Linuxclients Anmeldungs-/Domänenproblem

baumhof · 9. September 2019 um 15:23

Hallo Gerd,

@Holger <https://ask.linuxmuster.net/u/holger>:
Habt ihr den universellen postsync eingerichtet?
Gibt es ein Verzeichnis
/srv/linbo/linuxmuster-client bei euch?

nein und nein…
Wir sprechen von LMLv7?

ich weiß: ich spreche auch von der lmn7

Du brauchst das Verzeichnis für den linuxclient, um die Anpassungen an
der /etc/hosts des Clients durch linbo machen zu lassen.
Schau in meinem Post zum defaultcloop von Samstag, hol dir das .zip und
lad das Verzeichnis auf den Server: dann hast du den universellen
postsync (mit der .postsync Datei).

LG

Holger

baumhof · 9. September 2019 um 15:25

Hallo Thomas,

Wichtig ist, dass man /vor dem Domänenbeitritt die macct-Datei löscht/,
die evtl. mit dem cloop mitgeliefert wird.

ich habe pinibel darauf geachtet, dass bei meinem .cloop keine .macct
Datei dabei ist.

LG

Holger

roesslerrr · 9. September 2019 um 17:07

Hallo Holger!

/etc/hosts:
"127.0.0.1 localhost

::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters"

Gruß - Rainer

baumhof · 9. September 2019 um 19:33

Hallo Rainer,

da fehlt der Rechnername.

Nimm mein .zip, hol den postsync raus: dann wird die Datei bei dir
gepatched.
Ich denke: dann klappt es auch mit der Domäne.

LG

Holger

gpeter · 10. September 2019 um 08:45

Okay und danke für die Info.
Den Post konnte ich jetzt noch nicht finden…
Ich bin auch noch mal alle Infos der Linux-Image-Datei durchgegangen und konnte nichts zum Notwendigen postsync finden:

Wenn das Skript nur die hosts Zeile baut?:
welcher Eintrag wird gesetzt? der mit der 127er Adresse oder mit der tatsächlichen IP?
oben schreibt ja andreas72 dass er sogar den 127.0.1.1 auskommentiert hat, folglich könnte ja nur so was wie folgendes funktionieren:
10.16.114.11 r122-pc11.bs-muster.llan r122-pc11
richtig?

Darüber hinaus stellt sich mir die Frage, ob es nicht doch einfacher für mich ist noch mal mit einer Standard Ubuntu Installation zu beginnen…

baumhof · 10. September 2019 um 15:45

Hallo Gerd,

Den Post konnte ich jetzt noch nicht finden…

Wenn das Skript nur die hosts Zeile baut?:

nein, das macht viel mehr.

welcher Eintrag wird gesetzt? der mit der 127er Adresse oder mit der
tatsächlichen IP?
oben schreibt ja andreas72 dass er sogar den 127.0.1.1 auskommentiert
hat, folglich könnte ja nur so was wie folgendes funktionieren:

10.16.114.11 r122-pc11.bs-muster.llan r122-pc11|
richtig?

schau mal in die Datei /linuxmuster-client/bionic/common/etc/hosts
nachdem du das .zip ausgepakt hast.

LG

Holger

gpeter · 11. September 2019 um 08:42

Hallo Holger,
Alles klar,
ich versuche das mit diesem bionic cloop für v7
Danke dir für den Link und das zip

Grüße,
gerd

MachtDochNix · 9. November 2019 um 17:02

Ein Beitrag wurde in ein neues Thema verschoben: Linux-Clients waren 2 Wochen offline - nun kein Login mehr möglich

Tobias · 17. November 2019 um 23:23

Hi zusammen, @ironiemix vor allem,

thomas:

Jetzt hatte ich mal Zeit mir das anzuschauen. Ich habe das Basiscloop verwendet. Dabei fiel mir auf, dass das mit torrent- und macct-Dateien ausgeliefert wird. Die würde ich weglassen, da sie sowieso auf dem Zielsystem neu erstellt werden müssen.

Die macct-Datei wird auf dem Server erstellt, wenn ein neues Image hochgeladen wird. Es enthält den Passwordhash des Computeraccounts, von dem das Image erstellt wurde.
Beim Start eines Systems über Linbo triggert der Linboclient einen Prozess auf dem Server, der den Hash aus der macct-Datei des Images in den Account des zu syncenden Computers schreibt, sodass dieser sich mit demselben Passwort (ist ja im Image) beim Domänenserver anmeldet. Das funktioniert seit einiger Zeit sehr stabil mit Windowsclients.
Scheint so, dass wir bei Linuxclients noch mehr Forschungsarbeit brauchen. Da ich zur Zeit Linuxclients an der Schule nicht produktiv nutze, müssen das Andere erledigen.

Cheat Domänenbeitritt

Ich habe einen Weg gefunden, wie ich ohne neues Image zu erstellen auskomme:

linuxmuster-client-adsso-setup - neu der Domäne beitreten
gewisse Daten von diesem client auf den Server in common/ kopieren (+chmod uog+r)
macct datei auf dem server erstellen (ohne neues Image)
postsync-Daten müssen fix-permission unterlaufen, damit sie auf dem Zielsystem wieder 600 haben
syncronisierter Start egal welchen Rechners der Gruppe: login möglich

Das muss/kann noch optimiert werden, aber damit ist ein unnötiger Schritt weg: ich muss kein neues Image machen. Und man kann die Domänenanmeldungsdaten auch bei einem Upgrade des Cloops retten.

Für das erste Ausrollen könnte man den ganzen Prozess auf dem Server anstoßen:

linuxmuster-client configure:
  linbo-remote -p sync+start
  wait for finish
  login via ssh and start linuxmuster-client-adsso-setup (interactively)
  ssh-copy relevant data to common/... fix permissions
  create macct file on server
  reboot client with sync, postsync fixes permissions back

die „relevant data“ ist noch nicht ganz klar, evtl. nur ein subset von diesen vier:

/var/lib/samba/private/secrets.tdb
/var/lib/samba/private/netlogon_creds_cli.tdb
/var/lib/samba/private/tls/lmn.lan.pem
/etc/krb5.keytab

mein „recreate_macct.sh“ Skript ist ein schamloser Auszug aus Thomas’ skript. Das paste ich jetzt nicht hier. Sind nur ein paar Zeilen.

Dualboot

Ich habe keinen Dualboot, so dass ich nicht weiß, ob meine Erkenntnisse irgendetwas hier beitragen können.

Noch eine mögliche Ursache…

Ich habe auch noch eine zweite Seltsamkeit einmal gesehen: Ich habe einmal den client auf dem die Domänenbeitritt geschah in der devices.csv umbenannt, danach konnte ich mich nicht mehr anmelden, weil die Logs geschrieen haben, dass HOSTNAME.LMN.LAN nicht gefunden werden könne. Das steckt ja in der krb5.keytab drin (und ist auf jedem Client ja identisch). Evtl. sollte man den Masterclient nicht aus devices.csv rausnehmen, damit er wenigstens per DNS aufgelöst werden kann.

VG, Tobias

Till · 18. November 2019 um 08:26

Hallo Tobias, wie erstellst du die macct Datei von Hand?

Gruß,
Andreas

Tobias · 9. Januar 2020 um 23:00

Hi @Till,

ich habe die relevanten Teile aus Thomas SKript zur Erstellung der macct Datei rausgeklaut.
Leider hab ich das hemdsärmelig und nicht in einem sauberen Skript gemacht, denn jetzt könnte ich den kram wieder brauchen.
Ich weiß nicht mal wo ich das skript habe. Scheint nicht mehr auf meinem Server in der Schule zu liegen. Evtl. noch auf dem Testrechner…

VG, Tobias