noch diese Benutzereinstellungen mitgeteilt bekommen. Klicken Sie auf
VPN --> OpenVPN. Wählen Sie bei "OpenVPN INTERNET (tun)" die Aktion "Server bearbeiten".
Wählen Sie bei "Backend für die Authentifizierung" den gerade erstellten Server "schuelerUndLehrer.paedml-linux.lokal" an und klicken Sie ganz unten auf Speichern.
Nun werden sowohl Schüler und Lehrer bei einer OpenVPN Verbindung authentifiziert.
Schülerinnen und Schüler für OpenVPN Verbindung freischalten
Ein Lehrer kann sich mit diesen Einstellungen direkt Verbinden, Accounts von Schülerinnen und Schülern werden jedoch abgelehnt. Dazu muss dies in der Firewall eingestellt werden.
Dazu auf der Firewall (10.1.0.11) per Browser anmelden.
(Ich bitte um Entschuldigung dass meine Firewall auf deutsch umgestellt ist, ich gehe jedoch davon aus, dass sich die Schritte auch auf der englischen Variante gut übertragen lassen.)
Klicken Sie auf System --> Benutzerverwaltung --> Authentifizierungsserver
Klicken Sie auf "+Hinzufügen".
Tragen Sie jeweils ein (siehe auch: Bild unten):
Klicken Sie nun auf Speichern.
(Die Datei ist bis auf den Authentifizierungscontainer und dem Suchumfang identisch mit den Einstellungen aus "lehrer_server.paedml-linux.lokal".)
- Beschreibender Name: schuelerUndLehrer.paedml-linux.lokal
- Hostnamen: server.paedml-linux.lokal
- Transport: SSL - Encrypted
- (Dadurch ändert sich der Port auf 636)
- Suchumfang: Gesamte Unterstruktur
- Base DN: DC=paedml-linux,DC=lokal
- Authentifizierungscontainer: CN=users,OU=schule,DC=paedml-linux,DC=lokal
- Klicken Sie auf Anonym binden um dies zu deaktivieren.
- Bindungsanmeldedaten:
- User DN: CN=ldapsuche,CN=Users,DC=paedml-linux,DC=lokal
- Passwort:
Das Passwort finden Sie auf dem Server in /etc/ldapsuche.secret- Benutzer-Namensattribut: samAccountName
- Gruppen-Mitgliedsattribut: MemberOf
Klicken Sie nun auf Speichern.
Nun muss OpenVPN noch diese Benutzereinstellungen mitgeteilt bekommen. Klicken Sie auf
VPN --> OpenVPN. Wählen Sie bei "OpenVPN INTERNET (tun)" die Aktion "Server bearbeiten".
Wählen Sie bei "Backend für die Authentifizierung" den gerade erstellten Server "schuelerUndLehrer.paedml-linux.lokal" an und klicken Sie ganz unten auf Speichern.
Nun werden sowohl Schüler und Lehrer bei einer OpenVPN Verbindung authentifiziert.
Keine Kommentare:
Kommentar veröffentlichen
Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.