MediaWiki-API-Ergebnis

{
    "batchcomplete": "",
    "continue": {
        "gapcontinue": "SMILE_Lernprogramme_installieren",
        "continue": "gapcontinue||"
    },
    "warnings": {
        "main": {
            "*": "Subscribe to the mediawiki-api-announce mailing list at <https://lists.wikimedia.org/mailman/listinfo/mediawiki-api-announce> for notice of API deprecations and breaking changes."
        },
        "revisions": {
            "*": "Because \"rvslots\" was not specified, a legacy format has been used for the output. This format is deprecated, and in the future the new format will always be used."
        }
    },
    "query": {
        "pages": {
            "2118": {
                "pageid": 2118,
                "ns": 0,
                "title": "Rechner vom Webfilter ausnehmen",
                "revisions": [
                    {
                        "contentformat": "text/x-wiki",
                        "contentmodel": "wikitext",
                        "*": "Anhand der folgenden Anleitung k\u00f6nnen Rechner vom Webfilter ausgeschlossen werden, d.h. von diesen Rechnern aus kann man auch auf Webseiten gehen, die f\u00fcr die restlichen Rechner per Blacklist gesperrt sind. Rechner, die auf diese Art und Wesie ausgenommen werden, k\u00f6nnen allerdings nicht mehr \u00fcber die Rechnerverwaltung f\u00fcr das Internet gesperrt werden.\n\n<ol>\n\n<li>\nDie Datei <tt>/etc/squidguard/squidGuard.conf</tt> mit einem Editor \u00f6ffnen.\n<rootpre>\nmcedit /etc/squidguard/squidGuard.conf\n</rootpre>\n</li>\n\n<li>\n'''Vor''' dem <tt>src active</tt>-Block folgenden Block einf\u00fcgen (IPs entsprechend anpassen):\n<filepre>\nsrc nowebfilter {\n  ip 10.0.0.10-10.0.0.20\n}\n</filepre>\n</li>\n\n<li>\nAm Ende der Datei im <tt>acl</tt>-Block folgenden Block unterhalb des <tt>active</tt>-Blocks einf\u00fcgen:\n<filepre>\nnowebfilter {\n  pass all\n}\n</filepre>\n</li>\n\n<li>\n\u00c4nderungen abspeichern und Squid neustarten:\n<rootpre>\niconf save /etc/squidguard/squidGuard.conf\n/etc/init.d/squid restart\n</rootpre>\n</li>\n\n</ol>"
                    }
                ]
            },
            "2176": {
                "pageid": 2176,
                "ns": 0,
                "title": "Router mit DD-WRT als RADIUS-Clients",
                "revisions": [
                    {
                        "contentformat": "text/x-wiki",
                        "contentmodel": "wikitext",
                        "*": "Die Konfiguration von Windows-Clients f\u00fcr RADIUS ist nicht gerade einfach und selbsterkl\u00e4rend. Als Clients k\u00f6nnen auch WLAN-Router mit einer speziellen Firmware fungieren. Das Endger\u00e4t des Nutzers ben\u00f6tigt au\u00dfer einem Browser nichts, um sich am WLAN anzumelden.\n\n= Grundprinzip =\nDas folgende Schema zeigt die Funktion und die beteiligten Komponenten:<br />\n\n[[Datei:Chillispot iserv.png]]<br />\n\nEin Client, der nur \u00fcber einen Browser verf\u00fcgen muss (Handy, Tablet, Notebook...) verbindet sich \u00fcber WLAN mit einem Router. Er erh\u00e4lt eine IP-Adresse, jedoch werden alle Anfragen an eine bestimmte Loginseite auf denm IServ weitergeleitet. Es k\u00f6nnen zun\u00e4chst keine anderen Seiten ge\u00f6ffnet werden. Auf der Loginseite (iserv_hotspot.php) gibt der Benutzer nun seine Zugangsdaten \u00fcber HTTPS ein. Diese werden durch das RADIUS-Modul auf dem IServ gegen dessen Benutzerdatenbank /etc/shadow gepr\u00fcft. Wenn das erfolgreich ist, gibt der Router das Internet f\u00fcr den Client frei, indem er die Client-IP jetzt komplett routet. Damit die L\u00f6sung richtig bequem wird, sind aber noch einige Entwicklungsarbeiten am WLAN-Modul notwendig, die zumindest die hier noch beschriebene IServ-Konfiguration zu automatisieren verm\u00f6gen.\n\n= Warnung =\nDie hier vorgestellte Konfiguration ist - wenn sie l\u00e4uft - sehr attraktiv f\u00fcr Nutzer, jedoch nicht trivial und schon gar nicht ausschlie\u00dflich \u00fcber die IServ-Oberfl\u00e4che vornehmbar. Sie hat den Vorteil, dass sie nur einmal zentral vorgenommen werden muss und die Clients gar nicht mehr eingerichtet werden m\u00fcssen. Sie setzt aber Grundkentnisse auf der Konsole und \"Mut zum Root\" voraus.\n\n= Konfiguration =\nAls erstes muss das [[WLAN-Modul]] installiert sein.\n\n== Welche Daten werden ben\u00f6tigt? ==\nF\u00fcr die Konfiguration der einzelnen Bestandteile ben\u00f6tigt man folgende Variablen:\n{| class=\"wikitable\"\n|-\n| '''Angabe''' || '''Funktion''' || '''Quelle''' \n|-\n| <secret> || Absicherung der Kommunikation zwischen Client und RADIUS || Vom RADIUS-Modul bei Installation abgefragt\n|-\n| <uam_secret> || Absicherung der Kommunikation zwischen Webserver und ChilliSpot || frei w\u00e4hlbar\n|-\n| <radius_ip> || IP des Freeradius-Servers || typischerweise IP des internen Netzdevices von IServ (192.168.0.1 bzw. 10.0.0.1)\n|-\n| <login_url> || URL der ChilliSpot-Loginseite auf dem IServ || <url_zu>/hotspot.php\n|-\n| <nas_id> || Name des Hotspots (notwendig) || frei w\u00e4hlbar\n|-\n| <dns_ip> || IP des Gateways ins Internet (meist IServ-IP) || vgl. IServ-IP (192.168.0.1 bzw. 10.0.0.1)\n|}\n\n\n== hotspot.php ==\nDie in dem Archiv [[Medium:hotspot.zip|hotspot.zip]] enthaltene php-Datei ist f\u00fcr den Gebrauch von DD-WRT n\u00f6tig.\nSie wird erst einmal konfiguriert. Dabei \u00f6ffnet man diese mit einem Text-Editor.\nNun muss man die Variablen wie folgt anpassen:\n{| class=\"wikitable\"\n|-\n| '''Variable''' || '''Funktion''' || '''Quelle''' \n|-\n| $uamsecret || Absicherung der Kommunikation zwischen Webserver und ChilliSpot || <uam_secret>\n|-\n| $ChilliSpot || Angezeigter Name im Loginscript || Bsp.: WLAN der (Schulname)\n|}\n\nWeiter muss nun die hotspot.php auf die  hochladen.\nDaf\u00fcr muss auch php f\u00fcr die Website aktiviert sein, wenn es noch nicht aktiviert ist, kann man es nach der Anleitung [[PHP f\u00fcr die Homepage freischalten]] aktivieren.\n\n\n== Konfiguration auf dem IServ ==\n=== Freeradius ===\nDas WLAN-Modul verwendet zurzeit eine Konfiguration, die notwendig ist, um Passworte zu verarbeiten, die ein Windows-Client direkt verschl\u00fcsselt. Folgerichtig werden diese gegen Samba auf IServ gepr\u00fcft. Im Testing-Zweig ist eine Freeradius-Konfiguration vorhanden, die per unix-Modul auch gegen /etc/passwd pr\u00fcft. Derzeitig wird das WLAN-Modul mit dd-wrt reibungslos an dem Gymnasium Neue Oberschule aus Braunschweig und auch am Clemens-August-Gymnasium in Cloppenburg eingesetzt.\n\n== Konfiguration des Routers ==\n=== Geeignete Hardware ===\nAuf dem Router muss eine spezielle Firmware (DD-WRT) installiert werden. Diese enth\u00e4lt bereits den ChilliSpot-Dienst mit einem Web-Interface zur Konfiguration. Welche Router in Frage kommen, kann auf der Internetseite des DD-WRT-Projektes recherchiert werden: [http://www.dd-wrt.com Webseite von DD-WRT]. Dort sucht man in der Router-Database nach kompatiblen Ger\u00e4ten - das sind erstaunlich viele alte und neuere Router. Bei jedem Modell befindet sich eine Anleitung, wie die neue Firmware installiert werden kann und welche Firmwaredatei sich eignet.\n\nEmpfehlenswerte Router:\n* Linksys WRT54GL (lange Zeit das Standardmodell f\u00fcr jede Art von OpenSource-Firmware, mit 50\u20ac derzeitig in einer guten Preisklasse und erfolgreich an der Neuen Oberschule in Braunschweig getestet)\n* TP-Link TL-WR1043ND (viel Leistung f\u00fcr kleines Geld, z.B. WLAN nach N-Standard, Gbit-Switch, USB-Port - das macht ihm f\u00fcr rund 50 Euro kaum einer nach, erfolgreich seit \u00fcber einem Jahr am Clemens-August-Gymnasium Cloppenburg im Betrieb)\n* Netgear WNDR4000, derzeit 80-90 Euro (grundsolider Dualbandrouter, sehr interessant f\u00fcr 5ghz-f\u00e4hige Ger\u00e4te wie iPads und erfolgreich im Betrieb in dieser Konfiguration am Medienzentrum Cloppenburg)\n\n=== Einstellungen am Router ===\n==== Integration in das IServ-Netz ====\nDer Router muss zun\u00e4chst in die Rechnerverwaltung von IServ eingetragen werden. Dazu ist die MAC-Adresse oft an den Routern zu finden, der Internetzugriff freigegeben und als Auswahl f\u00fcr Steuerbar \"Nein\" gesetzt werden.\n\n==== Adminoberfl\u00e4che freigeben ====\n[[Datei:Dd-wrt-administration-config.png|miniatur|Webzugriff aktivieren]]\nDamit wir den Router auch \u00fcber seinen WAN-Port erreichen k\u00f6nnen, muss zus\u00e4tzlich sein Admin-Interface freigegeben werden.\nDies kann unter ''Administration'' -> ''Management'' einstellen.\n[[Datei:Dd-wrt-administration.png]]\n\nNun kann man unter Web-GUI-Management den Fernzugriff aktivieren. Nun kann man den Port und wahlweise die HTTPS-Nutzung aktivieren. Ich rate als Port den Port 80, wenn man HTTPS-Deaktiviert hat, und Port 443, wenn man HTTPS aktiviert hat. Es kann aber jeder andere Port genutzt werden.\nNun ist die Oberfl\u00e4che bei euch im Intranet unter der IP, die ihr ihm zugeordnet im IServ habt, erreichbar.\nUnd eine kleine Anmerkung, wenn ihr wollt, k\u00f6nnt ihr auch etwas weiter unten die Sprache und das Design der Weboberfl\u00e4che \u00e4ndern.\n\n==== Grundlegende Einstellungen ====\n[[Datei:dd-wrt-network-config.png|miniatur|Einstellungen in dd-wrt]]\nDie Grundlegenden Einstellungen sind unter ''Setup''->''Basis-Setup'' einstellen.\n[[Datei:dd-wrt-network.png]]\n\nAls erstes ist es hilfreich den Verbindungstyp auf dynamische IP einzustellen.\nWeiter kann man unter Routername, den Namen angeben, der auch im IServ eingetragen wurde, dieser erscheint dann auch als Tabtitel.\nNun muss unter ''Lokale-IP-Adresse'' anstatt 192.168.1.1 ein andere IP, die nicht vom IServ genutzt wird, gew\u00e4hlt werden, als Beispiel 192.168.2.1 .\nZudem darf der Router nach innen nicht als DHCP-Server auftreten - das macht ja schlie\u00dflich der IServ selbst. Die meisten IServs nutzen mittlerweile das 10.0.0.0/8er Netz. Das sollte pr\u00fcfen und die IP an die jeweiligen Gegenbenheiten anpassen. \nDiese Einstellung findet man unter ''Setup'' -> ''Basis-Setup''. Dort muss man die Einstellung DHCP-Server von Einschalten auf Ausschalten gewechselt werden.\n\n==== Konfiguration der WLAN-Schnittstelle ====\n[[Datei:Dd-wrt-wlan-configuration.png|miniatur|Konfiguration des WLANs]]\n\nDie WLAN-Schnittstelle kann man unter ''WLAN'' -> ''Basis-Einstellungen'' konfigurieren.\n[[Datei:Dd-wrt-wlan.png]]\n\nIn den Einstellungen muss unter ''WLAN-Modus'' nun '''AP''', in ''Netzwerk-Modus'' '''gemischt''' und unter ''Netzwerkname'' der Name des WLANs anzugeben, als ''WLAN-Kanal'' ist am besten bei zwei nebeneinander liegenden Router der gleiche Kanal zu w\u00e4hlen, ''SSID-Broadcast'' muss aktiviert sein und ''Network Konfiguration'' muss auf '''Bridged''' gestellt werden.\n\n==== Konfiguration von Chillispot ====\nDie Konfiguration von Chillispot findet man unter ''Services''->''Hotspot'' in der Kategorie ''Chillispot''\n[[Datei:dd-wrt-chillispot.png]]\n\nZun\u00e4chst muss Chillispot eingeschaltet werden, danach kann man die Felder wie Folgt ausf\u00fcllen:\n[[Datei:Dd-wrt-chillispot-configuration.png|miniatur|Einstellungen von Chillispot]]\n{| class=\"wikitable\"\n|-\n| '''Eingabefeld''' || '''Funktion''' || '''Quelle'''\n|-\n| Entferne WLAN von der LAN-Bridge || Wenn diese Funktion deaktiviert ist, werden die LAN-Anschl\u00fcsse nicht mit der Sicherung \u00fcber den RADIUS-Server gesichert und laufen normal \u00fcber IServ || Wie man m\u00f6chte, ich pers\u00f6nlich empfehle, es zu aktivieren.\n|-\n| Prim\u00e4rer und Sekund\u00e4rer RADIUS-Server || Die IP unter der der RADIUS-Server sowie wenn vorhanden ein Ersatz, erreichbar ist || Beide Felder, wenn nur ein Server(IServ) <radius_ip>\n|-\n| DNS-IP || IP, unter der der DNS-Server erreichbar ist || <dns_ip>\n|-\n| Remote-Network || Legt fest, aus welchem IP-Bereich die IPs f\u00fcr die Clients genutzt werden soll || standardm\u00e4\u00dfig 192.168.182.0/24\n|-\n| Umleitungs-URL || URL unter der die hotspot.php erreichbar ist, Achtung mit https:// || <login_url> \n|-\n| Shared Key || Absicherung der Kommunikation zwischen Client und RADIUS || <secret>\n|-\n| DHCP-Interface || Legt fest, \u00fcber welches Interface Chillispot arbeitet || Meist WLAN oder eth1, jedenfalls das WLAN-Interface\n|-\n| RADIUS NAS ID || Name des Hotspots (notwendig) || <nas_id>\n|-\n| UAM Secret || Absicherung der Kommunikation zwischen Webserver und ChilliSpot || <uam_secret>\n|-\n| UAM Any DNS || Legt fest ob der Nutzer einen selbst definierten DNS-Server benutzen darf || aus Sicherheitsgr\u00fcnden ''0''\n|-\n| UAM Allowed || Hier k\u00f6nnen Domains eingetragen werden, die auch ohne Anmeldung zug\u00e4nglich sein sollen || Wichtig ist die Domain mit IServ(deineschule.de), weitere Webadressen frei w\u00e4hlbar (ohne https:// oder www. und durch Kommata getrennt)\n|-\n| MACauth || legt fest ob die Authentifizierung der Nutzer \u00fcber deren MAC-Adresse || Ist an dieser Stelle nicht gewollt, also deaktiviert lassen\n|}\n\n= Accesspoints zentral konfigurieren =\n== Hostschl\u00fcssel auf den Accesspoint kopieren ==\nfehlt noch\n\n== Verschiedene Skripten zur Steuerung ==\nEine Textdatei \"accesspoints.txt\" ent\u00e4lt die IPs aller Accesspoints. Sie kann z.B. so aussehen:\n\n<filepre>\n10.200.0.30\n10.200.0.31\n[...]\n</filepre>\n\nDas zentrale Skript \"walkthrough_ap.sh\" pr\u00fcft, ob der jeweilige Accesspoint online ist und f\u00fchrt dann auf dem Accesspoint ein weiteres Skript aus, welches einfach als Parameter \u00fcbergeben wird:\n\n<filepre>\n#!/bin/bash\n\n# Als Parameter muss der Pfad zu einem Script \u00fcbergeben \n# werden, das dann auf dem Accesspoint ausgef\u00fchrt wird.\n# Vor der Ausf\u00fchrung wird rudiment\u00e4r gepr\u00fcft, ob der\n# Accesspoint erreichbar ist. \n# accesspoints.txt enth\u00e4lt eine Liste der IPs aller Accesspoints. \n# Nat\u00fcrlich muss der Accesspoint per Key-Auth erreichbar sein\n\nfor i in $(cat accesspoints.txt); do\n\n    IP=$(echo $i)\n\n    if ping -c 1 -w 1 $IP > /dev/null; then\n          (\n\t\tssh root@$IP < $1\n          )\n    fi\n\ndone\n</filepre>\n\nAnwendung:\n<rootpre>\n./walkthrough_ap.sh /pfad/zu/accesspoint_script.sh\n</rootpre>\n\n=== WLAN-Passwort zentral setzen ===\nDas folgende Skript setzt ein wpa2-Passwort auf dem Accesspoint (nur f\u00fcr Atheros Chips\u00e4tze, bei Broadcom muss das Device \"athX\" angepasst werden):\n\n<filepre>\n#!/bin/bash\n\nnvram set ath0_wpa_psk=\"wlan_passwort\"\nnvram commit\nreboot\n</filepre>\n\n=== WLAN ausschalten ===\nDas folgende Skript schaltet das WLAN aus (nur f\u00fcr Atheros Chips\u00e4tze, bei Broadcom muss das Device athX angepasst werden):\n\n<filepre>\n#!/bin/bash\n\nifconfig ath0 down\niwconfig ath0 txpower off\n</filepre>\n\n=== WLAN einschalten (reboot) ===\nDas folgende Skript schaltet das WLAN durch einen harten Reboot wieder ein:\n\n<filepre>\n#!/bin/bash\nreboot\n</filepre>\n\n=== Beliebige Operationen auf dem Accesspoint ===\n\nAlle Optionen im nvram des DD-WRT-Routers lassen sich mit diesem Verfahren \u00e4ndern:\n\n<rootpre>\nnvram set options_name=\"wert\"\nnvram commit\nreboot\n</rootpre>\n\nz.B. Macfilter aktivieren, VLANs konfigurieren, zus\u00e4tzliche WLAN-Devices erstellen, eine Grundkonfiguration setzen - der Fantasie sind hier kaum Grenzen gesetzt.\n\n= Reaktionen von Sch\u00fclern =\n=== Gymnasium Neue Oberschule Braunschweig ===\nDie Sch\u00fcler reagieren bei mir am Gymnasium Neue Oberschule in Braunschweig sehr positiv. Das System ist einfach erkl\u00e4rt und ben\u00f6tigt keine gro\u00dfen Einstellungen, wie vorher, wo bei jedem Router einzeln das Passwort abgespeichert werden musste.\nAu\u00dferdem haben wir mit dem neuen System unser gesamtes Schulgeb\u00e4ude einheitlich abgedeckt.\nBei R\u00fcckfragen stehe ich gerne Bereit, schreibt im Supportforum oder eine Mail an [mailto:robin.burek@support.iserv.eu robin.burek@support.iserv.eu]."
                    }
                ]
            }
        }
    }
}