Grüße vom Treffen der Nordländer und Frage zur Einrichtung der LML v7

Hallo.
Schöne Grüße aus dem Computerraum in Handrup. Hier rauchen die Rechner (und Köpfe). :slight_smile:

Bei der Grundinstallation der v7 tauchte gerade folgende Frage auf:
Sollte man als domain-Name (also intern) den gleichen Namen angeben wie extern oder muss/soll das unterschiedlich sein?
Vorgeschlagen wird per default: linuxmuster.lan und darunter auch automatisch als FQDN eingetragen.
Ich frage deshalb, weil es bei v6.2 ja noch so war, dass man intern wie extern den gleichen Namen benötigte um z.B. die LE-Zertifikate erneuern zu können.

Schöne Grüße
Michael

Hallo Michael,

s. Wann und wie SAMBA-Domäne bei Installation angeben?

Intern kann gleich heißen wie extern, intern ist aber die AD-Domäne vorangestellt, also z.B.

intern: linuxmuster.meine-schule.de
extern: meine-schule.de
mit AD-Domäne: linuxmuster

wobei die AD-Domäne nicht mehr als 15 Zeichen haben darf.

Viel Spaß und Erfolg bei Eurer Installationsparty und viele Grüße in den Norden,
Jochen

Super. Das ging ja schnell … danke!

Die nächste Frage betrifft nochmal den Schalter „-do-it-like-babo“. Wo / wann genau muss man den verwenden? Wenn man sich per WebUI durchklickt, wird alles meiner Meinung nach so eingestellt, dass es auf der neuen Netzmaske liegt (10.0.0.0/24).
Das betrifft aber auch alle anderen VMs (opnsense 10.0.0.254 , docker 10.0.0.3).
Sehe ich das richtig: Wenn das prepare-Script mit dem Schalter „do-it-like-babo“ durchläuft, werden die IP-Adressen der anderen VMs doch nicht geändert?!

Nachtrag: Die Frage hat sich erledigt. Danke, Holger.
Nochmal zur Klärung: Man muss das linuxmuster-prepare (Script - kein Webinterface!) starten und dort die Option „do-it-like-babo“ verwenden. Erst anschließend läuft das Setup dann per Webinterface.
… Das versuchen wir jetzt so :slight_smile:

Hallo,

Sehe ich das richtig: Wenn das prepare-Script mit dem Schalter
„do-it-like-babo“ durchläuft, werden die IP-Adressen der anderen VMs
doch nicht geändert?!
nein: die muss man vorher ändern, damit das prepair script die hosts
erreicht.
Außerdem muss man natürlich auch OPSI und docker nochmal mit -o preparen.
Denkt dran: die Firewall muß das Passwort Muster! habe!

LG

Holger

Hi.
Nochmal eine Frage hinterher …
ich habe gerade in der Schulkonsole einen Lehrer angelegt. Sobald man auf Speichern klickt, kommt jedoch:


Das hatten wir doch schon mal??

Also wir haben nun folgendes herausgefunden:
Wenn man die teachers.csv und students.csv aus den examples nimmt, an die richtige stelle kopiert und anschließend sophomorix-check/-add benutzt, kommt es zu Fehlern. Wenn man in der Lehrer-Datei die Lehrzeichen entfernt, wird die Datei akzeptiert.
Bei den Schülern muss man Zeilen mit ß usw entfernen – erst dann wird auch diese Datei akzeptiert und sophomorix läuft endlich durch. Es liegt also offensichtlich doch am falschen encoding dieser Files.

Danach ging es weiter: Holgers Client konnte erfolgreich entpackt und auf einem Client ausgerollt werden. Danach wurde das adsso ohne Fehlermeldung gestartet und ein Image erzeugt, das auch die .macct-Datei geschrieben hat. Dann wollten wir uns mit einem der gerade erzeugten User anmelden … doch es kam im lightdm immer nur „Passwort ungültig“ oder ähnlich. Da ist also weiterhin der Wurm drin. Hat jemand eine Idee?

Schöne Grüße,
Michael

Hallo,

das encoding in der Datei (teachers.csv?) stimmt nicht mit der Angabe in
der school.conf überein und die autoerkennung hat nicht geklappt.

Meine Empfehlung: immer nur reines UTF8 liefern!

LG

Holger

Ok, es bleibt aber seltsam, dass das adsso erfolgreich durchgelaufen ist – danach aber kein Login mehr möglich ist. Ich versuche es jetzt nochmal auf einer anderen VM, die gerade mit dem bionic-Image bestückt wird…

Hallo,

kontrolliert mal, ob der postsync richtig arbeitet.
Stimmt die Domäne in der /etc/hosts am Client?
Stimmt der Rechnername?
Stimmen die Rechte des postsyncverzeichnisses?
Habt ihr die Domäne in der .postsync Datei angepaßt.

LG

Holger

Und das reine UTF8 liefert man, indem man die Datei irgendwohin auf den server kopiert (ssh) und dann mit sophomorix-newfile an die passende Stelle kopiert:

# sophomorix-newfile /root/schueler.txt --name students.csv

  • am Zielname students.csv ekennt sophomorix wohin die Datei kommt
  • Wenn die Spaltenreihenfolge stimmt und ein bekannter Vorname/Nachname mit Umlaut in der Datei steckt, wird das encoding erkannt.
  • Außerdem werden die files schön geloggt (roh, utf8, …), dass man später man Fehler finden kann.

Die Schulkonsole macht das intern auch so.
Sie erwartet unter /etc/linuxmuster/sophomorix/ NUR UTF8-codierte Dateien, also bitte nix mit cp direkt dorthin schieben.

Grüße in den Norden.

LG, Rüdiger

1 „Gefällt mir“

Hallo zusammen.
Leider hat es nicht mehr geklappt mit der Anmeldung. Wir hatten irgendwann aber auch keine Lust mehr und haben aufgehört — bzw sind wir zum gemütlichen Teil der Veranstaltung übergegangen… :beer:

Wir hatten ja Holgers bionic-cloop verwendet und uns an die mitgelieferte Anleitung gehalten. Das lief auch zunächst alles gut. Seltsamerweise meldet der Client bei der Useranmeldung einfach „Passwort falsch“ und nichts dergleichen, dass er sich nicht am AD anmelden kann.

Ist es bei dir auch so, dass diverse Meldungen bzgl PAM erscheinen, wenn du einfach ein Terminal auf dem bionic-Client öffnest? Früher konnte man doch mit dem Befehl „login < username>“ in der Konsole irgendeinen User anmelden und dann sehen, ob der Login klappt. Das ging jetzt auch nicht mehr.

Merkwürdig sind die Ausgaben von dem adsso-Script: Selbst wenn man ein falsches Passwort eingibt (Tippfehler), erscheint zwischendurch „Success!“ (Bug!)
Ist es denn gefahrlos möglich, dieses Script mehrfach auszuführen? Oder hat man den Client dann bereits zerschossen, wenn das nicht beim ersten Mal geklappt hat?
Was wir nicht ausprobiert hatten: Ist das in deinem Image die neueste Version des adsso-Paketes? Vermutlich schon, oder?
@odo2063 hat berichtet, dass das adsso auf einem ganz frischen System (War das ein nacktes Debian?) nicht solche Probleme gemacht hat. Daher kann es also doch sein, dass Holgers Client nun zwar zu Holgers Setup/Server passt aber nicht so einfach übertragbar ist, wie wir das gerne gehabt hätten?!?

Wir sind auch nicht sicher, ob die v7-Serverversionen alle auf dem gleichen Stand sind. Also konkret: Ist es egal, ob man die Proxmox-Pakete von netzint oder die XVA-Pakete nimmt? Auf dem Treffen kam es uns so vor, als wenn die Proxmox-Pakete nicht so sauber durchliefen wie die anderen.

Der Stand der Dinge nach dem Treffen ist nun der:
Die einzelnen Gruppen konnten sowohl unter Proxmox als auch unter XCP-ng die VMs importieren und starten.

  • Das Setup des Servers bereitete bei den meisten Gruppen ganz unterschiedliche Schwierigkeiten: Ich selbst wollte ja mit der alten Netzmaske weitermachen und habe zunächst nicht verstanden, dass man das --do-it-like-babo zunächst auf dem Server und dann auf allen Clients (opsi, docker, firewall ging nicht obwohl es bei github angegeben ist) laufen lassen muss und dass es dort auch bereits vorinstalliert ist. Das hatte ich anfangs völlig falsch verstanden, da ich davon ausgegangen bin, dass der Server das „prepare“ für alle anderen VMs macht. Dieser Punkt sollte in der Doku unbedingt nochmal klar hervorgehoben werden. Als das Prepare dann durchgelaufen war, lief auch das Setup via Webinterface sauber durch.

  • Eine Gruppe hatte hier aber sehr große Probleme mit dem Passwort, das man im Webinterface bei der Installation setzen muss: Ich hatte keine Sonderzeichen verwendet, sondern nur „Test1234“ – das lief sauber durch. Alle Gruppen, die $ oder % benutzt haben, konnten sich später nicht mehr anmelden. Das muss ein Bug sein, da die Zeichen dort ja ausdrücklich als erlaubte Zeichen angegeben werden!

  • Christian hatte ein Problem mit einem Zertifikat am Ende des Setups, das er am besten nochmal selbst schildert.

  • Das Anlegen der User über das Webinterface lief nicht wie gewünscht (daher mussten wir auf die Konsole und die example-Datei zurückgreifen). Bei mir kam der o.g. Traceback, der ja vor kurzem auch schon von anderen Usern berichtet wurde. Bei Christian war es so, dass er z.B. beim Geb.Datum eine falsche Eingabe machen konnte, diese dann aber nicht korrigieren konnte. Die neue Eingabe wurde gar nicht akzeptiert.

  • Unter’m Strich haben wir also eine Umgebung, in der der v7 Server nach ein paar Stolpersteinen installiert werden konnte. Es gibt aber weiterhin Probleme mit dem AD und der Useranmeldung. Da das nicht nur eine sondern alle Gruppen betraf, gehen wir im Moment mal von einem tiefer liegenden Problem aus.

  • Das Treffen wurde (auch wenn jetzt nicht alles rund läuft) von allen als sehr gutes Event empfunden. Es war sehr gut, dass sich die Nordländer endlich mal persönlich kennengelernt haben. Die Köpfe aller, die dabei waren, sind voller neuer Ideen, meine ich.

Soviel zunächst … ergänzt mich gerne, wenn ich etwas vergessen habe.
Michael

1 „Gefällt mir“

Hallo Michael,

Ist es denn gefahrlos möglich, dieses Script mehrfach auszuführen? Oder
hat man den Client dann bereits zerschossen, wenn das nicht beim ersten
Mal geklappt hat?

ja, man kann es immer wieder ausführen: aber man muss dann immer auf dem
Server die .macct Datei löschen um linbo beim UPload dazu zu bringen,
diese neu an zu legen.
Sonst paßt das Passwort in der macct (welches linbo beim syn in den AD
schreibt) nicht mehr zu dem auf dem Cleint.
Denn jeder adsso Lauf ändert dieses Passwort.

Was wir nicht ausprobiert hatten: Ist das in deinem Image die /neueste/
Version des adsso-Paketes? Vermutlich schon, oder?

… Stand ungefähr Vorletzte Woche Freitag. (also 6.9.2019)

solche Probleme gemacht hat. Daher kann es also doch sein, dass Holgers
Client nun zwar zu Holgers Setup/Server passt aber nicht so einfach
übertragbar ist, wie wir das gerne gehabt hätten?!?

nein, das ist nicht das Problem, da das Image zwar von mir ist, aber die
Vorarbeit ist von Dominik (was ja in meinem Post zum Image auch so steht).
Das läuft also Produktiv bei Dominik.
Von ihm habe ich es bekommen und in mein System aufgenommen (mit einem
weiteren adsso Aufruf).
Weitergegeben habe ich es absichtlich ohne die macct Datei: damit diese
bei euch erst erstellt wird.

Ich denke eurer Fehler liegt entweder bei der macct Problematik oder
beim Hostnamen/Domainnamen im Client: läuft der postsync? … und meine
anderen Fragen (siehe Mail von letzter Nacht).

LG

Holger

Hi Holger. Gut zu wissen – dann gibt’s ja noch Hoffnung :slight_smile:
Wenn ich morgen Zeit habe, kann ich das nochmal testen. Ich hatte deinen Client abends noch virtualisiert und jetzt als Proxmox-VM vorliegen. Gibt es eine Möglichkeit, NUR die .macct-Datei erzeugen zu lassen ohne gleich einen vollständigen Upload des .cloop machen zu müssen?

Schöne Grüße,
Michael

Hallo Michael,

Hi Holger. Gut zu wissen – dann gibt’s ja noch Hoffnung :slight_smile:
Wenn ich morgen Zeit habe, kann ich das nochmal testen. Ich hatte deinen
Client abends noch virtualisiert und jetzt als Proxmox-VM vorliegen.
Gibt es eine Möglichkeit, NUR die .macct-Datei erzeugen zu lassen ohne
gleich einen vollständigen Upload des .cloop machen zu müssen?

ich wüßte nicht wie.
Ein neues Image erstellen ist aber auch nicht der große Aufwand :slight_smile:

Schau auf dem Client in jedem Fall auch in die /etc/hosts Datei.

LG

Holger

Hi Holger.
Ich habe den Server gerade gestartet und kann diese Dinge jetzt prüfen:

Zunächst: Auf dem Server fiel mir auf: /etc/hostname → server…
Da ist kein Enter am Zeilenende. Macht das evtl Stress?

LINBO meldet zumindest OK.

Nein – da steht tatsächlich (nach dem Setup usw ) noch drin:
server.bzpf.lan oder ähnlich. Müsste das automatisch von einem der Scripte angepasst worden sein? Ich habe es gerade geändert …

Stimmt der Rechnername?

Ja, der passt.

Stimmen die Rechte des postsyncverzeichnisses?

Wie müssen sie denn sein?

Habt ihr die Domäne in der .postsync Datei angepaßt.

Da finde ich den domainname nicht – ich finde nur Einträge mit $HOSTNAME, die vermutlich vom Server geholt werden, oder?

Ich versuche mein Glück aber nun nochmal mit der geänderten Domain unter /etc/hostname…
Nachtrag: Ich komme als User rein! Das ist schon mal super! Ist es denn normal, dass der Firefox sich meldet und am Proxy anmelden will? Das kommt hoffentlich nur einmal, oder??

Schöne Grüße,
Michael

Hallo Michael,

Zunächst: Auf dem Server fiel mir auf: /etc/hostname → server…
Da ist kein Enter am Zeilenende. Macht das evtl Stress?

glaub ich nicht: bei mir steht da auch nur
server.meine.domaene
drin

Stimmt die Domäne in der /etc/hosts am Client?

Nein – da steht tatsächlich (nach dem Setup usw ) noch drin:
server.bzpf.lan oder ähnlich. Müsste das automatisch von einem der
Scripte angepasst worden sein? Ich habe es gerade geändert …

du mußt das in der Datei
/srv/linbo/linuxmuster-client/bionic/common/etc/hosts

anpassen.

Stimmen die Rechte des postsyncverzeichnisses?

Wie müssen sie denn sein?

755

Habt ihr die Domäne in der .postsync Datei angepaßt.

Da finde ich den domainname nicht – ich finde nur Einträge mit
$HOSTNAME, die vermutlich vom Server geholt werden, oder?

Ich versuche mein Glück aber nun nochmal mit der geänderten Domain unter
/etc/hostname…

nein: in der Datei von oben (hosts)

Lass die Datei auf dem Server lieber wie sie ist.

LG

Holger

Kannst du diese Punkte evtl mit in das README in der bionic.zip mit aufnehmen und neu packen? Das wäre für andere sicher sehr hilfreich…

Hallo,

Christian hatte ein Problem mit einem Zertifikat am Ende des Setups, das er am besten nochmal selbst schildert.

ich hatte alle Vorbereitungen wie in der Readme.txt durchgeführt, dann habe ich linuxmuster-client-adsso-setup ausgeführt, werde nach dem global-admin gefragt, authentifiziere mich - erhalte dann folgende Meldung:

Using short domain name –
Joined …to dns domain …

und dann:
Installing server certificate … mount error (126): required key not available … cp: Aufruf von stat für '/var/lib/samba/sysvol/…/tls/cacert.pem
Failed!

o.g. key ist aber tatsächlich vorhanden, die Berechtigungen für die Datei hochzusetzen, führt nicht zum Erfolg.

Lösche ich vorab die Datei /etc/krb5.keytab wie von @thomas vorgeschlagen und rufe danach adsso-setup auf, erhalte ich identischen Fehler.

VG
Chris