Wenn ich mein Client boote sehe oben links: NAMEDESCLIENTS.linuxmuster.lan
Es scheint also im Domain aufgenommen zu sein.
Ich kann mich allerdings nicht mit einem Domänenbenutzer anmelden
(Passwort ungültig).
Dies habe ich mit verschiedenen Nutzer versucht.
Im Client als Linuxadmin: Konsole gibt folgendes aus:
Hostname: NAMEDESCLIENTS.linuxmuster.lan
Domainname: (none)
die hosts Datei stimmt noch nicht.
Bitte poste den Inhalt der Datei
/etc/hosts
vom Client
Kontrollier auch, ob die Systemzeit stimmt.
Welceh IP hat der Client?
Welche IP hat der Server?
ich habe mein Client von vorne neu gemacht und es klappt.
Ich kann mich jetzt als Domain-Benutzer anmelden.
Fragen:
ist es normal, dass der Ordner "Schuelerhomes leer ist?
Wenn ich mit firefox ins internet will bekomme ich die Meldung:
Der Proxy moz-proxy://firewall.linuxmuster.lan:3128 verlangt einen Benutzernamen und ein Passwort. Ausgabe der Webseite:„OPNsense proxy authentification“
Das ist bei jeder Domain-Nutzer der Fall. Nur bei linuxadmin nicht…
Was hat das auf sich?
Wenn ich mit firefox ins internet will bekomme ich die Meldung:
Der Proxy moz-proxy://firewall.linuxmuster.lan:3128 verlangt einen
Benutzernamen und ein Passwort. Ausgabe der Webseite:„OPNsense proxy
authentification“
Das ist bei jeder Domain-Nutzer der Fall. Nur bei linuxadmin nicht…
Was hat das auf sich?
hast du SSO in der opnsense aktiviert und an den neuen Server angebunden?
Wie das geht, steht hier:
ls /srv/samba/schools/default-school/students/ zeigt alle Klassen. In den jeweiligen Klassen sind alle Schüler da. Jeweils mit Ordner Transfer und Einstellungen.
sophomorix-school --gpo-create default-school (bei Dir fehlt ein - zwischen gpo und create) habe ich gemacht.
Nachtrag:
Habe mich in die Klassen eingeschrieben und dann geht es!! .-)
das liegt nicht am Cleint sondern an der Einstellung auf dem Server.
Wo kann ich das einstellen?
früher war das das Feld „shell“ im LDAP.
Ich nehme an, dass es sowas wieder gibt im AD
Allerdings weiß ich nicht wo und wie man das bearbeitet.
Hast du da keine Bedenken, wenn die Schüler an der Konsole rankommen?
… nö.
Seit die eine Schülerin aus der 7ten Klasse in der 10ten zum TG
gewechselt hat, gab es niemand mehr, der sich ernsthaft mit dem Netz
auseinandergesetzt hätte.
Die hält inzwischen regelmäßig Vorträge auf dem CCC: hab erst vorgestern
wieder einen von ihr angeschaut
Die Schüler haben dann ja auch nur eine Shell auf dem Client und nicht
auf dem Server: dafür bräuchten sie ja eien ssh key …
da der Cloop von Dir ist, die Frage direkt an dich:
ich konnte mich per ssh nicht am Client einloggen.Das habe ich erstmal so gelöst, dass ich einloggen per Passwort wieder erlaubt habe.
Dann habe ich den Inhalt von id_rsa.pub (Server) in die Datei /root/.ssh/authorized_keys kopiert (und deine Key gelöscht!!)
Rechte mit gesetzt mit
chmod 700 /mnt/root/.ssh/
chmod 600 /mnt/root/.ssh/authorized_keys
und die /etc/ssh/sshd_config vom Client geändert:
AllowUsers root@10.0.0.1
PasswordAuthentification ist auf no.
Ich kann mich aus dem Server mit ssh IPdesCLIENTS direkt ohne Passwort anmelden.
Aus einem anderen PC (nicht Server!) geht das nicht (so soll es auch sein). Allerdings wird die Verbindung nicht abgelehnt sondern ich werde nach einem Passwort gefragt.
Sollte da eigentlich gar kein Passwortabfrage stattfinden sondern die Verbindung direkt abgelehnt werden?
Kann ich das einstellen?
Als welcher User bist du am Server angemeldet bei deinem Versuch?
Wie hast du den Public-Key des Servers (user root) auf den Client übertragen?
Wie in der Quelle beschrieben?
ich schreibe hier mein Vorgehen etwas ausführlicher. Vielleicht hilft das jemand später!
Ausgangssituation:
lmn7 auf xcp virtualisiert. 10.0.0.1 (id_rsa und id_rsa.pub sind unter /root/.ssh/ vorhanden
Client: cloop Ubuntu 18.04 von Holger. 10.0.3.42
Vorgehensweise:
auf dem client als linuxadmin angemeldet und die Datei id_rsa.pub vom server mit scp root@server:/root/.ssh/id_rsa.pub /root/.ssh/ geholt.
den Inhalt der datei Authorized_keys gelöscht (da war noch ein Schlüssel von Holger drin)
den kopierten Schlüssel zur Datei Authorized_keys hinzugefügt: cat id_rsa.pub >> authorized_keys
Rechte angepasst: chmod 700 /root/.ssh/ und chmod 600 /root/.ssh/authorized_keys
Datei /etc/ssh/sshd_config wie folgt geändert:
`
# Package generated configuration file
# See the sshd_config(5) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes
AllowUsers root@10.0.0.1
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication yes
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no
ssh neu gestartet und sogar neu gebootet.
Da es nicht lief habe ich derzeit folgendes eingestellt: #AllowUsersroot@10.0.0.1
PasswordAuthentication yes
UsePAM yes
Damit komme ich
aus jedem PC im Netz mit ssh linuxadmin@10.0.3.42 ins Client (mit Eingabe vom Linuxadmin-Passwort)
aus dem Server (root) mit ssh 10.0.3.43 direkt ohne Passwort als root ins client
aus dem Server (root) mit ssh linuxadmin@10.0.3.43 ohne Passwort als linuxadmin ins client
Der Passwortlose Zugriff mit Key scheint also zu funktionieren.
Ziel ist ausschließlich eine Verbindung ohne Passwort vom root vom Server aus.
Ist meine sshd_config Datei wie oben OK?
Wo ist der Wurm drin?
Das ist mir noch suspekt: ChallengeResponseAuthentication yes
Grüße,
Jean-Francois
Ps.: wie fügt man hier im forum Quellcode ein (am besten mit Scrollfenster?)
[Edit] gefunden: [code] ist das Zauberwort!!
Hallo Holger,
ich versuche mich auch gerade an lmn7. Solange es die linuxmuster-client-servertools noch nicht gibt würde ich gerne die Installation des default cloop von Hand versuchen. Gibt es das irgendwo samt Anleitung?
ich versuche mich auch gerade an lmn7. Solange es die
linuxmuster-client-servertools noch nicht gibt würde ich gerne die
Installation des default cloop von Hand versuchen. Gibt es das irgendwo
samt Anleitung?
ich hatte gerade ein ähnliches Problem. Allerdings geht surfen jetzt noch nicht. Die Meldung in Firefox mit dem Proxy erscheint nicht mehr. Aber scheinbar verwendet der Client den Proxy trotzdem nicht. Wenn ich den aber manuell als Systemproxy eintrage, dann funktioniert alles.
Das ist zwar schön und gut, aber damit muss ich als lokaler Nutzer, zum Beispiel für die Administration, oder zum Verleihen von Laptops den Proxy jedesmal manuell entfernen. Ist das so gedacht, dass auf dem Client ein Proxy eingerichtet werden muss, oder hab ich da irgendwo einen Bock geschossen?
Als Alternative könnte ich zusammen mit nem Login-Skript für jeden Netzwerk-Benutzer den Proxy setzen. Ich müsste nur wissen, in welcher Variable in den Login-Skripts der Name des Benutzers steht. In ‚$USER‘ scheint er nicht zu stehen, sonst müsste das hier eigentlich funktionieren:
Da die Nutzer linuxadmin (und vermutlich auch lokal) keine AD-Nutzer sind, werden die Login Skripte für sie nicht ausgeführt. Daher sollten sie eigentlich auch keinen Proxy bekommen. Der Linuxclient fasst nur AD-Nutzer an.
