ich würde gerne unsere Laptops mithilfe von linbo pflegen. Da diese aber in einem anderen Netz unterwegs sind als der Server (ich muss dann also immer an den Server für die Updates), stören natürlich all die Einstellungen, welche beim Domain-Join passieren (gemountete Laufwerke, Proxy, andere Anmeldeskripte).
Wie gehe ich da jetzt am besten vor?
Wenn ich das richtig verstehe, müsste ich vor allem versuchen, die Anmeldeskripte für diese Hardwaregruppe nicht ausführen zu lassen?
du legst sie in der lmn an, aber mit dem Eintrag „iponly“ statt „student-classroompc“(oder so).
Damit bekommen sie eine ordentliche IP.
Wollen sie über diese aus Grün ins Internet, dann mußt du entweder den Proxy am Gerät eintragen, oder sie in der OPNsense unter Alias in die noproxy Gruppe eintragen.
Da ist aber Vorsicht geboten: wenn du da normale IPs drin hst, dann kann jeder, der die IP seines Gerätes in Grün ändern kann, die IP eines solchen noproxy Clients annehmen (mit Nebenwirkungen, wenn der auch läuft) und so ohne auth ins Internet.
Oder erzeuge ich dann einfach so Images, welche ich verteile?
Wegen der IP ist erst Mal keine Sorge, weil die ja normalerweise nicht in Sichtweite des Servers agieren, sondern über ein anderes WLAN ins Netz gehen sollen…
linuxmuster-client ist nicht nötig, wenn sie nicht in die Domain sollen.
Images erstellen ist bei iponly Clients nicht vorgesehen. Dann mußt du sie doch als classroomdingens eintragen, dann kannst du linbo per PXE booten.
Image-Pflege ist der Grund, warum ich sie in linbo einbinden wollte.
Wenn ich via PXE boote und Images pflege - muss ich dann linuxmuster-client verwenden oder macht der den Rest (anpassen der Laufwerksnamen/Hostnamen etc.) dann selber?
Wenn du den linuxmuster-client weglässt, sind sie nicht in der Domäne.
Du kannst trotzdem Linbo verwenden und wie Holger richtig sagt musst du die IP-Adressen dieser in eine no-prox-gruppe eintragen.
Wenn dir die Gefahr zu groß ist, dass irgendjemand in grün die IP ändert, um am Proxy vorbei zu surfen, kannst du für die no-domain-rechner eine extra Alias in der OPNSense anlegen, die No-Proxy-Regel Clonen und mit diesem Alias verwenden. Dann kannst du sie im Alltag deaktivieren und nur bei Wartungsarbeiten verwenden.
