Hoi zusammen

Vielleicht etwas banal, aber kann ich bei OSX für Gastbenutzer definieren, dass sich diese nur mit dem Gast-WLAN verbinden können?

Ich möchte bei uns im Atelier einen Mac aufstellen, auf dem ich mit einem persönlichen Login arbeiten kann und externe bei Bedarf ebenfalls auf dem Mac arbeiten können. Die externen sollen aber nicht in unser Hauptnetzwerk gelangen, sondern nur ins Gäste WLAN.

Geht das?

Hallo,

ich habe das gerade spontan ausprobiert und war überrascht. Das letzte mal als ich den Gast zugang ausprobiert habe war glaube ich unter 10.4, also Tiger.

Damals war es ein "normaler" Zugang. Und deshalb dachte ich - mach es doch einfach und gib das Passwort des Gast-Wlans ein.

Aber tatsächlich - der Gast Zugang ist nur noch aufs Surfen ausgelegt und hatte bei mir automatisch das W-Lan vom Hauptbenutzer. Also arbeiten kann man als "Gast" gar nicht.

Wäre ein Workaround möglich einen 2. Benutzer ohne Rechte anzulegen?! Aber auch gleichzeitig ohne Passwort

Ah cool, danke fürs Testen! Soweit bin ich noch nicht gekommen. Dachte einfach, ich frage mal frech in die Runde ob das schon jemand gemacht hat.

Weisst du zufälligerweise ob ein Zusätzlicher User, nennen wir ihn "Gast", einen anderen WLAN Zugang haben kann als der Hauptnutzer? Oder wird in MacOS immer das WLAN Passwort über alle User hinweg geteilt?

Nein. Das WLAN muss man sich als Ersatz für ein Netzwerkkabel vorstellen, das im Computer eingesteckt ist. Diese Netzanbindung besteht für alle Programme und alle Benutzer, ohne dass auf dieser Ebene nach solchen Kriterien unterschieden wird. Es wäre zwar machbar, dass beim Anmelden eines Benutzers etwas ausgelöst wird, das die Netzumgebung, inklusive WLAN-Anbindung umstellt, aber gerade der Gastbenutzer soll ja solche tiefgreifenden Konfigurationsänderungen nicht vornehmen dürfen.

Es ist auch unklar, was "ins Netzwerk gelangen" konkret bedeuten soll. Server-Funktionen im Netz sollten ja bereits durch Authentifizierung auf Seite der jeweiligen Server geschützt sein.

Marcel Bresink

Danke für die Erklärung.

Klar sind meine Server mit Benutzerzugängen gesperrt. Sie bleiben aber sichtbar im Netz. Gleiches gilt für die Drucker, auf welche Gastnutzer keinen Zugriff haben sollen. Zumal die Drucker auch in einem anderen Raum stehen, wo Gastnutzer garnicht hinkommen.

Mir gehts primär ums Prinzip „sicher ist sicher“. Wenn ich den Zugriff auf das lokale WLAN komplett sperre und ein Gastnutzer auch nur das Gast-WLAN mit Internet bekommt, wäre mir wohler.

Aber vielleicht lässt sich das ja mit einem regulärem Account (ohne Admin rechte) lösen, welcher eine andere Netzwerkumgebung konfiguriert hat. Ohne Adminrechte, kann man ja in den Systemeinstellung die Netzwerkumgebung nicht ändern. 🤔

Gastnutzer sollen grundsätzlich auch die Möglichkeit haben Software zu nutzen. Aber, ich möchte sie komplett aus dem Hauptnetzwerk aussperren. Ich selber werde den Rechner aber auch nutzen und werde dafür den Zugang zum Netzwerk aber benötigen.

Alternativ auch möglich, wäre ja eine Sperre aller Netzwerkdienste ausser Internet nach Aussen. Liesse sich dies am Mac realisieren?

So gerade getestet. In OSX eine 2. Netzwerkumgebung eingerichtet, welche sich automatisch ins Gast-WLAN einwählt. Test User erstellt und diesem Testuser die Netzwerkumgebung "Gast-WLAN" zugewiesen.

Ohne Admin Account kann der User dies nicht ändern und mein Start des Mac, verbindet sich dieser automatisch mit dem Gast-WLAN anstatt mit dem Haupt-WLAN.

Dann muss ich meinen Gästen nur noch beibringen, keine Daten auf dem Mac zu speichern. 🙈

mega! Danke für den Tipp !

Leider etwas zu früh gefreut. Nach dem Restart und Login in meinen eigenen Account, lief dieser ebenfalls in der „Gast-Netzwerk“ umgebung.

Muss wohl noch etwas tüfeln wie ich das Accountbezogen lösen kann..

Ich kann es gerade nicht ausprobieren, aber: mit einem einfachen Automator-Skript als Startobjekt sollte sich das doch lösen lassen, oder?

Es wird nicht gehen.

Marcel hat vollkommen recht: Das ist eine globale Systemeinstellung. Und das ist auch gut so.

Stell Dir vor, Du bist per ssh oder mit einer zweiten Session im Finder auf den Rechner angemeldet und machst irgendwas im Hintergrund. Und dann loggt sich ein Gast ein und zieht Dir die Netzwerkverbindung unterm Hintern weg.

Das könnte klappen. Wenn jedem Benutzer bei der Anmeldung per Script ein WLAN und ggf. eine Umgebung zugewiesen wird, wird halt umgeschaltet.

Interessantes Problem ...

Ich bin hier zwar nicht der Profi, aber gestattet mir einen Gedanken hierzu:
Man kann doch an einer Fritzbox einen zusätzlichen Wlan-Gastzugang einrichten (sofern man eine Fritzbox hat) und
am Mac einen neuen Benutzerzugang ohne Rechte.
Wäre das nicht eine Alternative?

Von früher her kenn ich noch die Software „Sidekick“ (ehem. „NetworkLocation“) von Oomph, die konnte nach vielen Kriterien die Netzwerkkonfiguration ändern

http://oomphalot.com/

Die Seite scheint schon älter zu sein, aber es kann ja nicht schaden, die Entwickler anzuschreiben, ob das Programm noch gepflegt wird.

Nein, genau diese beiden Dinge sind doch vorhanden und Voraussetzung für die Frage, die hier gestellt wurde.

Im allgemeinen Fall funktioniert das nicht. Es könnten sich ja beide Benutzer gleichzeitig anmelden. Einer wird dann aus dem Netz geworfen.

Nochmal: Von der ganzen Architektur her ist die Netzverbindung eines Computers grundsätzlich nicht an Benutzer gebunden. Alle Benutzer eines Computers verwenden immer die gleiche Anbindung.

Das wiederum ist kein Problem, denn der Gast-Account ist ja dazu da, alles was dieser Benutzer macht, vollautomatisch wieder zu löschen, wenn er sich abmeldet.

Marcel hat schon recht, soweit es zwei Benutzer betrifft, die beide gleichzeitig auf dem Computer angemeldet sind. Wechselt man den Benutzer allerdings bei jedem Start, dann könnte man dem jeweiligen Benutzer (allerdings nicht dem systemeigenen Gastbenutzer, denn der hat ja kein eigenes Benutzerverzeichnis) als Anmeldeobjekt ein im Skripteditor ausführbar gemachtes Skript zuordnen, dass in der Art ' do shell script "networksetup -setairportnetwork en0 WLAN_name WLAN_passwort" ' funktioniert. Achtung bei Sonderzeichen im WLAN_passwort, die interpretiert das Terminal u.U. anders

Das meine ich ja genau mit der Antwort davor - es geht, aber der Effekt ist der von Dir auch nochmal beschriebene. Der letzte, der sich anmeldet, gewinnt. Nicht unbedingt eine Lösung, die ich wählen würde.

Solange sich aber immer nur einer gleichzeitig anmeldet, geht das vermutlich gut.

Ach schade aber auch.. mag ja sicher kein Alltagsproblem sein, aber ich fänds trotzdem nice würde das irgendwie gehen mit dem Umschalten.

Dann werde ich das ganze mal mit einem Gastbenutzer aufsetzen und schauen wie sich das im Alltag verhält.

Für den Hauptbenutzer muss es zur Angewohnheit werden, nach jeder Sitzung seine bevorzugte SSID aus der Liste der bevorzugten WLAN-Netzwerke zu löschen. Dann kann sich der Gast ohne Kenntnis des anderen Passworts nur mit dem Gästenetzwerk verbinden. Und der Mac wird das von selbst tun, solange die SSID als einzige noch in der Liste der bevorzugten Netzwerke aufgeführt ist. Das Passwort wird nur verlangt, wenn die Gäste-SSID ebenfalls aus der Liste entfernt worden ist.

Die Netzwerk-Einstellung "Umgebung" ist halt für das Konfigurieren der Zugänge auf Protokollebene 2 vorgesehen. Da sich unter Umständen mehrere Benutzer die Ressourcen teilen, ist eine benutzerspezifische Zuordnung dieser Ressourcen nicht vorgesehen.

Das regelmäßige Entfernen von Einträgen aus der Liste der bevorzugten Netzwerke ist nicht notwendig, wenn man die Netzwerkeinstellungen wie unten ausgeführt konfiguriert. Einerseits wird nun nach einem Neustart von selbst das Gästenetzwerk ausgewählt, und andererseits ist es nun nicht notwendig, nach jedem Neustart die Zugangsdaten für andere als das Gästenetzwerk einzugeben. Allerdings muss nun ein Benutzer, der nicht auf einem Administrator-Account arbeitet, nach einem Neustart Name und Kennwort eines solchen Accounts angeben, um ein anderes als das beim Neustart automatisch ausgewählte Gästenetzwerk zu wählen.
Und falls der Wechsel zum Gastbenutzer ohne Neustart durch einen Log-Out eingeleitet wird, muss der bisherige Benutzer vorab das Gästenetzwerk auswählen.

Fazit: Falls jeder andere Benutzer außer dem Gastbenutzer auf einem Administrator-Account arbeitet, dann ist das hier beschriebene Modell das bequemere der beiden.


Die Details:
Öffne die Einstellung „Netzwerk“ und wähle links „WLAN“ in der Liste der Netzwerktechniken.

Setze auf der Seite „Weitere Optionen …“ das für den Gastbenutzer vorgesehene Netzwerk auf Platz 1 der bevorzugten Netzwerke und lasse dort die Checkbox „Autom. verbinden“ gesetzt. So ist sichergestellt, dass dieses Netzwerk nach einem Neustart bevorzugt ausgewählt wird, sofern verfügbar.

Zurück auf der Startseite der WLAN-Einstellungen wähle eine Umgebung, bei der die Checkbox „Administratorautorisierung erforderlich für Netzwerkwechsel“ ( „Require administrator authorisation to Change networks“ ) gesetzt ist, oder setze diese Checkbox vorbeugend bei allen Umgebungen. Unter dem Einfluss dieser Checkbox kann kein Benutzer, der nicht auf einem Administrator-Account arbeitet, ohne Weiteres ein anderes Netzwerk auswählen. Übrigens: Die vorhin bearbeitete Liste der bevorzugten Netzwerke wird auf alle Umgebungen angewendet.

Falls allerdings der Rechner an den Gastbenutzer durch „Log Out“ übergeben werden soll, ist vorher das für ihn vorgesehene Netzwerk händisch auszuwählen. Zu der automatischen Auswahl des ersten Eintrags aus der Liste der bevorzugten Netzwerke kommt es dann nämlich nicht.

Falls bei einem Neustart das Gästenetzwerk nicht verfügbar ist, wird sich der Computer mit einem jener anderen „bevorzugten“ Netzwerke verbinden, bei denen die Checkbox “Autom. verbinden” gesetzt ist.

Deichkind

👏🏼🙏

Das löst meine Frage absolut!! Danke dir. 👍🏻