Linbo mit echter Windows Active Directory Domäne

Cello · 1. Juli 2021 um 08:05

Hallo Dorian

ja das hast du richtig verstanden.
Mein Plan war es, das bestehen AD zunehmen. Da hier die Computerkonten vorhanden sind.
Jetzt habe ich gehofft, das sophomorix darauf zugreifen kann. Da ich die Installation vor der Samba Umstellung gemacht habe, denke ich passen hier einige Benutzerobjekte nicht zueinandern.

Kann man denn den Sophomorix teil nocheinmal drüberinstallieren, in der Hoffnung das er nun seinen Einträge in der gespiegelten AD Version durchführt.

wäre das ein gangbarer Weg?

LG
Marcel

baumhof · 1. Juli 2021 um 08:17

Hallo Macel,

bist du dir wirklich sicher, dass du die Struktur deines bestehenden ADs verändern willst?
Ich halte das für eine ausgesprochen schlechte Idee …

LG

Holger

Cello · 1. Juli 2021 um 09:00

Hallo Holger

wie soll ich es dann sonst lösen. Ich benötige Linbo, Linbo benötigt Sophomorix, das AD muss von Windows Server kommen, da ich hier auch die Maschinen joine. Der Sambateil ist also nicht so wichtig, nur funktioniell für Sophomorix notwendig. Oder denke ich da völlig falsch.

LG
Marcel

tjordan · 1. Juli 2021 um 09:03

Hallo Marcel,

ganz ehrlich? Verzichte auf LINBO und such nach einer anderen Lösung.

Viele Grüße
Thomas

Michael · 1. Juli 2021 um 09:05

… wie z.B. https://fogproject.org/

tjordan · 1. Juli 2021 um 09:11

z.B…aber es gibt auch andere Möglichkeiten. Kommt drauf an, was man braucht. Auch die Kombination aus OPSI mit HD-Guard (HDGUARD - IST Deutschland) liefert ordentliche Ergebnisse…

Cello · 1. Juli 2021 um 09:36

Hallo Michael

mein Kunde will Rembo und muss mit neuen UEFI Bios Rechner PXE booten. Er erstellt seine Images selbst und verteilt diese jeden morgen automatisch. Linbo macht in meine Augen genau das. Einfach aus technischer sich bissel anders, oder auch nicht.

Kann fogproject das auch oder ist es eine der 100derten Deploy tools die einfach bei der Installation vom OS helfen. Dann wäre es nicht das gleiche.

Michael · 1. Juli 2021 um 09:37

… da bin ich leider überfragt. Aber das Projekt ist gut dokumentiert …

dorian · 1. Juli 2021 um 10:54

Nein.

Sophomorix braucht auch die Computerobjekte an einer bestimmten Stelle und mit einem bestimmten Schema. Du müsstest also auch die Linuxmuster Geräterverwaltung benutzen, damit sophomorix die Computerobjekte im AD selbst anlegt.

Linuxmuster ist einfach nicht dafür ausgelegt, dass man an der AD Struktur etwas ändert - das ist nämlich auch garnicht nötig, wenn man es als ganzes verwendet.

Der einzige aus meiner sicht gangbare Weg wäre es, Linbo zu forken und es so umzubauen, dass es in eure Lösung passt. Das ist möglich, braucht aber einine Menge Sachverstand. Für einen Linuxmuster Anfänger ohne große Programmoerkenntnisse halte ich das nicht für realistisch.

Also entweder, du findest jemanden, der das für dich macht, oder du nimmst einfach eine andere Lösung. Oder aber du stellst komplett auf Linuxmuster um.

VG, Dorian

Cello · 1. Juli 2021 um 11:01

Das ist klar, das hatten wir zu Rembo Zeiten auch so gemacht. Mir ist einfach nicht klar, weshalb Sophomorix einen Fehler bei der Anmeldung am AD bekommt. Sämtliche Parameter und Kennwörter stimmen.

Ich werde jetzt eine andere Lösung testen.

Aber ich danke euch sehr für eure Unterstützung. Es war und bleibt spannend.

LG
Marcel

alois · 1. Juli 2021 um 11:27

Hallo,

das halte ich auch für den vernünftigsten Weg.

Gruß

Alois

dorian · 1. Juli 2021 um 12:32

Wiel im AD Objekte und Strukturen fehlen, die Sophomorix braucht.

Cello · 6. Juli 2021 um 11:48

Wenn man weiss welche Objecte und Strukturen Sophomorix will, dann könnte man es ja nachbauen. Aber ein SAMBA AD ist einfach kein richtiges AD. Von daher…

tjordan · 12. Juli 2021 um 06:47

In der Lösung von linuxmuster.net wird in das AD-Schema eine eigenständige Struktur eingefügt und, um die für Sophomorix erforderlichen Attribute, erweitert. Von daher ist es richtig, dass der SAMBA-AD der linuxmuster.net nicht mehr dem MS Standard im Auslieferungszustand entspricht. Das Kernstück der Serververwaltung dieser Lösung ist Sophomorix, welches das (für Sophomorix massgeschneiderte AD) nur das Backend nutzt.

Findet Sophomorix seine Umgebung nicht vor, weil die massgeschneiderte Struktur nicht existiert oder den AD-Objekten die Sophomorix-Attribute fehlen, funktioniert die Lösung nicht.

Natürlich kann man auch in einem MS AD diese Struktur anlegen und die Schemenerweiterung durchführen.

Von daher verstehe ich nicht so ganz, was du mit

sagen willst.

Wenn man versucht, nur den Teil einer Lösung zu in seine eigene zu implementieren, kann das schon potentiell problematisch werden, wenn der Entwickler sein Produkt als ganzheitliche Lösung betrachtet, bei der ein Rad ins andere greift.

Daher meine Empfehlung: Komplett wechseln oder bleiben lassen.

Viele Grüße
Thomas Jordan

Hokulea · 9. August 2021 um 11:22

Man kann sich das Leben auch unnötig schwer machen.
Microsoft hat das WDS (Windows Deployment Service) mit im Gepäck.
Im Gegensatz zu Linux sind die Microsoftanleitungen brauchbar und können recht einfach umgesetzt werden.

Es werden auch keine extra Rechte benötigt, die Anmeldung funktioniert ebenfalls sauber.
Wenn man schon Lizenzgebühren bezahlt, dann soll man sie auch ausnutzen soweit es geht.

Cgsman · 10. August 2021 um 08:03

Hallo, Hokulea,

sorry, aber wir diskutieren hier zwar auch manchmal emotional, aber auch immer sachlich und versuchen, Probleme freundlich, verständnisvoll und sachlich zu lösen. Vor allem „raunen“ wir nicht herum und verweisen auf irgenein tolles Tool X, sondern beschreiben die Problemlösung in nachvollziehbaren Schritten.
Allein schon Deine trollige Selbstbeschreibung zeigt, dass Du offenbar daran kein Interesse hast.
Schade für Dich -
vielleicht änderst Du Deine Strategie, dann wirst Du hier von diesem Forum selbst gut profitieren und ein paar Dinge besser verstehen…

Grüßle
Christoph

Hokulea · 11. August 2021 um 06:32

Hallo Cgsman,
wenn ich kein Interesse hätte, würde ich ganz sicherlich keinen Kommentar abgeben.

Ich bin sei 1976 in der IT, mehrfach zertifizierter Microsoft Certified Systems Engineer, Server Infrastructure (2003 - 2019) und ebenso für Windows Desktop Administrator XP - 10; um das Bild ein wenig zu vervollständigen CompTIA Linux+ / LPIC-2.

Ich habe nicht auf ein „allgemeines Tool“ hingewiesen, sondern um einen integrierten Service im MS Server Paket, das genau für diesen Anwendungswall bereit steht.

Das wäre der einfacher Weg gewesen, es gibt aber auch einen komplexen Weg über Linux, der ist aber mit einem erheblichen Aufwand verbunden.

tjordan · 11. August 2021 um 07:33

Hallo Hokulea,

was der Beitrag mit dem Thema zu tun hat, kann ich unglücklicherweise (auch) nicht wirklich erkennen.
Sicherlich kann man auch WDS einsetzen.
Hier gehts aber nicht um mögliche Alternativen, sondern den konkreten Versuch einen LINBO-Server mit einer anderen Struktur, als sie von linuxmuster.net vorgesehen ist, zu betreiben, weil man nach einer funktionsgleichen/-ähnlichen Alternative zu einer REMBO-Funktion (Wiederherstellen eines definierten Arbeitsstationszustands auf Knopfdruck binnen weniger Minuten. Auslösbar durch den Anwender bzw. automatisiert bei Systemstart), gesucht hat. WDS ist nunmal nicht annährend funktionsgleich, geht daher am Thema komplett vorbei.

Viele Grüße
Thomas

Buster · 24. August 2021 um 19:31

Hallo Marcel,

ich weiß nicht wieso die eingesessene LMN-Community so auf Sophomorix fixiert ist. Linbo läuft super standalone. Folgendes Setup funktioniert getestet:

Benutzerverwaltung und Computerkonten sind komplett von Sophomorix losgelöst in einem „externen AD“, dass nur von Windows-Domänen-Controllern betrieben wird. Die Installationen der Client-PC sind alle am externe AD angemeldet und ignorieren das „interne AD“ komplett, welches Samba/Sophomorix anbieten. Der Nachteil ist offensichtlich: Man hat keine Integration in weitere Dienste, da keine Nutzer/Computer-Konten im internen Verzeichnisdienst verfügbar sind. Wenn man aber nur das Imaging-System Linbo nutzen will, ist das ja nicht weiter tragisch und das geht ohne Weiteres. Linbo als System ist letztlich „nur“ Umgebung, welche die Aufzeichnung/Wiederherstellung von Partitionen mittels ntfsclone mit DHCP, PXE-Boot, Dateiverteilung per Torrent/Rsync/Multicast verknüpft. Dafür sind serverseitig nur Rechnername, IP, MAC und paar Angaben zur Hardware notwendig, die sich alle im WebGUI auf den beiden Seiten Geräte und LINBO hinterlegen lassen. Die Lösung geht davon aus, dass zentrale Funktionen wie Benutzerverwaltung, Datei- und Druckserver ohnehin im externen AD bereitgestellt werden. Es gilt also nur noch zwei Probleme der Client-PC zu lösen:

das Domänen-Computerkonto und
die Microsoft-Aktivierung.

Lösung für das Domänen-Computerkonto

Für das Problem des Computerkontos gibt es eine einfache Lösung, wenn man auf etwas Sicherheit verzichtet, lässt man das Passwort nicht ablaufen (Einstellung in Gruppenrichtlinie möglich) und setzt ein statisches Passwort für alle neuen Computerkonten (mit Tools wie mtaman.exe oder lsasecret.exe). Da du bereits Rembo hast, besitzt du mit dem CAM-Service auch schon einen Dienst, der genau das macht und den du „missbrauchen“ kannst, um die Computerkonten anzulegen. Diesen kann man via Telnet ansprechen und übergibt als Parameter nur noch Computername und Passwort, ggf. auch die OU in der das Computerkonto angelegt werden soll.

echo <computername> <passwort> OU=<Raum>,OU=Raeume,DC=example,DC=org | telnet <IP des Windows-Servers mit CAM-Dienst> 2002
Alternativ gibt es den JDS-Service, der macht das Gleiche nur ohne Support für OU. Du trägst also alle Computer in die WebGUI von Linbo ein und startest einen Befehl:

for computer in $(fgrep classroom-studentcomputer /etc/linuxmuster/sophomorix/default-school/devices.csv | cut -d';' -f2); do
echo $computer 123456 OU=Testraum,OU=Raeume,DC=example,DC=org | telnet <IP des Windows-Servers mit CAM-Dienst> 2002;
done

Ergebnis: Sekunden später hast du alle Computer vom Typ Schülerrechner aus der WebGUI im externen AD importiert und jeder Computer hat das statische Passwort „123456“. Wenn keine OU angegeben wird, kann der Befehl jederzeit ohne Gefahr wiederholt werden. Für bestehende Computerkonten wird lediglich das Passwort wieder zurückgesetzt. Da dies aber ohnehin nie geändert wird, entsteht kein Problem.

Um auf Nummer sicher zu gehen, kann man im Client-PC in der Aufgabenplanung das Passwort des Computerkontos bei jedem Systemstart zurücksetzen:

C:\linuxmuster-win\lsaSecretStore.exe $MACHINE.ACC 12345678

(Kann sein, dass ich die lsaSecretStore.exe nach C:\linuxmuster-win kopiert hatte und die dort nicht per default vorhanden ist. Eine Alternative wäre mtaman.exe, die ja auch auf dem Rembo-Server bereitgestellt wird.)

Lösung für die Microsoft-Aktivierung

Wenn ihr bisher bei Rembo MAK-Aktivierung genutzt habt, empfehle ich auf KMS-Aktivierung umzusteigen. Linbo kann zwar auch eine Zuordnung von Aktivierungsinformationen zum Rechner, aber das Thema habe ich mir erst gar nicht weiter angeschaut, weil KMS aus meiner Sicht recht simpel und robuster ist, falls mal „neue Hardware“ erkannt wird und eine Reaktivierung eingefordert wird. Zu KMS gibt es hier im Forum etliche Themen als Hilfestellung.

Mit dieser Methode habe ich derzeit 340 Clients mit 4 Imagegruppen verteilt auf 21 Raumgruppen laufen. Linbo kennt zwar keine Raumgruppen wie Rembo, aber wir haben hier Gruppen dupliziert und verwenden für viele dieselben Basisimages. Mir ist es sogar gelungen eine Serie von Rechnern mit legacy-BIOS mit nur einem Basisimage zum Laufen zu bekommen, wo es Geräte mit NVMe und SATA-Platten gemischt gibt (restliche Hardware ist gleich).

Falls die Benutzerverwaltung doch ein essentielles Feature ist, welche ihr bisher nicht über Windows-Server bzw. die Microsofts Management Console darin gelöst habt, dann wäre auch noch eine Variante vorstellbar, den LMN-Server als Vertrauensstellung/Sub-Domäne mit dem vorhandenen ActiveDirectory zu verbinden. Benutzer und Computer wären im AD von Samba/Sophomorix und deine bestehenden Dienste im externen AD. Das sei aber nur als theoretisch möglicher Weg aufgezählt. Hier habe ich keine Erfahrung beizutragen.

MfG Buster