Hallo zuammen,
über die Ferien werden wir ca. 120 Laptops bekommen, die nach den Ferien an die neuen Schüler verteilt werden sollen. Auf diesen Rechnern möchte ich ein Ubuntu 20.04 mit einiger Software (Geogebra, Xournal++, Grafikprogramme, etc.) installieren. Auch soll das Wlan-Passwort der Schule hinterlegt sein und jeder Laptop einen eindeutigen Computernamen haben. Der Standardbenutzer darf gerne immer gleich heißen - der jeweilige Schüler kann diesen dann ja ändern…
Die Idee ist auch, wenn mal etwas nicht geht, der Laptop wieder einfach neu bespielt werden kann…
Hat jemand eine Idee, wie man das realisieren könnte?
Zur Info: Wir nutzen in der Schule Opsi zur Softwareverteilung für die in der Musterlösung hängenden Windows-Clients…
Bin schon gespannt auf eure Ideen
Danke und liebe Grüße,
Leo
Dein Anliegen sollte mit Linbo leicht zur realisieren sein.
Ist das Passwort für das Wlan ein Preshared Key? Wenn ja, dann ist das ein Sicherheitsrisiko und sollte kommuniziert werden, da jeder der die Geräte nutzt Benutzernamen und Passwörter sniffen kann.
Ok… ich kenne Linbo noch von mein letzer Kontakt mit der damaligen peadML - was schon 5 Jahre her ist). Wenn ich das noch richtig weiß, müsste ich um LINBO nutzen zu können eine linuxmuster.net-Installation vorhanden sein… Oder gibt es einen „einfacheren“ Weg Linbo zu nutzen?
Das Wlan-Passwort für das Gäste-Netz ist ein WPA-PSK - aber jeder Schüler muss sich dann mit einem personalisierten Voucher anmelden…
Hallo Leo,
genau dafür habe ich unseren alten lmn 6.2 Server reaktiviert und betreibe ihn „auf einer Insel“. Unsere Windows Clients laufen mit dem opsi von IServ. Bei Dir wäre es noch einfacher, sei Du nur bei der Aufnahme in linuxmuster für diese Clients festlegen musst, was PXE machen soll. Wenn Du für alle Clients denselben (nur für root sichtbaren) WLAN-Schlüssel verwenden willst/darfst, kannst Du den ins Image integrieren. Dann sollte der Standardbenutzer aber keine sudo-Rechte haben. Bei uns müssen die SuS die Verbindung wie bei Privatgeräten selbst einrichten. Sie haben sudo-Rechte, die Geräte sind nicht in der Domäne, getrennte Datenpartition, SelfService mit linbo auch ohne SSD binnen Minuten offline.
Gruß Jürgen
ein Preshared Key ist und bleibt ein Sicherheitsrisiko. Wer mit dem Key eingeloggt ist kann die Benutzernamen und Passwörter aller die sich nach ihm einloggen im Klartext sniffen. Deshalb ist das keine gute Idee nach dem Preshared Key noch ein Login zu verlangen. Besser ist es die WLAN-Nutzer darauf hinzuweisen dass es keine Sicherheit gibt und die Eingabe von Benutzernamen und Passwort unterbleiben soll.
Hallo. An diese Frage hänge ich mich gleich mal an. Auch wir schaffen Laptops an, die an SuS ausgegeben werden sollen. Vermutlich werden wir das mit so einer „Synchronisier-Wand“
realisieren, wie Thomas (@thoschi) es neulich vorgestellt hatte. Daher stellt sich die Frage, wie das nochmal ging, wenn der Laptop einerseits über PXE booten muss, um an Linbo zu gelangen – andererseits aber nicht immer am LAN hängt, so dass er dann am besten gleich ohne Linbo durchstarten kann?
Gleiches gilt ja für das Image (möglichst einheitlich). Wenn ein User sich mit LAN Verbindung anmeldet, ist alles kein Problem – wohl aber wenn es nur über WLAN läuft. Daher die Frage, wie das für diesen Fall nochmal ging?
Hallo Alois,
wenn das wirklich so wäre, könnte doch auch jeder im „Festnetz“ Domänenanmeldungen sniffen!?
Dass man den Key irgendwie sniffen könnte, mag ja sein, wenn man kein Zertifikat verwendet.
Gruß Jürgen
unsere Verleihgeräte werden auch mit linbo gemanaged: In meiner /boot/grub/verleih.config steht # ### not managed …### und dann set default=1, set timeout=3 und set fallback=1. Das bewirkt, dass nach einem kurzen Umweg über ein linbo-Menü (3 Sekunden) direkt ins Betriebssystem gebootet wird (ohne Anmeldung). Der Benutzer kann aber, wenn er möchte, in diesen 3 Sekunden auch syncen oder neu + start auswählen.
Diese Verfahrensweise und die sonstige Bedienung von Ubuntu bekommen die Ausleiher in einer kurzen Anleitung (4 Seiten) mit dem Gerät. Darin steht auch, wie sie mit WLAN verbinden können. Einen Automatismus für das Schul-WLAN möchte ich nicht, da ja keine Domänen-Anmeldung stattfindet. Das Gerät wird wie ein privates behandelt.
Hallo Wilfried,
ja das klingt gut bzw genau nach dem, was ich für diese Laptops brauche.
Kann ich das bionic-Image denn nicht trotzdem weiter verwenden und für diese Geräte aus der Domain wieder austreten? Dann müsste ich aber vermutlich doch zwei Images verwalten, oder?
Schöne Grüße
Michael
in meiner Schule wurde mir das vorgeführt. Preshared Key eingetragen Benutzer war an einem Laptop angemeldet und konnte mittels Sniffer die Logins aller anderen User mitsniffen. Benutzername und Passwort lag im Klartext vor. Wir haben dann auf WPA Enterprise umgestellt.
ja das klingt gut bzw genau nach dem, was ich für diese Laptops brauche.
Kann ich das bionic-Image denn nicht trotzdem weiter verwenden und für
diese Geräte aus der Domain wieder austreten? Dann müsste ich aber
vermutlich doch /zwei/ Images verwalten, oder?
theoretisch kannst du einen lokalen NUtzer anlegen.
Wegen dem Domainbeitritt könntest du bei dem „Raum“ der Verleihlaptops
im postsync eine falsche keytab hinkopieren lassen … dann ist es
wahrscheinlihc schon essig mit der Domäne.
Willst du den lokalen NUtzer im Schulimage nicht haben, dann kopier eine
andere shadow Datei hin in der er ein anderes Passwort hat.
Das hat bei 14.04 noch so funktioniert.
Einfach Anmelden und shadow wegkopieren, dann Passwort des lokalen
Nutzers ändern: schon hast du eine neue shadow Datei.
Danke euch allen… Habe wieder viel mitgenommen.
Das Vorgehen von Wilfried gefällt mir sehr gut. Ich möchte zwar keine Wand in einem Raum haben, aber einen Tisch in der Aula, so dass sich Schüler einfach Images holen können, wenn sie es wollen…
Schön fände ich es nur, wenn man für den Linbo nicht nicht eine linuxmuster.net als Insellösung aufsetzten müsste, sondern das z.B. auf einem Raspberry läuft. Werde hierzu aber nochmal einen eigenen Thread aufmachen
ich habe (zu) lange mit dem Default-cloop und einem weiteren User probiert: Es hat bis zum Start bei mir immer viel Zeit in Anspruch genommen.
Nun habe ich ein einfaches bionic.iso genommen und ein paar Kleinigkeiten ergänzt: 3,2 GB groß. Außerdem können die User auch selbst installieren, wenn sie etwas vermissen. Wie das geht, steht auch in der Anleitung.
Hallo Alois!
Passwort sniffen geht aber nur, wenn die folgende Anmeldung unverschlüsselt erfolgt und wo ist das noch so?
Die Anmeldung am Server erfolgt jedenfalls verschlüsselt.
Gruß - Rainer
Wenn man das so macht, muss man aber sehr wahrscheinlich einen u.U. lange dauernden Timeout abwarten, oder? Die Anmeldung zur Domain würde auf diesem Weg ja versucht und dann mit irgendeinem Fehler abgebrochen werden, denke ich?!?
Ja, das könnte ich mir alternativ auch vorstellen… Klein, schlank und mit den wichtigsten Tools. Alles andere können die User sich selbst installieren… Würdest du deine Anleitung weiter geben? Fände ich ganz interessant.
Auch diese Idee ist nicht schlecht! Dann müsste man dort aber ein grünes LAN zur Verfügung stellen. Ob das „unbeaufsichtigt“ funktioniert? Wäre einen Versuch wert…
