ich habe erfolgreich den ersten Laptop mit Linbo via Wlan synchronisiert (Juhuu!). Das wird es uns so viel leichter machen Laptops zurück zu setzen.
Linbo verbindet sich mit einem versteckten WLAN und PSK. Nach dem Systemstart soll sich der Rechner mit einem anderen WLan und anderem PSK verbinden. Diesen PSK möchte ich auch mal ändern können und muss dann entsprechend verteilt werden. Bisher mach ich das via Start-Skript, was im LAN auch gut funktioniert. ABER: Beim Synchronisieren mit Linbo im WLAN geht das natürlich nicht.
Ins Image möchte ich den PSK nicht legen (zu viele unterschiedliche Geräte mit unterschiedlichen WLAN-Karten)
Nun meine Frage: Ist es möglich bei der Synchronisation (z.B. via Bootskript GitHub - linuxmuster/linuxmuster-linbo7: Next generation linbo ) Windows den PSK irgendwie mitzuteilen, z.B. ins Dateisystem zu schreiben, worauf ich dann via Startskript zugreifen kann?
Wir hatten bei uns folgende Situation:
Es gibt 30 Laptops mit Windows 10 in einer Verleihstation. Diese Geräte waren vor einiger Zeit per PSK im „Geräte-WLAN“ und wir dachten, dass damit alles gut sei — aber weit gefehlt! Die findigen Schüler konnten den PSK völlig problemlos im Klartext ermitteln und anschließend für ihre Privatgeräte nutzen. Da sich sowas natürlich ruck-zuck herumspricht und Schüler niemals dicht halten, hat sich der PSK in Null-Komma nix unter den Schülern verbreitet. Kurz danach haben wir uns gewundert, dass der IP-Pool voll war und diverse Schulgeräte keine IP-Adresse mehr bekommen haben. Nach etwas Suche war die Lücke schnell gefunden und es war klar, dass es keine gute Idee ist, einen PSK mit in das Windows Image zu packen. Ob sich das in der Zwischenzeit geändert hat und Windows das nachgebessert hat, weiß ich nicht. Aber ich wollte es nur kurz teilen, damit ihr nicht über den gleichen Fehler stolpert….
Viele Grüße,
Michael
dass sich ein ausgelesener Schlüssel schnell verbreitet, ist klar. Müssten die SuS dazu aber nicht auch noch MAC-Spoofing betreiben, um dann nicht nur irgendeine IP per DHCP zu erhalten, sondern eine, die in der devices eingetragen ist und mit der sie dann in’s Internet kommen?
Genau das will ich nicht, denn bei Änderung des PSK müsste ich für nicht nur jede Geräteklasse, sondern jeden unterschiedlichen Netzwerkkartentyp das Image neu bauen.
Ja, das ist bei uns nicht anders und auch nicht wirklich schwer. MS hat das richtig toll gemacht: Viele verschiedene Möglichkeiten den PSK auszulesen; Einige davon kann man blocken, andere nur wenn man zusätzlich die cmd vernagelt (aber genau das will ich nicht). Dennoch hat unser Dienstleister genau das empfohlen: PSK ins Image (heul).
Leider haben wir eine LANCOM Firewall vom Dienstleister bekommen, damit funktioniert die WLAN-Steuerung über die LMN wohl nicht (zumindest wurde es trotz Versprechungen seit 2 Jahren nicht bei uns umgesetzt).
Die Idee ist daher neben ab und zu wechselndem PSK, via Unifi-Controller von Anfang nur Geräte mit entsprechender MAC rein zu lassen. Das erschwert es den nicht so findigen Schülern die Info von den Findigen einfach weiter zu nutzen. Insbesondere nutzen diese oft als Gerätenamen ihren Klarnamen. Mit der Infor an welchen AP sie gerade hängen, hab ich ein zwei Schüler direkt damit konfrontiert und die MAC der größten Sünder gleich mal blockiert, das hat das ganze dann etwas entschärft.
Deshalb nochmal meine Frage: Kann ich mit den neuen Linbofunktionen PSKs beim Synchronisieren (z.B. via Skript) irgendwo ablegen. Ich möchte dann danach z.B. via Bootskript darauf zugreifen und den PSK einspielen. Auf diese Weise wäre eine Systemweite Änderung des PSK ohne neues Imaging auch auf WLAN-Geräten möglich. (Momentan geht das nur, wenn ich diese Geräte an die LAN-Dose hänge, denn dann kann ich beim Boot auf den Server zugreifen. Bei WLAN geht das aber nicht, denn Linbo hat zwar WLAN-Zugang, dieser überdauert aber nicht beim Bootvorgang.)
Hallo Simon, für mich klingt das so, als müsstest Du „nur“ herausfinden, wo Windows dieses Information speichert. Alles andere konnte LINBO zB über einen Postsync doch schon immer an die richtige Stelle kopieren, oder??
Viele Grüße
Michael
Du musst doch nur ein lokales Startscript schreiben und in dein Image packen, was dir aus einer lokalen Datei die Wifi Credentials einliest.
Diese Datei packst du per Linbo postsync (via Wifi) in einen geschützten Ordner auf den nur System Zugriff hat.
Aber auf sowas komplexes kommt der Dienstleister sicher auch wenn man ihn nett fragt
Hatte ich bisher noch nie gemacht und daher nicht auf dem Schirm. Danke für den Hinweis.
Ja, das weiß ich wie das geht. Werde ich ausprobieren.
Ist es möglich innerhalb des postsync-Skripts die Linbo-Gruppe abzufragen? Dann könnte ich z.B. den PSK auf diejenigen Systeme schreiben, die auch mit WLAN genutzt werden sollen (haben dann eine eigene Gruppe), aber nicht auf alle anderen Geräte die das selbe Image verwenden.
Sicherlich, dass ich hier nachfrage hat ja auch nichts mit dem Dienstleister zu tun. Unsere bisherige Lösung (Wlan-Profil - falls verändert - via Bootskript vom Server laden und aktivieren) habe ich ja mit Hilfe des Dienstleisters erstellt. Mit dem neuen Linbo haben sich die Rahmenbedingungen geändert. Aktuell habe ich Zeit, der Dienstleister ist ausgebucht, und da geht es schneller, wenn ich hier im Forum nachfrage: Eine brauchbare Antwort über Nacht ist doch super!
Gleichzeitig profitieren alle anderen Forumsleser: Ich poste hier meine Lösung, sobald diese funktioniert.
Nicht nötig — der Mechanismus für das postsync ist so gemacht, dass -je nachdem wo Du die zu verteilende Datei hin kopierst- immer direkt für die richtigen Clients bereitgestellt wird
Das ist kein Problem….
Man kann bei postsync bis runter zum einzelnen Client festlegen, wer eine Datei bekommen soll und wer nicht. Wenn es pro Hardwareklasse verteilt werden soll, ist das genauso möglich wie auch gleich für alle Clients.
Man muss sich da nur einmal einlesen und die anzulegende Struktur auf dem Server verstehen — danach läuft das wie von selbst…
Du kannst aber auch einfach die Gruppe auslesen, finde ich übersichtlicher für so etwas. Die Variablen findest du in den Environment Variablen wenn du dich mal auf einem Rechner per Linbo anmeldest
