Ich habe das System neu übergeben bekommen und daher noch nicht wirklich Ahnung davon, daher die Situation:
Wir haben Laptops auf denen Ubuntu läuft, angemeldet werden sie beim hochfahren automatsch auf einen „Laptop“ account. Sobald ich ins Internet will, kommt im Browser die Abfrage vom Proxy bezüglich Benutzername und Passwort wie in dem Bild zu sehen.
Das Problem ist, dass egal wie oft man die Daten eingibt, man immer wieder in die Anmeldung kommt ohne schlussendlich surfen zu können.
Da Ich davon ausgehe es hängt irgendwie an der Verbindung mit den Kerebos Anmeldedaten Habe Ich in der Firewall beim Proxy die Kerebos-Authentifizierung angeschaut und stelle fest, dass wohl immer einer dier Dienste eine Fehlermeldung auswirft,
1: DNS-Server: Wählen sie localhost nicht als DNS-Server aus
2: Hostname DNS-Lookup:
3: Hostname DNS Reverse-Lookup: Der Hostname konnte nicht auf eine IP aufgelöst werden. ; Der Hostname wird nicht in die Host-IP aufgelöst.
4: LDAP-Server DNS-Suche: LDAP Server DNS lookup error
5: LDAP-Server und DNS-Rückwärtsauflösung: Unbekannte LDAP-Server-IP
ist das Normal? Woran kann das Liegen, bzw. könnte das zur Lösung des eigentlichen Problems führen? Eigentlich soll es davor funktioniert haben. Daher wundere Ich mich besonders.
Danke im Voraus für die Hilfe!
Beste Grüße,
Alexander
Da Ich davon ausgehe es hängt irgendwie an der Verbindung mit den
Kerebos Anmeldedaten Habe Ich in der Firewall beim Proxy die
Kerebos-Authentifizierung angeschaut und stelle fest, dass wohl immer
einer dier Dienste eine Fehlermeldung auswirft,
1: DNS-Server: Wählen sie localhost nicht als DNS-Server aus
2: Hostname DNS-Lookup:
3: Hostname DNS Reverse-Lookup: Der Hostname konnte nicht auf eine IP
aufgelöst werden. ; Der Hostname wird nicht in die Host-IP aufgelöst.
4: LDAP-Server DNS-Suche: LDAP Server DNS lookup error
5: LDAP-Server und DNS-Rückwärtsauflösung: Unbekannte LDAP-Server-IP
ist das Normal? Woran kann das Liegen, bzw. könnte das zur Lösung des
eigentlichen Problems führen? Eigentlich soll es davor funktioniert
haben. Daher wundere Ich mich besonders.
… ein komplexes System.
Ist der, der dir das übergeben hat, nicht mehr greifbar?
Vielleicht könnte er einfach sagen, woran es liegt.
Ich versuche mal aufzudröseln:
Am Einfachsten wäre es, wenn folgendes Problem vorliegen würde: Server,
Firewall und Client sind sich nicht einig über die korrekte Uhrzeit (±1
Minute, wohl gemerkt).
Das kontrollierst du zuerst.
Wenn es da Abweichungen gibt, dann behebe diese und hoffe, dass es dann
weg ist
Wenn es das nicht ist, dann erzähl und mehr zu deinem Netz:
Serverversion?
cat /etc/issue
Habt ihr nur ubuntu Clients? Geht es an allen nicht?
Ist der Rechner per WLAN verbunden oder per Kabel?
Weche IP hat der Client? Welche sollte er haben nach der
/etc/linuxmuster/sophomorix/default-school/devices.csv (kann man auch in
der WebUI als global-admin unter „Geräte“ nachschauen).
Hat der Client den Namen den er laut der Liste haben sollte?
Hat man sich den mit einem Domänennutzer am Rechner angemeldet? (Schüler
oder Lehrer) oder war es der global-admin oder der lokale Admin? (beide
können, wenn proxyauth erzwungen ist, nicht surfen, mit genau der
Meldung die du hier zeigst).
Hallo,
das kommt bei uns immer, wenn das Internet für den angemeldeten Nutzer nicht freigegeben ist oder der Rechner noch nicht in der devices.csv steht (ich glaube aber, dann könnte man sich gar nicht anmelden).
Ich glaube, bei mir hat die Authentifizierung am Proxy noch nie funktioniert, ich wollte das mal für die Ipads so regeln, damit ich weiß, wer im Netz ist, aber das hatte das gleiche Resultat wie bei Dir, es poppte immer wieder auf.
Wenn die Rechner immer ins Netz sollen, nimm sie in der OPNSense in die NoProxy-Gruppe (da ihr nicht anmeldet, scheint das so zu sein?)
Wenn ich ganz falsch liege, bin ich an der Lösung mindestens genauso interessiert wegen der iPads, ich glaube aber, dann köntnen die SuS ja die Internetsperre aushebeln, oder?
das Kerberos-Ticket, welches den SSO am Proxy vornimmt, wird auch nur dann generiert, wenn sich der Benutzer an der Domäne anmeldet. Bei Geräten, die sich nicht in der Domäne befinden (iPADs), oder bei lokaler Benutzeranmeldung klappt das nicht, da hier kein Kerberos-Ticket durch den Domain-Controller generiert wird.
kurz gefasst: Geräte, die sich nicht in der Domäne befinden, kommen am Proxy nicht vorbei, wenn Kerberos die einzige Authentisierungsmethode ist, bzw. LDAP-Auth nicht als Failover konfiguriert wurde. Gleiches gilt bei lokaler Benutzeranmeldung bei Geräte, die sich in der Domäne befinden.
Befindet sich das Gerät in der Domäne und man kann sich erfolgreich an der Domäne anmelden, wird das Kerberos-Ticket generiert. Wenn Uhrzeit etc. auf dem Client nicht stimmt, scheitert im Normalfall schon die Domänenanmeldung.
Thomas hat das ja schon ganz gut erklärt.
Ich will nur noch ein wenig klarstellen.
Max sagt: einfach in die noProxy Gruppe aufnehmen: nein, das reicht
nicht: man darf dann am Cleint den Proxy auch nicht eintragen.
Die Geräte gehen dann am Proxy vorbei: Internetsperre, Filter: alles ist
dann sinnlos.
Das ist also keine wirkliche Lösung.
Ich sehe ein, dass das Einrichten einmal Aufwand ist und dass man danach
das Problem hat, dass der lokale Admin und auch der global-admin danach
nicht mehr von den Rechnern aus ins Internet kommt.
Stimmt aber die Systemzeit am Client, dann läuft das ganze zuverlässig
im Hintergrund.
Und das mit der Systemzeit möchte ich extra nochmal hervorheben: sie muß
mit dem Netz synchronisiert sein, man muss Windows beibringen, dass es
die RTC in UTC erwartet und nicht in localtime, sonst stimmt die
Systemzeit mal gerne die ersten Minuten nach dem booten eben nicht (um 2
Stunden!).
Nachdem ich Windows das RTC Verhalten abgewöhnt hatte und linux den
timesync korrekt eingestellt hatte, läuft das ganze zuverlässig und
schmerzfrei im Hintergrund.
Und nochmal: geht das alles, dann kommen Leute, die sich an der Domäne
anmelden, mit dem bei der Anmeldung erhaltenen kerberosticket am Proxy
vorbei ins Internet.
Der Proxy muß im System und in der Anwendung eingetragen sein.
Es gibt Software, die ist zu doof den Systemproxy zu verwenden und es
gibt Software, bei der kann man einen Proxy eintragen: er wird aber
nicht benutzt … die kann man dann halt nicht verwenden.
naja, er schrieb, dass „automatisch“ mit einem „Laptop“ Account angemeldet wird. Da sperrst Du dann auch kein Internet mehr, weil keine Domänenanmeldung vorgenommen wird.
Ich muss bei meinen Rechnern (wenn ich das zum Testen mal machen muss) aber nicht den Proxy rausnehmen, um als „noProxy“-Mitglied ins Netz zu kommen. Stimmt, ist iwie nicht logisch, hat aber (bisher) funktioniert.
LG
Max
