Universität zu Köln

RRZK - Regionales Rechenzentrum

 
 


Anleitung zum UKLAN-Admin-Tool

Mit dem UKLAN-Admin-Tool erhalten Sie einen Überblick über die Netze, die Sie verwalten. Sobald Sie durch einen Mitarbeiter der Abteilung Netze in der Webanwendung registriert wurden, können Sie sich mit Ihrem normalen Benutzernamen und Passwort darin anmelden.

Grundvoraussetzungen:

Java Virtual Machine (Download von externer Quelle)
Netzwerkverbindung zum UKLAN
Zeitsynchronisation mit NTP-Server (Siehe Probleme bei der Anmeldung)


Installation

Laden Sie sich einfach die Datei "uklanadmin.jnlp" herunter und speichern diese auf dem Desktop oder an einem Ort an dem Sie schnell Zugriff auf diese Datei haben. Wenn Sie das Programm über diese Datei starten wird überprüft, ob Sie die aktulle Version des Programms nutzen und ggf. aktualisiert. Sollte das Betriebssystem nicht wissen, wie es mit Dateien der Endung jnlp umzugehen hat (JavaWebStart) müssen Sie die Java Virtual Machine installieren (siehe Grundvoraussetzungen)
 

Download: UKLAN-Admin-Tool (uklanadmin.jnlp)


Start des Programms und Anmeldung

Durch Ausführen der Datei uklanadmin.jnlp starten Sie das UKLAN-Admin-Tool. Nun werden Sie aufgefordert sich anzumelden.

loginwindow
Liegen gültige Login-Informationen vor (z.B. durch die Anmeldung an der Domäne AD.UNI-KOELN.DE), ist die Checkbox "Diesen Account nutzen" selektierbar.
Mit "Automatisch anmelden" können Sie beim nächsten Start des UKLAN-Admin-Tool sich direkt mit diesen Daten Anmelden.
Liegen noch keine gültigen Daten vor, werden Ihre letzten Logineingaben gespeichert. Den automatischen Anmeldevorgang können Sie durch Drücken der Taste "Alt" unterbrechen.

warning Hier verwenden Sie Ihren Rechenzentrumsaccount mit dem gewohnten Passwort. Sollte die Anmeldung fehlschlagen schauen Sie bitte bei "Probleme bei Anmeldung" nach.
Startet das UKLAN-Admin-Tool nach einem Versionswechsel garnicht, könnte das Löschen des Java Caches oder das Löschen der JNLP-Datei helfen.



Übersicht "Netzwerk"

Als normaler Benutzer des Tools steht Ihnen lediglich die Option "Netzwerke" zur Verfügung. Nach Klicken auf diese öffnet sich das Netzwerkübersichtsfenster.
Netzwerke Ansicht

Klicken Sie nun auf eines der für Sie zugewiesenen Netze in der Spalte links und Sie bekommen in der rechten Spalte die Übersicht für das Netz angezeigt.
Übersicht

Netze können von allen gleichzeitig angesehen werden. Die Bearbeitung kann allerdings immer nur von einem Benutzer durchgeführt werden um Inkonsistenzen zu vermeiden. Das Symbol vor dem Netzverändert sich dann.

ausgechecktes Netz bearbeiten
Daher muss zur Bearbeitung ein Netz ausgecheckt werden. Hinter dem Netznamen erscheint der Name des Bearbeiters. Sollte ein Admin vergessen haben das Netz wieder einzuchecken, kann man das Netz durch Rechtsklick => "Netz übernehmen" auf sich registrieren. Der vorherige Benutzer bekommt darüber einen Hinweis.

Netz einchecken
Nachdem Sie alle Änderungen an diesem Netz vorgenommen haben, checken Sie das Netz wieder ein.


Ansicht IP-Adressen

Die Spaltenreihenfolge können Sie nach Belieben ändern. Stellen Sie sich Ihre Übersicht so zusammen, dass Sie Ihre benötigten Informationen gleich sehen. Zum Anordnen klicken Sie einfach auf das jeweilige Attribut in der Kopfzeile (z.B. Hostname), halten die Maustaste gedrückt und ziehen das Attribut an die gewünschte Stelle.
Folgende Informationen werden Ihnen u.a. angezeigt:

Hostname Ein Hostname wird dann angezeigt, wenn der jeweilige Rechner beim Rechenzentrum im DNS eingetragen oder vollständig Windows-Domänenmitglied ist (z.B. wiso.ad.uni-koeln.de)
Domain (siehe Hostname) diese Information wird auch aus den jeweiligen DNS-Server bezogen. Die Kombination aus Hostname und Domainname ergibt dann den vollständigen Netznamen (z.B. r811.schulforschung.hf.uni-koeln.de)
MAC-Adresse Sobald eine IP von einem Rechner genutzt wurde, wird dieser Rechner mit seiner MAC-Adresse und dem dem letzten Zugriff (Letzte Aktivität) auf diese IP gespeichert. So erkennt man, welche IP-Adressen aktuell in Benutzung sind oder schon seit längerer Zeit nicht mehr verwendet wurden.
Letzte Aktivität Zeigt wann diese IP zuletzt verwendet wurde (siehe MAC-Adresse). Eine Überprüfung der Aktivität findet etwa alle 15 Minuten statt, daher wird in diesem Feld nicht unbedingt die aktuelle Zeit angezeigt, auch wenn ein Rechner gerade in Benutzung ist.
Status Hier gibt es die Einträge active und inactive und gibt an, ob eine IP für den Zugriff ins Internet freigeschalten ist. Sollte der Status inactive lauten erfährt man in der Spalte Blockstatus weitere Informationen.
Blockstatus free: IP-Adresse ist für Kommunikation mit dem Internet freigeschaltet
blocked (Inactive): Standard für nicht nicht freigeschaltete IPs
blocked (Virus): Die Rechner mit der IP ist auffällig geworden und die IP wurde gesperrt. Es wird eine Infizierung durch Trojaner, Viren usw. vermutet
blocked (Abuse): Der Rechner mit der IP hat gegen die Grundregeln der Nutzungsordnung des RRZK verstoßen und wurde gesperrt.
Typ Gibt Informationen über die Geräteart an
AD Wenn ein Rechner in eine Windowsdomänenstruktur (ActiveDirectory) eingebunden ist (Anmeldung z.B. über ad.uni-koeln.de) muss in diesem Feld ein Häkchen gesetzt sein. Wenn nicht, können die Namensinformationen für das Gerät vom UKLAN-Admin-Tool nicht abgerufen werden.

Die weiteren Felder (IP-Benutzer, Raumbezeichnung, Dosenbezeichnung) können zur Dokumentation genutzt werden, indem Benutzerdaten von den lokalen Institutsadmins eingepflegt werden.

Ansicht Netzdetails
Grundinformationen über das jeweilige Netz.

Netzwerk(CIDR)*: Netzwerkadresse mit Angabe der Netzgröße in CIDR-Notation.
Netzmaske: Angabge der Netzgröße. Alle Rechner in diesem Subnetz müssen genau diese Maske eingetragen haben, sonst kann es zu Problemen kommen.
Gateway: Gibt an, über welches Gerät der Rechner den Weg in das Uklan/Internet findet (Default-Gateway, unter MacOS auch "Router" genannt ).

VLAN-ID,VLAN-Name, sowie Interface-ID und Organisatorische Einheit sind nur für die interne Netzadministration dokumentiert.

Netzbeauftragter: In diesem Bereich sind die Netzbeauftragen aufgelistet. Nur wer hier eingetragen ist hat neben den Netzadministratoren aus dem Rechenzentrum Zugriff auf die Netzinformationen.

Ansicht Berechtigte
Hier können autorisierte Benutzer weitere Netzbeauftragte zu ihren erlaubten Netzwerken hinzufügen.

Ansicht ACL(Access Control List)
In diesem Bereich können Sie sich die aktuellen Firewallregeln für das jeweilige Netz anzeigen lassen. Die Regeln greifen nur, wenn Daten aus einem Subetz heraus gesendet werden (zum Beispiel ins Internet oder in ein anderes Subnetz) oder von außen jemand eine Verbindung in ein Subnetz aufbauen will. Bei Kommunikation innerhalb eines Subnetzes werden die Pakete nicht gefiltert, da die Verbindung nicht über den Router läuft. Läuft ein Paket durch die Firewall wird die ACL von oben nach unten durchgearbeitet. Die Regel, die als erstes auf das Paket zutrifft wird angewendet. Wird eine Aktion weiter oben verboten, ist es völlig egal, ob sie weiter unten erlaubt wird. Der erste Treffer bestimmt das Verhalten der Firewall.
 
ACLs sind grundlegend nach folgendem Schema aufgebaut:

access-list nnn [permit|deny] [Protokoll] Quelladresse (optional Quellport) Zieladresse (optional Zielport)

Die Zahl hinter "access-list" gibt die routerinterne Nummer der ACL an. Danach folgt, ob der Befehl eine Aktion erlauben oder verweigern soll. Bei Protokoll wird meistens "UDP" oder "TCP" angegeben. Sollen alle Protokolle freigegeben werden steht in diesem Bereich "IP". In speziellen Fällen kann hier auch nur eine Nummer stehen. Dies gibt dann die IP Protokollnummer an z.B. 50 für ESP (benötigt für VPN Verbindungen nach außerhalb der Universität). Die Quell/Zieladresse gibt an, woher die Pakete kommen nach denen gefiltert wird. Hier kann ein Rechner per IP Adresse angegeben sein (mit dem Befehl "Host" vor der Adresse) oder ein ganzer Netzbereich (Angabe der Netzadresse mit invertierter Subnetzmaske,dh. 255 - "normale Subnetzmaske" = invertierte Subnetzmaske). Wenn die Herkunft oder das Ziel egal sein soll gibt man "any" an. Der Quell/Zielport gibt an von welchem Port die Information kommen muss. Hier ist folgendes erlaubt: "eq" = nur der Port ; "gt" = größer als ; "lt" = kleiner als ; "neq" = alles außer

Beispiele für Quelladressen:
host 134.95.128.13 Nur der Rechner mit der IP 134.95.128.13
134.95.0.0   0.0.255.255 Alle Rechner deren IP-Adressen mit 134.95 beginnen (uniweite Freigabe)
134.95.82.0   0.0.1.255 Alle Rechner deren IP mit 134.95.82 und 134.95.83 beginnen (betrifft alle Rechner die per VPN eingewählt sind)
any Jeder Rechner (für weltweite Freigaben)
 
Eine List mit den am häufigsten verwendeten Zielports finden Sie in dem Wikipediaeintrag zum Thema Ports (Protokoll)

Die Firewallregeln sind in zwei Bereiche unterteilt:
Incoming ACL: 
Hier werden IPs für den Zugang aus dem Subnetz in das Uni-Netzwerk freigegeben. IP-Adressen mit dem Status "deny" können also keineVerbindungen in das Internet oder andere Subnetze der Universität aufbauen. Normalerweise sind zuerst  eine Reihe von IPs aufgeführt die gesperrt sind, danach folgt ein permit ip any any. Das bedeutet, alles was nicht explizit verboten ist wird erlaubt.
Beispieleinträge:
access-list 122 deny ip host 134.95.5.61 any Alle Daten des Rechners 134.95.5.61 werden verworfen (Rechner ist gesperrt)
access-list 122 permit ip any any Alle Verbindungen sind erlaubt

Outgoing ACL:
Hier werden Freigaben eingerichtet für Verbindungen von außerhalb in ein bestimmtes Subnetz. Grundsätzlich gilt in diesem Bereich: Was nicht explizit erlaubt ist wird verboten. Die meisten Subnetze sind so abgesichert, dass von außen niemand auf Rechner in einem Subnetz zugreifen kann. Daher müssen solche Dienste immer freigeschaltet werden.
Beispieleinträge:
access-list 121 permit tcp any host 134.95.5.3 eq 80 Hier ist der Zugriff auf die IP 134.95.5.3 mit dem Port 80 von überall erlaubt. Offensichtlich handelt es sich hier um einen weltweit zu erreichenden Webserver.
access-list 121 permit tcp 134.95.0.0 0.0.255.255 host 134.95.5.4 eq 80 Auch hier wird ein Webserver bereitgestellt, allerdings nur für das Uni-Netz. Benutzer aus dem Internet können diesen Server nicht erreichen.
access-list 132 permit tcp 134.95.82.0 0.0.1.255 134.95.49.13 eq 22 Hier wird der Zugriff aus dem VPN auf die IP 134.95.49.13 mit dem Port 22 erlaubt. Es handelt also um eine SSH -Freigabe aus dem VPN.
 
Include Dateien werden genutzt um sich wiederholende Freigaben zu setzen. So haben viele Netze die default oder default-sec Regeln implementiert. Diese Einstellungen regeln grundlegende Zugriffsmöglichkeiten für ein Netz. Mit einem Klick auf das Pluszeichen vor einer Include-Regel kann man sich die Freigaben der Include-Datei anzeigen lassen. Als weitere Include-Dateien gibt es u.a. afsclient (für die Nutzung von AFS in diesem Subnetz notwendig), citrix-ub (ermöglicht Zugriff auf die Recherchedienste der USTB), ad-rrzk (erlaubt Verbindungen zu den Windowsservern des Rechenzentrum),  ad-wiso (erlaubt Verbindungen zu den Windowsservern der WiSo-IT).
 

Probleme bei der Anmeldung

Authentifizierung fehlgeschlagen

Dieser Fehler tritt unter anderem auf wenn das Passwort nicht stimmt oder der Account abgelaufen ist. Eine weiterer Grund ist allerdings, dass die Systemzeit nicht genau genug läuft. Damit die Passwortauthentifizierung funktioniert muss die Systemzeit des Rechners relativ genau mit der des Authentifizierungsservers übereinstimmen. Daher empfielt es sich die Systemzeit mit einem unserer Zeitserver zu synchronisieren.

Konfigurieren Sie daher Ihren Rechner so, dass er die Zeit per NTP-Protokoll von time.rrz.uni-koeln.de bezieht

Unter Windows überprüfen Sie bitte ob unter der Systemsteuerung in den Datums und Uhrzeiteinstellungen unter dem Reiter "Internetzeit" "Automatisch mit einem Internetzeitserver synchronisieren" aktiviert ist. Tragen Sie in das Feld "Server" noch unseren Zeitserver "time.rrz.uni-koeln.de" ein.


Probleme bei der Aktualisierung auf eine neue Version
Sollte Sie nicht die aktuelle sondern ein ältere Version des UKLAN-Admin-Tools benutzen, löschen Sie bitte die lokale JNLP-Datei über die Sie das Programm bisher gestartet haben und laden das Programm anschließend über den Download auf dieser Seite wieder neu.

Java Cache
Aus Performancegründen wird die Anwendung im "Java Cache" zwischengespeichert und aktualisiert falls auf dem Server eine neuere Version vorliegt.
Sollte das UKLAN-Admin-Tool nicht starten, könnte dies an einer fehlerhaften oder unvollständigen Aktualisierung liegen. Starten Sie dann den Cacheviewer aus der Kommandozeile mit
"javaws -viewer"
und löschen Sie den Eintrag des UKLAN-Admin-Tool's.

Authentifizierung fehlgeschlagen


Anmerkung
Wir hoffen wir konnten Ihnen mit unserer Anleitung das UKLAN-Admin-Tool etwas näher bringen. Sollten Sie noch Fragen haben kontaktieren Sie uns bitte. Auch Anmerkungen, Kommentare, Berichtigungen zur Anleitung selbst sind gerne gesehen.

Ihre Abteilung Netze




Kommentar abgeben
Letzte Änderung: 02.10.2014
Michael Lönhardt.