gerade ist bei uns Land unter. Plötzlich ist an allen Clients keine Anmeldung mehr möglich!
Ich habe gerade an der Cups-Weboberfläche rumgemacht und einen neuen Drucker eingepflegt (was funktioniert hat). Außerdem habe ich die IP des Druckers in die NoProxy-Gruppe der OPNsense aufgenommen, um ein Firmwareupdate machen zu können.
Dabei habe ich zwar meine Änderung gespeichert, aber anschließend nicht auf „Anwenden“ geklickt, sondern mich von der OPNSense-Oberfläche abgemeldet.
Das könnte ein Fehler gewesen sein, zeitlich könnte das jedenfalls mit dem Loginproblem zusammenhängen.
Auf der Konsole der OPNsense liefen jedenfalls einige gleichlautende Fehler durch (DNS?).
Neustart von lmn7-Server und OPNsense brachte leider keine Besserung.
Nutzerabfrage an der Firewall (System-Zugnag-Prüfer) funktioniert, DNS-Test auf heise.de liefert IP zurück, Ping von Firewall auf lokalen Client tut, die Clients erhalten die korrekte IP, Systemzeit passt bei Firewall, Server und Clients.
klar, hab ich, mehrmals.
Ich selber kann mich an allen Clients immer anmelden, weil ich vor erstellen des Images mich mal angemeldet hatte und den Clients daher immer bekannt bin. Wenn ich mich als ich anmelde und Firefox starte, will er wieder mein Passwort haben, als ob es das SSO nicht mehr gäbe…
Ich habe jetzt auf einem Client ein linuxmuster-cloop-turnkey gemacht, in Linbo ein neues Cloop erstellt, auf einem anderen Client hochgeladen und gesynct und siehe da: Anmeldung tut wieder. Mache das jetzt auf allen 200 Clients (toll!!!).
Ich habe jetzt auf einem Client ein linuxmuster-cloop-turnkey gemacht,
in Linbo ein neues Cloop erstellt, auf einem anderen Client hochgeladen
und gesynct und siehe da: Anmeldung tut wieder. Mache das jetzt auf
allen 200 Clients (toll!!!).
Was ist denn da los???
hast du windows und ubuntu parallel installiert?
In der KOnstellation kann es zu diesem Verhalten kommen, wenn man sich
an dem Rechner, an dem man die Images erstellt hat an windows (glaub
ich) anmeldet: dann fliegen alle ubuntus aus der Domäne.
Derzeitiger workaround: Image von einem Rechner erstellen, an dem man
sich nciht anmeldet.
ich hab langsam den Verdacht, dass das auch für Ubuntu alleine ohne Win gilt, wir haben nämlich kein Windows (außer als virtuelle Maschine, die aber keine „Netzwerkkarte“ hat und deshalb nicht ins Netz kommt), auch sonst kein Dualboot! Ich hab das Image jetzt auf einem anderen Rechner gemacht, der ist allerdings auch im Normalbetrieb, ich hoffe das hält. Sonst muss ich die Sache auf einem virt. Client machen, den ich danach wieder lösche. Das wäre aber extrem fehleranfällig.
Nochmal in Kurzform:
Im laufenden Betrieb gegen 8:30 Uhr heute kann man sich plötzlich an keinem Rechner mehr anmelden. Wer schon angemeldet ist, kann weiterarbeiten, auch Dateien im Homes speichern und drucken, kommt aber nicht mehr ins Internet.
Einzige Arbeiten am Server in der Zeit: Neuer Drucker in CUPS eingerichtet und im OPNSense eine einzelne Drucker-IP zur Gruppe noproxy hinzugefügt.
Am Tag vorher hatte ich ein paar Rechner in einem Außengebäude neu mit demselben Image versorgt, das auch alle anderen Rechner seit einer Woche haben.
Das Problem ließ sich beheben, indem ich ein neues Image (vorher linuxmuster-cloop-turnkey) erstellt und verteilt habe. Hat aber für ziemlich Unruhe im Schulhaus gesorgt, und meine Frau darf heute mal nachzählen, wie viele neue graue Haare ich bekommen hab…
Warum passiert das einfach so? Und wie verhindere ich, dass das wieder passiert?
Waren gerade soweit durch. Habe beschlossen: OK, den PC, an dem ich das Image erstellt hab, nehm ich aus dem Raum raus und stell ihn bei mir in den Schrank. Hab ihm dazu in der Schulkonsole ne neue IP und nen neuen Namen gegeben und einen anderen Rechner an seine Stelle gestellt - mit dem alten Namen dieses Rechners.
Fatal error.
Alle Rechner im Schulhaus wieder draußen, keine Anmeldung möglich.
Ich werd verrückt! Meine Kollegen auch.
Erstelle gerade ein neues Image, ziehe den Rechner danach vom Strom ab, in den Schrank, und fasse seinen Rechnernamen und IP in der Schulkonsole nienieniemehr an!
Off Topic: Ich darf einen Rechner nicht umbenennen, weil sonst alle anderen „rausfliegen“?
Oder ist gemeint: Man darf ein Image nicht ohne nachdenken umbenennen?
so, 200 Rechner heute zum zweiten Mal gesynct (und Kleinigkeiten wie spezielle Auflösungen, gespiegeltes Display… angepasst)
Mein Fehler heute nachmittag: Man darf den Rechner, auf dem man das linuxmuster-cloop-turnkey gemacht hat, nicht in der Schulkonsole umbenennen.
Steht das eigentlich irgendwo in den docs und ich habe es nur überlesen, oder ist das Insiderinformation?
Mein Fehler heute vormittag: Ich habe den Rechner, auf dem ich ursprünglich das linuxmuster-cloop-turnkey gemacht habe, gesynct (hatte inzwischen ein paar lokale Versuche gemacht und wollte ihn wieder sauber haben). Auch das führt offenbar dazu, dass alle Rechner mit diesem Image rausfliegen und ein neues Image brauchen.
Steht das irgendwo?
Fazit:
Der Rechner, auf dem das cloop-turnkey gemacht wird, sollte auf überhauptgarkeinen Fall ein Produktivrechner sein, sondern danach in keiner Weise nochmal angefasst werden.
Das ist anders als mit linuxmuster 6.2 und Samba < 4 - und ganz ehrlich: Das ist echt ein Scheiß!
wir haben derzeit die Situation, dass im keyfile im image der Name des
Vorlagenclients steht.
Das sollte eigentlich nicht sein: ist aber derzeit so.
Solange das so ist, fliegen alle aus der Domäne, sobald man den
Vorlagenclient im AD löscht oder umbenennt.
Deswegen rate ich: nimm einen Client mit dem du der Dom beitrittst und
lass ihn danach in Ruhe.
Das Problem ist bekannt und wird ernst genommen: es ist nämlich ein
großer Mist so, tut mir Leid, wir arbeiten dran.
Dein Image kannst du umbenennen wie du magst: mach ich auch ständig …
ahh, es geht nur um den Vorlageclient, d.h. alle anderen Clients kann ich umbenennen, richtig? Dann ist die Situation nicht ideal, aber völlig tragbar.
Was tragbar ist und nicht, kommt wohl immer auf die Situation an. Wenn ich wie im Fall von @lessi eine ganze Schule neu Imagen muß, dann war das in diesem Fall wohl nicht völlig tragbar.
Das Problem dabei ist, daß es hier keinen leicht ersichtlichen und logischen Zusammenhang gibt. Somit ist es für einen Administrator auch nicht leicht erkennbar, daß das passieren wird. Ebenso liest nicht jeder unbedingt jeden Post hier im Forum mit.
Mir erschließt sich auch noch immer nicht der technische Zusammenhang.
Holger schreibt in einem anderen Post hier, daß im keyfile im Image der Name des Vorlagenclients steht. Ich vermute, daß es sich um /etc/krb5.keytab handelt? Laut Doku auf github wird diese doch beim Setup von linuxmuster-client-adsso gelöscht:
Wenn das beim Vorlagenclient nicht gemacht wird, wäre es dann nicht eine Aufgabe von linbo das beim Imaging zu machen?
Aber man kann damit umgehen - wenn man rechtzeitig und deutlich vorgewarnt ist! Umsteiger von der lmn 6 wie ich sind halt u.U. ein anderes Vorgehen gewohnt, das nun verheerende Nebenwirkungen hat.
Ein Beispiel:
Ich habe gerne mal bei Sonderwünschen der Kolleginnen und Kollegen einen Computerraum mit z.B. Android Studio ausgestattet. Damit wollte ich nicht das Gesamtimage belasten, also habe ich eines nur für diesen Raum gemacht. Dann auch gleich an einem Rechner in diesem Raum als Vorlage, an dem können die Kollegen das vorher auch kurz testen.
Das sollte ich jetzt tunlichst unterlassen, sondern ich muss einen virtuellen Client hernehmen (mit dem Testen etwas schwieriger), der dann als Karteileiche, die aber keinesfalls gelöscht werden darf, den Rest des Jahres in der Clientliste rumfährt.
Da gleich die Frage:
Wenn ich auf der Basis des bisherigen Image auf einem neuen Rechner (VM) ein neues Image erstelle, dann wird das alte aber nicht ungültig, oder? Den alten Vorlagerechner fasse ich dabei nicht an…