Instituts-SSID

Bei nachgewiesenem Bedarf können zusätzliche SSIDs (WLAN-Netze) auf der WLAN-Infrastruktur des LRZ ausgestrahlt werden, die einer beschränkten Benutzergruppe direkten Zugang in ein definiertes Netz ermöglicht (beispielsweise allen Mitarbeitern in das Institutsnetz).

Grundlagen

  • Die Ausstrahlung kann nur in eingeschränkten Bereichen geschehen, die dem jeweiligen Institut zugewiesen sind (Bürobereiche). Die Ausstrahlung in hochbelasteten öffentlichen Räumen ist nicht möglich.
  • Verbundene Clients werden direkt in das der SSID zugewiesene VLAN übergeben, weitere Filtermöglichkeiten bestehen nicht. Die SSID kann nur in den Bereichen ausgestrahlt werden, in denen das VLAN zur Verfügung gestellt werden kann.
  • Analog zum kabelgebundenen Netz ist der Netzverantwortliche Ansprechpartner des LRZ bei technischen Problemen und missbräuchlicher Nutzung.
  • Die Authentifizierung sollte im Allgemeinen über WPA2-Enterprise (ähnlich zu eduroam) erfolgen. Hierfür stehen zwei Methoden zur Verfügung
    • Authentifizierung auf einem Radius-Server des LRZ gegen eine Gruppe von Kennungen im MWN-ADS. Aus technischen Gründen steht hier nur das Protokoll EAP-MSCHAPv2 zur Verfügung.
    • Authentifizierung auf einem eigenen Radius-Server. Hierbei können beliebige EAP-Methoden verwendet werden.
  • Sofern die verwendeten Clients kein WPA-Enterprise unterstützen kann unter engen Voraussetzungen auch WPA-PSK (PreShared Key) verwendet werden. Aus Sicherheitsgründen bestehen dabei die folgenden Einschränkungen
    • Die SSID darf nur auf wenigen Accesspoints ausgestrahlt werden
    • Die SSID darf nur zur Anbindung von IoT-ähnlichen Geräten (Sensoren, Displays, Roboter, ...) verwendet werden, nicht zur normalen Internetnutzung
    • Das zugewiesene VLAN muss zusätzlich gegen unberechtigte Nutzung gesichert sein (statische DHCP-Adressen, ausgehende Firewall, keine Verbindung ins Internet)
    • Der PSK wird vom LRZ festgesetzt.
    • Der PSK darf nur einem sehr eingeschränkten Personenkreis bekannt sein (Netzverantwortliche und Stellvertreter). Eine Weitergabe an andere Nutzer ist nicht erlaubt.
    • Es sind Vorkehrungen zu treffen, damit der PSK mindestens einmal im Jahr gewechselt werden kann (dokumentieren, wo die Passphrase konfiguriert ist und wie sie geändert werden kann). 

Derzeit (Stand 2019) fallen für Einrichtung und Betrieb keine Kosten an. Da die Instituts-SSIDs in der Einrichtung und im Betrieb signifikante Resourcen benötigen behalten wir uns vor, in Zukunft pro SSID und pro Accesspoint Gebühren zu erheben.


Beantragung

Bitte öffnen Sie einen Service Request unter https://servicedesk.lrz.de/de/simplesubmit/53

WLAN-Konfiguration für MWN-ADS-Gruppen

Die Konfiguration der Clients erfolgt analog zu eduroam, mit folgenden Ausnahmen:

  • Der Radius-Server hat folgenden Namen ("Domain" bei Android, "Subject-Match" beim wpa_supplicant...) "badwlrz-swauth.ads.mwn.de"
  • Als User bitte nur die Kennung angeben, kein Realm (also nicht z.B. @eduroam.mwn.de)
  • Der Windows-Radius-Server kann kein PWD, es sollte PEAP-MSCHAP als Authentifizierungsmethode verwendet werden