Nutzung von Gastrechnern, Prozeßbeschreibung

Die Nutzung von Gastrechnern im HZDR LAN/WLAN ist regelementiert und nur nach vorheriger Registrierung des Gerätes möglich.
Für die Nutzung findet keine Unterscheidung zwischen Kabelnetz und WLAN statt. Beachten Sie aber bitte, dass LAN und WLAN Karte des Gerätes unterschiedliche MAC-Adressen haben. D.h. wird das Gerät im Kabelnetz angemeldet ist keine Nutzung im WLAN möglich und umgekehrt.
Im WLAN nutzen Sie bitte die SSID "HZDR".

Verfahrensbeschreibung

Die Anmeldung erfolgt am Gastgerät selber. Eine manuelle Registrierung von Gastgeräten durch HZDR-Mitarbeiter/-Administratoren direkt in der HZDR Hardwaredatenbank ist nicht vorgesehen.

Zur Anmeldung ist ein installierter, funktionsfähiger Web-Browser erforderlich, der Cookies akzeptiert.

  1. Nach dem Einschalten erhalten nicht resp. nicht mehr registrierte Geräte zunächst ausschließlich eine IP-Adresse aus einem Quarantänenetz (Zuweisung über DHCP, der DHCP Server protokolliert die Zuordnung der MAC Adresse zur IP).
    Die Manipulation der zugewiesenen IP Adresse ist zwecklos, da der Zugang zu anderen Netzbereichen via MAC-Filter an den Switchen (VLAN!) geblockt wird.
    Mit der zugewiesenen IP Adresse kann vom Rechner aus lediglich die Webseite "https://www.hzdr.de/guestlan" (Hinweis: dieser Link funktioniert nur im Gastrechnernetz) erreicht werden.
  2. Anmeldeverfahren:
    1. die Webseite https://www.hzdr.de/guestlan erzeugt eine Anmeldeformular, in welches der Nutzer des Gastrechners
      • seinen Nutzernamen und Paßwort einträgt, wenn sie/er im HZDR registrierter Nutzer ist
      • seine Besucherausweisnummer *) und eine PIN, wenn sie/er ein "normaler" Besucher ist
      • seine DFN-Roaming Kennung mit Paßwort, wenn sie/er EDURoam Nutzer ist)
      Diese Anmeldedaten werden via CGI an den HZDR-Webserver (gesichert mit SSL) und von dort mittels SQL*Net an die HZDR-Oracle Datenbank übertragen (Aufruf einer PL/SQL) Prozedur. Ein Protokollierung der Anmeldedaten findet nicht statt!
    2. die PL/SQL Prozedur prüft den Typ der Anmeldung (Nutzername alphanumerisch → HZDR-Nutzer, Nutzername numerisch → HZDR-Besucher, Nutzername enthält "@" → DFN-Roaming). Entsprechend des Anmeldetyps fährt die Prozedur wie folgt fort:
      • HZDR-Nutzer: aus dem übermittelten Paßwort wird ein MD5-Hash gebildet und mit dem, in der Datenbank zum Nutzernamen gespeicherten MD5-Hash verglichen **)
      • HZDR-Besucher: Besucherausweisnummer und PIN werden von Besucherverwaltungssystem (selbe Datenbankinstanz!) geprüft. Die PIN kann von jedem HZDR Mitarbeiter via https://www.hzdr.de/guestpin angefordert werden. Diese Seite kann nicht im Gastnetz abgerufen werden!
      • DFN-Roaming: die Prozedur erzeugt mit Hilfe des Paketes JRadius ein Radius Access Request Paket und sendet dieses an den HZDR-Radius Server (die Kommunikation zwischen Datenbank und Radius Server ist verschlüsselt). Der HZDR Radius Server prüft anhand des Realms, ob es sich um einen HZDR-Nutzer handelt, wenn ja wird die Authentifikation lokal ausgeführt. Im anderen Fall wird das Paket an den DFN-Radius Server weitergeleitet. Das Antwort-Paket (Accept/Reject) wird an die Datenbank zurückgeschickt.
      Anmeldedaten werden nicht protokolliert oder gespeichert.
  3. War die Authentifikation erfolgreich, so wird das Gerät, von dem die Anfrage erfolgte in der HZDR Hardwaredatenbank registriert (ggf. reaktiviert).
    Die Hardwaredatenbank ermittelt eine IP-Adresse aus dem Gastrechnernetz und weist diese im DHCP-Server der ermittelten MAC-Adresse zu. Gleichzeitig wird der MAC-Filter der Switche aktualisiert (Zuweisung Gast-VLAN). Gespeichert werden:
    • MAC Adresse
    • Identität (Referenz zum HZDR-Nutzerstammdatensatz, Referenz zum HZDR-Besucherstammdatensatz bzw. die DFNRoaming-ID)
    • Nutzungszeitraum (<= Gültigkeit Stammdatensatz; maximal 1 Jahr für HZDR-Nutzer und -Besucher, 24 h für DFNRoaming-Nutzer)
    • zugewiesene Gastnetz-IP
  4. Die Anmeldeprozedur erzeugt eine Webseite, die dem Nutzer die o.g. Daten sowie die Gerätereferenznummer der Hardwaredatenbank mitteilt.
  5. Das Gastgerät muß ein DHCP renew ausführen, um die neuen Adressdaten zu beziehen.
    Hinweis: bei diversen Windows Geräten wurde mehrfach beobachtet, dass ein ipconfig /renew bzw. Deaktivieren/Reaktivieren der Netzwerkkarte nicht hinreichend ist. IT empfiehlt das Gerät nach der erfolgreichen Registrierung neu zu starten.
  6. Nach erfolgreicher Registratur muß die Netzwerkkarte für ca. 5 min komplett vom Netz getrennt werden (WLAN-Karte abschalten).

*) Nur Ausweisnummern zwischen 10000 und 20049 kennzeichnen Besucherausweise!
**) Hinweis: nach 6 Fehleingaben wird der komplette Zugang des HZDR-Nutzers gesperrt und muß manuell durch IT reaktiviert werden.