Schulz Steve
Gäste WLAN mit verschiedenen Authentifizierungsmethoden implementieren
Durchführung: 06.02.2017 bis 10.03.2017
Umfeld/Ausgangslage
An der Pädagogischen Hochschule Thurgau wird ein eigens programmierter Generator für den Gastzugang ins WLAN verwendet. Der Gast muss sich an das Sekretariat oder an die Bibliothek wenden, um einen Internetzugang zu bekommen. Die Freischaltung wird ebenfalls durch diese beiden Abteilungen innerhalb der Arbeitszeiten durchgeführt. Ausserhalb dieser Zeiten können keine Zugänge erstellt oder freigegeben werden. Der Gast muss eine Benutzervereinbarung unterschreiben, damit dieser einen Zugang ins Internet bekommt. Dies ist bei Veranstaltungen mit mehreren hundert Teilnehmern sehr aufwändig. Die unterschriebenen Benutzervereinbarungen werden gesammelt und an die Informatikabteilung übergeben. Die Benutzervereinbarung wird durch die Informatik auf dem zentralen Datenspeicher abgelegt. Der administrative Aufwand ist mit der momentanen Lösung sehr hoch. Zudem entspricht die momentane Lösung nicht den heutigen Sicherheitsstandards.
Ziel
Neu sollen sich die Gäste der PHTG selbstständig über ein Registrierungsportal im WLAN 'campus-guest' registrieren und authentisieren können. Die Authentifizierung funktioniert ähnlich wie an einem öffentlichen WLAN an einem Flughafen, Bahnhof oder ähnliches. Die Registrierung muss SMS und Active Directory Authentifizierung unterstützen. Das neue System muss zuerst evaluiert und dann eingeführt werden.
Umsetzung
Das Projekt wurde mit der Methode 'IPERKA' umgesetzt. ""IPERKA"" ist eine 6-Schritte Methode um Projekte erfolgreich umsetzen zu können. Die Evaluation wurde mit Hilfe einer Entscheidungsanalyse durchgeführt. Es wurden die Produkte 'CoovaChilli', 'Packetfence' und 'Untangle' verglichen. Als erstes wurde überprüft, ob alle Produkte die KO-Kriterien erfüllen. Im Anschluss wurden die MUSS-Kriterien überprüft. Danach fand die Bewertung der einzelnen Wunschkriterien mit der entsprechenden Gewichtung statt. Am Ende der Evaluation hat sich herausgestellt, dass 'Packetfence' die definierten Anforderungen am besten abdeckt. 'Packetfence' wurde auf einem neu erstellten Linux Server installiert und konfiguriert. Der Versand des Bestätigungscodes der SMS-Authentifizierung geschieht über den SMS Anbieter 'eCall'. Der gesamte Internetverkehr wird protokolliert und im Verdachtsfall ausgewertet.
Während dem Projekt wurde eine technische Dokumentation, ein IPA Bericht und eine Benutzeranleitung erstellt.
Tests
Folgende Tests wurden durchgeführt:
- Authentisieren über lokalen Benutzer, SMS und Active Directory Benutzer
- Logdateien auswerten
- Gleichzeitiges erstellen mehrerer Benutzer
- Zugriff ins Internet ohne Packetfence
- Funktionsfähigkeit auf den Systemen iOS, Android, Windows und macOS
Alle Tests wurden erfolgreich durchgeführt und haben kaum Probleme verursacht.
Fazit
Die zehn Tage meiner IPA waren eine sehr spannende Zeit. Mir wurde klar, dass man nicht alles vorausplanen kann und einen gewissen Spielraum in seinem Projektzeitplan einbauen sollte. Die geforderten Punkte im Pflichtenheft wurden alle erfüllt und das Projekt konnte ich zeitgerecht umsetzen. Die Lösung, welche mit Packetfence realisiert wurde, eignet sich in mehrerer Hinsicht für unsere Umgebung. Zum einen ist sie Gratis und zum anderen haben die Gäste neu ein WLAN zur Verfügung, bei welchem sie ohne grosse Umstände Zugriff ins Internet bekommen. Auch Sicherheitstechnisch ist die Lösung, bis auf wenige Ausnahmen, sicher.