WLAN: schulische und schulfremde Geräte sowie den Internet- und Netzwerkzugriff steuern

An vielen Schulen laufen mittlerweile Versuche und auch schon stabile Umsetzungen mit Tablet-Klassen oder auch „Bring your own device“-Klassen (BYOD). Die Geräte sind dabei – je nach Umsetzung – Schuleigentum oder auch Eigentum der Schülerinnen und Schüler (bzw. der Eltern). Alle diese Geräte lassen sich mit LANiS kombinieren und mit der Erweiterung einer pfSense lassen sich sogar noch weitere Kombinationen schaffen:

  • Schuleigene, mobile Geräte: Diese Geräte können Mitglied der Schuldomäne werden und alle Funktionen, die auch für und zwischen den Geräten im Computerräum möglich sind (Datei-Verteilungsfunktionen, Kontrollen, Freigaben und Steuerungen) sind möglich. Dadurch steht den Lehrkräften das gewohnte Lehrermodul mit allen Möglichkeiten zur Verfügung und die Schülerinnen und Schüler können mit ihrem privaten LANiS-Laufwerk weiterhin arbeiten.
    .
  • Schulfremde, mobile Geräte: Einer Einbindung in die Schuldomäne widerspricht, dass diese Geräte auch zu Hause von den Schülerinnen und Schülern genutzt werden sollen. Insofern steht hierbei den Lehrkräften zwar auch die Möglichkeit offen mit einem in die Domäne eingebundenen Endgerät Dateien zu verteilen (und einzusammeln), aber die Steuerungsfunktionen entfallen. Die Schülerinnen und Schüler können per FTP auf ihr privates LANiS-Laufwerk zugreifen.
    .
  • In den möglichen Kombinationen von Geräten steckt aber immer noch die Frage: „Wie wird der Internetzugriff geregelt?“ Bei in der Domäne eingebundenen Rechnern lässt sich das sehr einfach über das Lehrermodul managen. Bei den anderen Geräten ist eine generelle Freigabe möglich (bspw. noch mit LDAP-Authentifizierung mit Hilfe der LANiS-Benutzerdaten), doch kann darüber die Lehrkraft nicht steuern, wann wer Internetzugang haben soll. Insofern bietet sich dabei als kostengünstige und einfach zu wartende Lösung die Einbindung einer pfSense mit aktiviertem Captive Portal (bekannt aus Hotels: Kleine Zahlen-Buchstaben-Kombination, die nach dem Verbinden mit dem Netzwerk eingegeben werden muss) an. Wer keinen gültigen, aktiven Voucher besitzt, hat keinen Internetzugriff.

Die für die Einrichtung notwendigen Schritte innerhalb der pfSense haben wir daher dokumentiert und direkt mit LANiS verbunden: Sowohl über das Lehrermodul, als auch über das Schulportal können WLAN-Voucher ausgegeben werden. Dabei wird natürlich auch dokumentiert, wer wem wann das WLAN-Voucher gegeben hat – um im Nachhinein die Ausgabe und den Gebrauch des Vouchers belegen zu können. Die Lehrkräfte können dabei sowohl die Voucher als Ausdruck bereitstellen, aber diese auch nur online speichern, so dass die jeweiligen Nutzer diese nach ihrem Login im Schulportal abrufen können.

Mit Hilfe des pfSense kann auch die Kommunikation der Geräte untereinander unterbunden und nur, falls gewünscht, einzelne Komponenten des pädagogischen Netzwerks (wie bspw. der LANiS-Server oder ein bestimmter Drucker) freigegeben werden, so dass die mobilen Geräte nur auf diese Geräte (oder auch auf keine) Zugriff haben.

Zur Einrichtung der pfSense und dem Voucher-Modul im Lehrermodul sowie im Schulportal bieten wir immer wieder Schulungen an (zur Schulungsübersicht).

 

Wir freuen uns über Anregungen, Fragen und Ideen zu diesem Modul, das zwar schon fertig ist – aber bisher nur an wenigen Stellen eingesetzt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.