Gastbenutzer nur ins Gäste-WLAN?

[factorx]

Hallo zusammen,

ich habe zu Hause auf meiner Fritzbox das Gäste-WLAN aktiviert, funktioniert auch soweit super. Im macOS habe ich außerdem den Gastbenutzer aktiviert, damit Gäste sich anmelden können und mit Safari im Web surfen können. Allerdings wählt sich der Mac nach dem Boot im Gast-Modus immer automatisch in meinem Heimnetz-WLAN an. Das ist blöd, denn dann hat er auch Zugriff auf mein NAS, etc...

Ist es irgendwie möglich, es so einzurichten, dass der Gastbenutzer sich automatisch nur mit dem Gäste-WLAN verbindet und nix anderem?

Danke euch für mögliche Lösungsideen...

Beste Grüße

 

[MacAlzenau]

Hat dein NAS keine Rechteverwaltung?

 

[_macminimal]

Meine Antwort ist eher experimentell, aber versuch doch mal deine Heim-WLAN-Konfiguration unter dem Gastbenutzer komplett zu entfernen, dann sollte er ja da nicht mehr reinkommen und die Zugangsdaten hat der Gast nicht. Hat so ein Gastbenutzer Rechte die WLAN-Einstellungen zu ändern? Theoretisch reicht dann ja eine Anmeldung und der „First“ Login ins Gäste-Netz aus. Danach müsste er sich doch direkt damit verbinden. Aber leider kA ob das geht.

Das NAS zu „schützen“ ist mE jedenfalls nicht „die Lösung“, zumal es neben einem NAS noch etliche weitere Device beträfe...

 

[neo70]

WLAN Zugang und Zugang zum Netzlaufwerken sind das nicht zwei Paar Stiefel? Das eine hat doch mit dem anderen recht wenig zu tun?
Konfiguriere doch einfach Dein NAS mit Benutzerrechten und gut ist es.

 

[trexx]

WLAN Zugang und Zugang zum Netzlaufwerken sind das nicht zwei Paar Stiefel? Das eine hat doch mit dem anderen recht wenig zu tun?
Konfiguriere doch einfach Dein NAS mit Benutzerrechten und gut ist es.

Theoretisch ginge es ja, sich ein Single-sign-on selber zu basteln, das aber aufwändig und erfordert einige Kenntnisse. Lohnt sich daher vermutlich nicht.

 

[Wuchtbrumme]

Grundsätzlich sollte das Netz und Zugang zu Netzwerkfreigaben unabhängig voneinander sein. Falls Du noch keine passwortgeschützten Zugänge benutzt, dann solltest Du das möglichst bald einrichten. Ich vermute aber, dass Du einfach die Passwörter hast speichern lassen. Anyway, WLAN ist eine Systemeinstellung und einmal bereits verbundene Laufwerke können am Mac standardmässig von allen angemeldeten Nutzern benutzt werden. Zweckmässig für Dein Ziel wäre also: Einrichtung von Passwörtern bei der Freigabe und vor jedem Login eines Gastnutzers ein Reboot.

 

[_macminimal]

Mag sein das ich hier was falsch verstehe, aber das Problem ist nicht das Zugriff auf irgendein NAS or whatever bestünde. Es geht grundsätzlich um (die Einwahl) in ein bestehendes Gast-WLAN, BTW. die wohl sauberste Trennung bzw. Management aller nachgeordneten Dinge zw. Privat und Gast.

 

[Wuchtbrumme]

ich habe das beiläufig mit dem Verweis darauf, dass es eine Systemeinstellung ist, beantwortet. Kurzum, es geht (eigentlich) nicht. Du musst beide SSIDs dem System bekanntmachen und kannst dann auch eine Reihenfolge vorgeben. Du brauchst also mindestens noch einen Automatismus, jeweils das andere WLAN zu verwenden. Dazu könnte man ControlPlane verwenden, das Du einfach für Dich als Nutzer laufen lässt und eine Regel hinterlegst, für Dich am Standort sowieso bitteschön nur das normale WLAN verwenden.

 

[_macminimal]

Kann die Reihenfolge je Benutzer festgelegt werden? Und: Wenn unter dem Gast-Account nie eine Anmeldung am Privat-WLAN erfolgte, dann sollten doch auch keine Login-Daten dazu für den Gast verfügbar sein?

 

[Wuchtbrumme]

nochmal: das ist eine Systemeinstellung. Schau mal hier und den dort rnthaltenen Links nach: https://apple.stackexchange.com/que...i-network-access-per-user-with-user-switching

 

[MacAlzenau]

Mag sein das ich hier was falsch verstehe, aber das Problem ist nicht das Zugriff auf irgendein NAS or whatever bestünde. Es geht grundsätzlich um (die Einwahl) in ein bestehendes Gast-WLAN, BTW. die wohl sauberste Trennung bzw. Management aller nachgeordneten Dinge zw. Privat und Gast.

Sehe ich nicht so. Der TE verfolgt zwar diesen Ansatz, eine konsequente Umsetzung des UNIX-Rechtesystems wäre aber die systemkonforme und auch elegantere Lösung.
Seh ich jedenfalls so.

 

[double_d]

Der Gastbenutzer speichert doch eigentlich keine Einstellungen und Sitzungen. Nach jeder Abmeldung geht's doch bei Null wieder los, oder sehe ich das falsch? Aber selbst wenn, was natürlich sinnvoll ist, ein WLAN-Passwort gespeichert wird, ist es doch so, dass nur bekannte Netzwerke automatisch verbunden werden.
Ich habe ein Gästenetzwerk, ein 2,4GHz Netz und ein 5GHz Netz an der Fritzbox aktiv.
Unabhängig vom Gastuser unter macOS verbinden sich meine Geräte nur mit dem Netz, welches ich bekannt gemacht habe. Also die SSID (bei mir unterscheiden sich 5GHz und 2,4GHz auch in der SSID), welche ich ausgewählt habe und das entsprechende Kennwort.

Wenn ich das jetzt richtig verstehe, werden Benutzer am Mac (inkl. dem Gastuser) dann auch automatisch mit den in den anderen Benutzern hinterlegten Netzwerken verbunden, weil die WLAN-Verbindung nicht benutzerabhängig, sondern geräteabhängig ist?

 

[Wuchtbrumme]

ja

 

[double_d]

ja

Das ist ja in der Tat für gerade den Gastbenutzer ziemlich doof.
Wie greift der denn auf den Schlüsselbund zu um bekannte Netzwerke automatisch zu verbinden. Ist jetzt tatsächlich eine ernstgemeinte Frage, weil ich den Gastbenutzer noch nie wirklich genutzt habe.

Insgesamt wäre es aber doch logisch, die Wifi Netzwerkverwaltung an einen Benutzer zu koppeln, oder denke ich da nicht weit genug?
Zumindest der Gastbenutzer muss doch bei LAN-Verbindungen schon mal eingeschränkten Zugriff auf das Netzwerk haben und bei WLAN muss man doch auch bestimmte ausblenden, bzw. nur gewollte Netze verbinden können.
Ist das tatsächlich seitens macOS völlig ohne Beachtung? Also Gastbenutzer = WLAN und LAN in voller Ausprägung?

 

[Mitglied 105235]

Der Gastbenutzer speichert doch eigentlich keine Einstellungen und Sitzungen. Nach jeder Abmeldung geht's doch bei Null wieder los, oder sehe ich das falsch?

Ich hab nun einfach mal meinen Gastbenutzer aktiviert, sowie ich mich auf diesen eingeloggt habe. War ich sofort in meinen WLAN unter den WLAN Einstellungen, habe ich auch gesehen, das dort alle WLANs in denen ich schon mal angemeldet war hinterlegt waren.

Entsprechend hat man mit einfachen Mittelen sicherlich keine Chance das sich der Gastbenutzer nur in das Gast WLAN einloggt.

 

[double_d]

Entsprechend hat man mit einfachen Mittelen sicherlich keine Chance das sich der Gastbenutzer nur in das Gast WLAN einloggt.

Das hab ich ja gar nicht bezweifelt, sondern aus Mangel an Kenntnis, jetzt erst bemängelt.

Wenn man einen Router hat, der ein Gastnetzwerk aufspannen kann, welches dann eine andere IP als Grundlage hat, dann wäre es doch auch nur konsequent, wenn man bei einem Rechner, der einen Gastbenutzer zulässt, entweder "nur" dieses Gästenetzwerk verbinden, oder aber mit systemeigenen Einstellungen verhindern kann, dass das gesamte Heimnetz dem Gast zur Verfügung steht.
Ich denke dabei gar nicht an NAS-Freigaben, die man eh mit einer separaten Benutzerverwaltung absichern sollte, sondern an Netzwerkgeräte, die ihre Dienste per se ohne Anmeldung zur Verfügung stellen. Bei mir fallen mir da spontan meine TV-Receiver ein, die ihren Content durch ein Webinterface verbreiten und bei denen man dann auch Timer setzen könnte.
Gibt da bestimmt noch mehr Anwendungen, die im Heimnetz ohne separate Anmeldung möglich sind, wenn man auf die IPs anderer Geräte zugreifen kann.

Ich hab nun einfach mal meinen Gastbenutzer aktiviert, sowie ich mich auf diesen eingeloggt habe. War ich sofort in meinen WLAN unter den WLAN Einstellungen, habe ich auch gesehen, das dort alle WLANs in denen ich schon mal angemeldet war hinterlegt waren.

Ich habe wie gesagt, den Gastbenutzer noch nicht benutzt, bin mir aber so gut wie sicher (wobei das nichts heißt ), dass ich bei der Einrichtung neuer Benutzer, zumindest nach der Installation von macOS, während der ich auch den WLAN-Schlüssel bereits eingegeben habe, nach dem ersten Start mit dem Benutzer dann die WLAN-Verbindung erneut eingeben musste.

Daher ja meine Frage nach dem Schlüsselbund und inwieweit der Gastbenutzer oder jeder andere Benutzer darauf Rechte erhält. Die WLAN-Passwörter sind doch in den jeweiligen Schlüsselbunden gespeichert, oder nicht?

Mal ein ganz dämliches Szenario, welches man so nicht machen sollte, aber was sich sicher auch so abspielen kann. Ich will meinen Mac verkaufen, richte ihn aber nicht neu ein, sondern erstelle nur einen neuen Benutzer ohne diesen wirklich zu benutzen (also ohne iCloud, AppleID, etc.) und lösche darüber meinen alten Benutzer mit allen Inhalten und Einstellungen.
Dann hat der neue Benutzer alle WLAN-Passwörter parat, in denen ich jemals eingeloggt war? Alle persönlichen Hotspots, alle Netzwerke von Bekannten und Verwandten, bei denen ich im Netz war?

 

[Wuchtbrumme]

Das bemängelt man doch nur, weil man den grossen Vorteil nicht sieht. Der Gastbenutzer ist halt kein Konzept für eine sichere IT-Infrastruktur, sondern ein Gastbenutzer für genau das System. Hat übrigens schon mal jemand die Links gelesen, die ich gepostet hatte?

 

[double_d]

Hat übrigens schon mal jemand die Links gelesen, die ich gepostet hatte?

Leider nein. Da komme ich wegen der hier gerade vorherrschenden IT-Sicherheitsstruktur nicht vom Arbeitsrechner drauf. (wie passend)

Das bemängelt man doch nur, weil man den grossen Vorteil nicht sieht.

Richtig bemängeln kann man das ja nicht nennen. Ich hab mich halt vorher nie mit dem Gastbenutzer beschäftigt und man kommt ja erst auf solche "potentiellen" Möglichkeiten in der Überlegung, wenn man dann damit konfrontiert wird. So nach dem Motto: Schön wärs, wenns ginge.

Das ist so wie bei diesen kleinen Kinder-Fahrzeugen, die auf dem Rummel immer im Kreis fahren. Da fällt das lange nicht auf, dass die nur nach links lenken können. Erst wenn man das Fahrzeug außerhalb der Strecke benutzten würde, fände man es doch vorteilhaft, wenn man auch nach rechts lenken könnte. Da es aber dafür gar nicht gebaut, geschaffen und es nicht notwendig in seiner eigentlichen Umgebung ist, blendet man dann aus.

 

[Wuchtbrumme]

die ganze IT und eigentlich auch sonst alles andere vernünftige basiert aber auf Annahmen - und besonders gut, wenn die Annahmen auch vernünftig sind. Hätte Apple einen Schalter für "vollständige Systemsicherheit und Abschottung des Netzwerks" (geile Idee) schaffen wollen, würde das so ziemlich in die Grütze gegangen sein. Es ist halt immer eine Frage, was man wie definiert und wie man etwas versteht.