Hallo Dorian, habe eben erst gemerkt, dass ich im April gar nicht auf Deinen Tipp geantwortet habe. Sorry!
Leider habe ich auch seitdem keine Zeit mehr gefunden, mich darum zu kümmern, wir IT-Leute werden hier in Berlin ständig mit Verwaltungskram genervt und müssen darum kämpfen, linuxmuster weiter nutzen zu dürfen.
Kurzum: Ich würde jetzt lieber den vorbereiteten neuen cloop mit Ubuntu20.04 ausprobieren, aber wo finde ich den, die client-servertools sind ja obsolet?
Liebe Grüße,
Frank
Hallo Frank,
das cloop gibt es derzeit von mir direkt: wir haben noch niemand gefunden, der die clientservertoos weiter pflegt.
Link kommt per PM
LG
Holger
Hi!
An der Stelle sei nochmal gesagt:
Bitte setzt euch eure eigenen clients auf, wie in der Dokumentation beschrieben:
https://docs.linuxmuster.net/de/latest/clients/linux-clients/linux-client-current-method.html
Das ist der neue offizielle Weg! Die client-servertools werden nicht mehr benötigt. Cloops online zu teilen ist obsolet, da der Weg des neu Aufsetzens jetzt sehr gut dokumentiert ist. Es ist zwar etwas aufwändiger, aber dann lernt man auch gleich ein bisschen was über den Prozess.
Bei Windows ist es genauso und da funktioniert es auch problemlos.
VG, Dorian
1 „Gefällt mir“
Hallo Dorian,
ich sehe das anders.
Nur weil man bei Windows so vor geht, heißt das nciht, dass das der goldene Weg ist.
Es geht hier ja nicht nur um das Aufsetzen und das in die AD bringen, sondern um einen gesammten Client, und das ist sehr viel Arbeit: auch bei Windows.
Da muss man nur mal hier nachlesen, was den so noch zu machen ist bei Windows, nach dem Domänenbeitritt:
https://wiki.linuxmuster.net/community/anwenderwiki:windowsclient:windows10:win10-einrichten
Das vorgefertigte cloop aus der community ist also nicht ein naktes 20.04 auf dem das linuxmuster-client7 Paket installiert ist sondern deutlich mehr.
Es nimmt vielen Leuten viel Arbeit ab.
Was unschön ist, ist der Umstand mit dem postsync.
Er soll nicht mehr nötig sein, weil das schreiben der /etc/hosts auf dem Client duch den dhcp CLient von 20.04 wieder funktionieren soll. Defakto hab ich das aber noch nciht beobachten können: ohne postsync stimmt die /etc/hosts auf dem Client nicht (und das nicht nur bei mir, wie man im Forum sehen kann).
Während man, wegen der Komplexität des postsyncs, gerne auf eine Abschaffung drängt muss man aber andererseits auch sehen, dass der postsync sehr mächtig ist: ich erledige sehr viele Arbeiten damit.
Ein komplexes Beispiel:
im Seminar habe ich Kurse, in denen es auch um Betriebsysteme geht.
Da lasse ich mittels postsync in dem Raum, in dem der Kurs stattfindet, eine andere /etc/shadow Datei draufsyncen, damit sich die Nutzer auch mal als lokaler linuxadmin anmelden können: das soll aber nicht in allen Räumen so gehen. Oder ich synce eine andere /etc/fstab hin, weil ich SATA und auch nvme Clients habe: so bespiele ich sie mit dem selben Image: der postsync richtet das.
Also: ich kann es verstehen, wenn es Leute gibt, die gerne ein vorgefertigtes cloop haben möchten: und sei es nur um den Einstieg besser hin zu bekommen.
LG
Holger
3 „Gefällt mir“
Hallo,
das kann ich nur unterstreichen. Es geht dabei nicht nur um „Basis-Software“, sondern um viele Kleinigkeiten und Einstellungen, die im Schulbetrieb wichtig sind. Ich habe die Erfahrung gemacht, dass dieses „default-cloop“ mir immer einige Images auf dem Weg zum finalen Clientimage erspart hat.
Viele Grüße
Wilfried
Hallo Dorian @dorian.
Ich habe heute auf einem Client das linuxmuster-linuxclient7-Paket aktualisiert – so wie hier beschrieben: (Neue Pakete für lmn7 - #184 von dorian)
Nach der erneuten Anmeldung erscheint hier nun dies:
Hast Du eine Idee, woran das liegen kann?
Leider sind die Shares übrigens alle nicht mehr da.
Viele Grüße,
Michael
Hallo Michael,
Was sagt ein linuxmuster-linuxclient7 status auf diesem Client ?
Gruß
Arnaud
Hi Arnaud.
Das sagt das gleiche, was es immer sagt, wenn es mit der Anmeldung nicht (mehr) klappt, und zwar:
[root@vm-fossa:~]$ linuxmuster-linuxclient7 status
[INFO] #### linuxmuster-linuxclient7 status ####
[INFO] Linuxmuster-linuxclient7 is setup!
[INFO] Testing if domain is joined...
[INFO] Checking joined domains
[INFO] Joined domains:
[INFO] * linuxmuster.meine-domain.de
[INFO] Testing if the domain join actually works
[INFO] * Checking if the group "domain users" exists
[INFO] * Trying to get a kerberos ticket for the Computer Account
kinit: Vorauthentifizierung fehlgeschlagen bei Anfängliche Anmeldedaten werden geholt.
[ERROR] Could not get a kerberos ticket for the Computer Account!
[ERROR] Logins of non-cached users WILL NOT WORK!
[ERROR] Please try to re-join the Domain.
===============================================================================================
This Computer is joined to a domain, but it was not possible to authenticate
to the domain controller. There is an error with your domain join! The login WILL NOT WORK!
Please try to re-join the domain using 'linuxmuster-linuxclient7 setup' and create a new image.
===============================================================================================
Der Screenshot oben ist allerdings heute imho zum ersten Mal aufgetaucht??
Leider ist mir nach wie vor nicht klar, warum das hier nicht zuverlässig läuft? Wir haben leider weiterhin regelmäßig Anmeldeprobleme, die wir nur durch erneutes Synchroniseren in den Griff bekommen.
Viele Grüße,
Michael
Hallo Michael,
Das ist eine komplizierte Frage, da die Kommunikation zwischen Samba und Kerberos nicht besonders dokumentiert sind.
Nur um etwas zu überprüfen, kannst du bitte testen mit einem Login der nicht funktioniert, was das folgende ergibt ?
KRB5_TRACE=/dev/stdout kinit LOGIN
Gruß
Arnaud
Ich schicke es Dir per PM,ok? Da steht zuviel Zeug drin, was ich lieber nicht veröffentlichen will…
Yep, ich schaue mal an.
Arnaud hat reingeschaut – daran lag es offenbar nicht.
Du hast doch ein LE-Zertifikat. Kann es sein, dass es immer nach einer Erneureung Probleme gibt?
VG, Dorian
Hi Dorian!
Jawollllll – das Zertifikat wurde tatsächlich heute erneuert – und ja, da gab es ein paar Effekte, wie z.B, dass die Nextcloud angeblich plötzlich kein gültiges Zertifikat mehr hatte, obwohl es ja gerade erneuert wurde.
Der Server hatte ebenfalls Probleme, obwohl es erneuert wurde. Wenn hier der Zusammenhang steckt, müssten die entsprechenden Webserver (apache2 für die NC bzw ajenti für die WebUI) vermutlich eher neu starten als sie es jetzt tun!??
Viele Grüße,
Michael
Hallo Michael,
Klar.
Gruß
Arnaud
Ok, ich bin allerdings nicht sicher, ob damit sämtliche Anmeldeprobleme gelöst sind, denn zuvor ist das auch schon an unterschiedlichen Tagen aufgetaucht, an denen keine Erneuerung der Zertifikate anstand … aber immerhin ist es evtl ein Anhaltspunkt, warum gerade hier ein Problem steckt?!?
Kann ich ri nicht genau sagen, aber die ganze Kommunikation zwoschen Kerberos und dem Samba ist zimlich komplex. Die mag es scheinbar einfach nich, wenn sich da plötzlich das Zertifikat ändert.
Ich glaube, mit einer internen CA für das AD macht man sich sehr, sehr vieles leichter…
VG, Dorian
Hallo Dorian,
Es geht aber nicht mehr, da einige externe Dienste ein gültiges Zertifikat brauchen.
Gruß
Arnaud
Hallo,
über das letzte Jahr hat Michael andauernd sehr seltsame Probleme: oftmals nur er und sonst niemand.
Schon oft haben wir vermutet, dass das mit dem LE Zertifikat für die AD zusammen hängt.
Für mich war schon vor Monaten der Punkt erreicht wo ich dachte: blos nicht den AD mit einem „echten“ Zertifikat betreiben.
Vor allem auch das wählen einer echten Domain für den AD scheint keine gute Idee zu sein: selbst MS empfiehlt genau das nicht zu tun, sondern dem AD eine subdomain der eigenen zu verpassen.
Das bringt mich nun aber in eine Zwickmühle, da auch ich einen Dienst habe, der einen AD mit echtem Zertifikat benötigt. Bei mir ist das bisher nur die PeerTube. Webuntis habe ich glücklicherweise nicht.
Aber ich muss raus aus dem Dilemma, und da tut sich in meinen Augen bisher nur ein Weg auf: der in den letzten Wochen hier beschriebene Weg des LDAP Proxys: einer Maschine, die die externen LDAP Anfragen annimmt und beim AD fragt, ob das OK ist. So bekommen die externen Dienste zertifizierte Aussagen, ohne dass ich am AD rumschrabbeln muss.
Das wird also mein Weg sein.
LG
Holger
Genau das ist der Weg, den ich auch gehen und empfehlen würde.
VG, Dorian