Hallo Mathias,
FYI, es wird demnächst ein neues Paket geben, das eine Vorgehensweise mitbringt, die näher am Original liegt (sssd.conf, smb.conf, Domainjoin mit realm statt net ads).
VG, Thomas
1 „Gefällt mir“
Hallo Thomas,
Das hört sich gut an. Der Client ist zwar fast fertig, aber das neue Paket macht es wahrscheinlich leichter, das Debian13-Client-Image weiter zu geben. Ich freue mich schon auf dein neues Paket.
Vielen Dank und viele Grüße
Mathias
Hallo Thomas,
wenn du ein neues Paket schnürst…
Ich habe bisher in /usr/lib/python3/dist-packages/linuxmusterLinuxclient7/user.py die Zeile 151 in shareName = f"{usernameString}" geändert.
So verschwindet der Laufwerkbuchstabe auch vom Home-Share des Benutzers.
Wenn du das auch für sinnvoll hälst, wäre das eine gute Änderung.
Viele Grüße
Mathias
Hallo @thomas,
bitte aber unbedingt erst in testing veröffentlichen und nicht direkt in stable. Viele benutzen auch Ubuntu, Linux Mint, und noch ganz andere Derivate von Ubuntu und Debian da gibt es diese Probleme offensichtlich bisher nicht!
Nicht, das dieses neue Paket dann funktionierende Clients aus der Domäne kickt.
Ich denke, bei so einer doch recht umfangreichen Änderung müsste das imho erst mal ausgiebig in verschiedenen Umgebungen getestet werden.
LG
Dominik
Hallo Thomas,
ich schildere einfach mal meine Beobachtungen. Falls es dir bei der Erstellung des neuen Paktes hilft freut’s mich. Falls nicht, einfach ignorieren…
Der Client war fertig, alles lief. Das Image auf einem anderen Client lief!!! 
Als ich den ürsprünglichen Client auch gesynct habe waren die Shares wieder weg. Beim Anmelden über die Konsole erhalte ich das:
root@server:~# ssh rettich@lz-r98
rettich@lz-r98's password:
Creating directory '/home/rettich'.
Linux lz-r98 6.12.48+deb13-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.48-1 (2025-09-20) x86_64
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
[INFO] ====== onLogin started ======
id: Es kann kein Name zur Gruppen‐ID 1075804800 gefunden werden
[WARNING] Exception when querying groups of user LZ-R98$, it probaply does not exist
[INFO] ==== This Client is not joined to any domain, exiting ====
[INFO] ======> onLogin end ====
Benutze ich einen Snapshot (also kein Image vom Server), der noch funktioniert hat, sieht das Ergebnis gleich aus. 
Viele Grüß
Mathias
Moin!
Ist irgendwas Auffälliges in /var/log/auth.log zu sehen?
VG, Thomas
Hallo Thomas,
die Datei /var/log/auth.log gibt’s leider nicht. Ich habe aber alle Dateine des Verzeichnisses /var/log/ und die Unterverzeichnisse in /var/log/ gelöscht, den Rechner neu gestartet.
10:55 habe ich den Rechner neu gestartet
11:00 habe ich mich als rettich angemeldet.
Die logs habe ich dir hier gezippt. Vielleicht hilfts…
logs.zip (1,2 MB)
VG
Mathias
Hallo Mathias!
Es ist wieder Groundhog Day!
Das ist merkwürdig.
Kann man sich nach dem Aufruf (als root) von
adcli update -D LINUXMUSTER.LAN -S server.linuxmuster.lan
(Namen ggf. anpassen) wieder anmelden?
VG, Thomas
Hallo Thomas,
Leider nein…
VG
Mathias
Hallo Thomas,
falls es hilft, habe ich hier einen Link zu meinem Linbo-Image des Debian13-Clients.
Es sind, alles zusammen, 7,4 GB. Und da unsere Internetanbindung nicht die Schnellste ist, dauert der Download ca. 25-30 Minuten.
Ach ja, der Client wird beim hochfahren versuchen einen NFS-Share für Hintergrundbilder einzubinden. Da er den aber nicht findet, wird der Systemstart ein Bisschen dauern.
VG
Mathias
Danke, nicht nötig. Ich habe einen Debian 13 Client mit dem Standard Gnome-ISO aufgesetzt. Mit dem teste ich auch.
Alles klar… ich lösche die Freigabe wieder …
Hallo zusammen,
sorry, dass ich so lange geschwiegen habe. Leider war ich mit anderen Aufgaben völlig unter Wasser. - Ist es sinnvoll, dass ich mein Debian-13-Image, das schon sehr weit gediehen war, wieder ausgrabe und die hier Versuche in diesem Thread nachvollziehe? Oder warte ich besser auf ein neues Paket (im Testing-Branch)?
Viele Grüße
Matthias
Hallo Matthias,
Naja, mein auf Debian13 upgegradeter Debian12-Client läuft auf zwei virtuellen Maschinen im Schulnetz. Als ich versucht habe das Image auf eine virtuelle lmn73-Umgebung auf meinem Laptop zu kopieren, haben die Probleme wieder angefangen.
Vielleicht lags daran, dass ich beim Upgrade linuxmuster-linuxclient7 setup nicht aufrufen musste. Das habe ich ja beim Upgrade von Debian12-Client übernommen.
Ich warte auf das neue Paket und teste dann wieder ausgibig 
Viele Grüße
Mathias
Moin,
das Problem stellt sich doch komplexer dar als anfangs gedacht. Ich habe schließlich Claude AI zu Hilfe genommen, da mit konventioneller Recherche dem nicht beizukommen war (zumindest für mich).
Das entsprechende Ticket ist hier.
Zusätzlich zu den im Clientpaket nötigen Anpassungen, muss LINBO seitig auch noch was passieren.
Später dazu mehr. Jetzt muss ich erstmal mein Moped für den Winter einmotten.
VG, Thomas
Moin!
Das, was hier mit Debian 13 geschieht muss man im Zusammenhang mit Zero Trust sehen. Hier sehen wir die Zukunft. Es gibt keine sicheren Netzwerke, Absicherung von Zugriffen wird immer wichtiger. In Debian 13 ist in dem Zusammenhang die Authentifizierung von Clients gegenüber eines Active Directory von NTLM auf Kerberos umgestellt worden, was einen Rattenschwanz von Konfigurations- und Prozessänderungen nach sich zieht. Das nächste Ubuntu LTS-Release wird IMO das sicher auch so machen. TBC
VG, Thomas
Moin!
Das MS-Patch RDP und Netzwerk Authentifizierung mit gleicher SID hängt auch damit zusammen.
Fürs erste können wir für das aktuelle Debian13-Problem noch mit Workarounds darauf reagieren, mittelfristig werden wir unser Clienthandling (für Win- und Linuxclients) dahingehend ändern müssen, dass die Clients vor der Image-Erstellung domänenmäßig zurückgesetzt werden müssen (sysprep), um beim Start automatisch der Domäne wieder beizutreten, damit die clientspezifische Authentifizierung gewährleistet bleibt. Das müssen wir wohl in nächster Zeit analysieren und diskutieren.
Hoffe, morgen im Laufe des Tages mit einem Testpaket für den Debian13-Client aufschlagen zu können.
VG, Thomas
Hi,
ich kann Thomas’ Aussage nur unterstreichen. Das Samba-Projekt arbeitet auch daran Features einzubauen, die es möglich machen sollen NTLM komplett abzuschalten, da Microsoft auch auf dem Weg dahin ist. Dazu gehören die Themen „localKDC“ und OAuth-Unterstützung.
Entsprechende Videos der Konferenzen SambaXP 2024 und 2025 findet man in diesen Playlisten:
- https://www.youtube.com/playlist?list=PLbw4szFfveGqL_4436Kr86pR-4US0f5kR für 2024
- https://www.youtube.com/playlist?list=PLbw4szFfveGqfrM0fWkBTcAz987bvybWL für 2025
VG
Buster
1 „Gefällt mir“
Moin!
Das zieht sich noch. Was bisher funktioniert ist der domainjoin auf einem Debian13-Client mit dem im Ticket dokumentierten Anpassungen. Domain-Login nach Imaging funktioniert aber nur mit dem Client, mit dem das Image erzeugt wurde.
Hier spuckt uns die jetzt erhöhte Sicherheit der Kerberos basierten Clientauthentifizierung in die Suppe.
Bei einem Domainjoin wird das Computerpasswort geändert und im AD und auf dem Client in /etc/krb5.keytab abgelegt:
klist -k /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
21 multi-1$@LINUXMUSTER.LAN
21 multi-1$@LINUXMUSTER.LAN
21 multi-1$@LINUXMUSTER.LAN
In der ersten Spalte sehen wir die key version number (kvno). Die wird bei jeder Passwortänderung +1 hochgezählt. Bespiele ich zB den Client multi-2 mit dem Image, hat der natürlich diesselbe kvno lokal im keytab file. Der Hostname wird automatisch angepasst:
klist -k /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
21 multi-2$@LINUXMUSTER.LAN
21 multi-2$@LINUXMUSTER.LAN
21 multi-2$@LINUXMUSTER.LAN
Auf dem Server behält die kvno von multi-2 aber den alten Wert:
❯ ldbsearch --url=/var/lib/samba/private/sam.ldb "(&(sAMAccountName=multi-2$))" msDS-KeyVersionNumber
# record 1
dn: CN=MULTI-2,OU=r100,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
msDS-KeyVersionNumber: 19
Für NTLM basierte Clientauthentifizierung spielt das keine Rolle, da kvno nicht ausgewertet wird. Deshalb funktionieren Windows- und Ubuntu-Cients. Kerberos will aber übereinstimmende kvno, aus dem Grund funktioniert auf geklonten Debian13-Rechnern der Login nicht, obwohl linuxmuster-linuxclient status meldet, dass alles iO ist.
Als nächstes werde ich mit Claude AI diverse Ansätze zur Lösung des kvno-Problems durchtesten.
Dauert also noch.
VG, Thomas
Hallo Thomas,
Danke, dass du da dran bleibst.
Natürlich bedaure ich, dass wir nicht mehr „so einfach“ werden Klonen können, wenn Kerberos benutzt werden muss und NTLM nicht mehr geht… aber verstehen kann ich das schon, dass das so kommt: man will halt eigentlich schon sicher wissen, welcher Client das da ist, der sich an der AD Anmeldet.
Interessant ist, dass uns das zum ersten mal mit Debian begegnet, nicht mit Windows.
LG
Holger