Linuxmuster-client-adsso-setup: Probleme mit mount

Hallo Harry,

wahrscheinlich hast du es ohnehin vorher gemacht:

sudo su
rm /etc/krb5.keytab

Viele Grüße

Wilfried

Hallo Harry,

Danke ihr zwei, ich schau mir das morgen nochmal genauer an. Wir haben
das Zertifikat auch mal haendisch rueberkopiert,

was habt ihr von wo nach wo kopiert?
Bei Zertifikaten sind meist die Dateirechte sehr wichtig.
Also: wo liegen sie auf dem Client und welche Rechte haben sie?

Außerdem könnte es sein, dass das kopieren alleine nicht reicht:
vielelicht muss der Client auch die CA des Servers anerkennen, sonst
akzeptiert er die möglicherweise korrekt vorhandenen Zertifikate nicht:
ich weiß nicht genau was das adsso script da alles macht.

In jedem Fall ist irgend was schräg: ich habe bei mindestens 15
durchläufen des scripts in verschiedensten Umgebungen noch nie erlebt,
dass es das Zertifikat nicht kopieren konnte.

Stand da nicht auch was von cant mount sysvol oder so?

Hast du auf dem server mal
sophomorix-school --gpo-create default-school
laufen lassen?
Hast du den server Gestern oder Heute aktualisiert? Es gab ein
Fehlerhaftes Update (gestern) welches nach ein paar Stunden durch ein
korrigiertes Ersetzt wurde: deswegen lieber nochmal updaten und dann
sophomorix-school --gpo-create default-school
und dann nochmal versuchen (vorher die /etc/krb5.keytab löschen)

LG

Holger

Morgen Holger,

Nein, sollte ich? Steht das denn irgendwo?

Wir installieren jetzt mal die VMs, vielleicht sind wir zu doof fuer die „scratch“-Nummer, vielleicht aber auch zu eingefahren auf alte Unixpfade. Das „Poweruserproblem“, die denken immer sie koennen’s besser als die Anleitung, die wir eigentlich sauber abgearbeitet haben.
Anders kann ich’s mir eigentlich nicht erklaeren, meine Unixskills sind 30 Jahre alt, arbeite seit 1990 erst mit HP-UX, dann AIX von IBM, ab 94 nahezu ausschliesslich mit Linux, administriere zwei Handvoll Server und bin nicht in der Lage die 7er-LML zum Laufen zu bekommen - das frisst jetzt schon an meinem Ego.
Ich wuerde gerne mal den „Netzwerkberatern“, die das eben mal nebenher installieren und grundkonfigurieren ueber die Schulter schauen, vielleicht bin ich mittlerweile einfach zu alt dafuer.

Gruss Harry

Hallo Harry,

Hast du auf dem server mal
sophomorix-school --gpo-create default-school
laufen lassen?

Nein, sollte ich? Steht das denn irgendwo?

… das steht so in meinem Kopf.
Es war mal während der Betaphase irgend wann nötig, weil die
Netzlaufwerke weg waren…
Keine Ahnung ob das noch hilft (oder in dieser Situation):
Aber du weißt ja: wenn du nur einen Hammer hast, sehen die meisten
Probleme wie ein Nagel aus …

Wir installieren jetzt mal die VMs, vielleicht sind wir zu doof fuer die
„scratch“-Nummer, vielleicht aber auch zu eingefahren auf alte
Unixpfade. Das „Poweruserproblem“, die denken immer sie koennen’s besser
als die Anleitung, die wir eigentlich sauber abgearbeitet haben.
Anders kann ich’s mir eigentlich nicht erklaeren, meine Unixskills sind
30 Jahre alt, arbeite seit 1990 erst mit HP-UX, dann AIX von IBM, ab 94
nahezu ausschliesslich mit Linux, administriere zwei Handvoll Server und
bin nicht in der Lage die 7er-LML zum Laufen zu bekommen - das frisst
jetzt schon an meinem Ego.

… muß nicht an dir liegen.
Ab und zu bringen updates ja auch mal Probleme: vor allem an Stellen,
die man eben nicht so im Blick hat.
Meine letzte Installation „from scratch“ liegt schon mehrere Monate
zurück: da hat es bei mir geklappt: möglich dass es inzwischen anders ist …

Ich wuerde gerne mal den „Netzwerkberatern“, die das eben mal nebenher
installieren und grundkonfigurieren ueber die Schulter schauen,
vielleicht bin ich mittlerweile einfach zu alt dafuer.

:slight_smile:
Wie gesagt: muß nicht an dir, oder an deinem Alter liegen.

LG

Holger

Das Einzige was ich mir jetzt noch vorstellen kann ist, dass es mit unserer Split-DNS-Konfiguration zu tun hat, wir nutzen also innen die gleiche Domain wie draussen.

Hat denn jemand in den letzten Tagen/Wochen die 7er-Installation erfolgreich nach Anleitung installiert? Es laufen doch einige davon im Produktivbetrieb.
Entweder wir machen da irgendwas monumental falsch oder der Installer „is broken by default“.

Gruss Harry

Ich habe vor ca. 4 Wochen from scratch installiert. Lief alles gut durch.

vG Stephan

Hallo Harry,
hast du ganz am Anfang auf dem Linux-Client ein linuxmuster-cloop-turnkey gemacht?
Das macht etwas mehr als ein linuxmuster-client-adsso-setup (das Serverzertifikat wird auf den Client kopiert und von samba eingebunden).
Gruß,
Mathias

Hallo Mathias,

Ja, mehr als einmal.

Wir haben mittlerweile den ganzen Scheiss nochmal mit den VMs installiert, geht immer noch nicht. Wir machen jetzt mal eine Woche Pause und sehen dann weiter.

Ich kann mir immer noch nicht vorstellen, dass das irgendwer ueber die Anleitung durchinstalliert bekommt.

Gruss Harry

Hallo Harry,
linuxmuster-cloop-turnkey kopiert einen key vom Server auf den Clientz in das Verzeichnins /var/lib/samba/private/tls. Da ich bei mir als Domäne linuxmuster.lan angegeben habe, liegt in /var/lib/samba/private/tls die Datei linuxmuster.lan.pem.

Wenn man auf einem Linux-Client linuxmuster-cloop-turnkey ausführt wird also in der Datei linuxmuster.lan.pem der Key vom Server gespeichert und in Samba eingebunden.
Und danach wird der Client in die Domäne aufgenommen. Jetzt sollte der Client neu gestartet werden.

Wenn man jetzt ein Cloop von der Linux-Partition anlegt und auf den Server hochlädt, wird nicht nur das Cloop auf den Server hochgeladen. Es werden auch die Password-Hashes für den Maschienenaccount des Clients in der Datei Cloopname.cloop.macct gespeichert.

Bei jedem Start, werden die Password-Hashes für den AD und Kerberos zurückgespielt.

Daraus ergibt sich ein möglicher Fehler: Wenn man nicht sofort ein Cloop erzeugt und hoch lädt, werden die Password-Hashes durch falsche Hashes überschrieben. Und danach geht nichts mehr.

Allerdings können in gemischten Umgebungen eigenartige Effekte auftreten (siehe hier).
Was bei mir letztendlich geholfen hat, war in der macct-Datei des Linux-Cloops die Zeilen

replace: supplementalCredentials
supplementalCredentials:: ... langer Key ...

heraus zu löschen.
Dann hat’s bei mir fuktioniert. Das darf man allerdings nicht beim Windows-Cloop machen. Sonst kann man sich unter Windows nicht mehr anmelden.

Warum das so ist, weiß ich auch nicht.

Gruß,
Mathias

Tag Mathias,

Das tut ja bei uns schon nicht, der Mount vom Serververzeichnis laeuft ja schon schief und wenn ich die PEM-Datei da haendisch reinkopiere geht das auch nicht weiter.

linuxmuster-cloop-turnkey ruft ja wohl linuxmuster-client-adsso-setup auf.

Was mich wundert ist, dass hier anscheinend keiner so ganz genau weiss, was da vor sich geht - aber irgendwer muss doch das Ganze zusammengefrickelt haben?

Gruss Harry

Hallo Harry,

Das istv eigenartig?!?
Versuch mal folgendes:

  1. Lösche die pem-Dateien in /var/lib/samba/private/tls
  2. Führe als linuxadmin den Befehl sudo linuxmuster-cloop-turnkey aus.
  3. reboote den Client
  4. Mach ein Image und lade es auf den Server hoch.

Ist jetzt eine Datei in /var/lib/samba/private/tls?
Gruß,
Mathias

Hi,

Ich habe es in den letzten Tagen noch mal gemacht. Es klappt tatsächlich :slight_smile: Hat es evtl. was mit eurem Split-DNS zu tun? Lief das linuxmuster-setup wirklich sauber durch (logs gibt es in /var/log/linuxmuster)?

Im Prinzip sind es ja diese Schritte zum erfolgreichen Setup:

  • Server mit zwei Platten
  • linuxmuster-prepare -p server ...
  • linuxmuster-setup (oder über die webUI) (hier musste ich linuxmuster-base7 neu installieren, da irgendeine Abhängigkeit nicht kompiliert wurde)
  • Benutzer anlegen
  • Rechner aufnehmen + start.conf etc.
  • Rechner starten, formatieren
  • Ubuntu installieren auf /dev/sda1
  • linuxmuster-client-adsso installieren und laut den Schritten im Github-Wiki einrichten.

Alle diese Schritte sollten sauber durchlaufen, ansonsten gibt es nachfolgend Probleme.

vG Stephan

1 „Gefällt mir“

Hallo Harry,

ein Nutzer hat die Probleme mit dem Linuxclient auf DNS Probleme in
seiner Installation zurück führen können und so lösen können (Probleme
die in anderen INstallationen so bisher noch nciht aufgetreten waren).

Unten steht, was er mir dazu geschrieben hat.

Nein, da steht von mir nichts in ask, ich habe es allein gelöst.

Die Probleme von „Harry“ und Stefan habe ich nicht gelesen, aber die DNS
müssen auf jedem absolut stimmen für Samba 4.

Das einfachste, um die Anmeldung eines Lehrers auf einem Client zu
testen, ist per SSH von dem Server, damit kann man schnell wissen, was
los ist.

Wenn es läuft, muss man auf dem Client dann überprüfen, ob der Id
mapping stimmt, z.B. mit „id LEHRER“, es soll das gleiche sein wie auf
dem Server.

Dann testet man ob die DNS-Anfragen korrekt sind, z.B. „nslookup
andere-client.mydomain.de“ ( oder mit dig ).

Ich musste auf meine Clients das Paket resolvconf entfernen, und die
Einträge in /etc/resolv.conf anpassen damit es läuft.

LG

Holger

1 „Gefällt mir“

Vielen Dank euch,
ich werde das mal so durchtesten, im Moment brauche ich da aber erstmal Abstand von, eine Woche Pause.

Diese elenden Automatismen und Neuansaetze gehen mir sowieso auf’n Sack, resolvconf, network manager, avahi, netplan, dhcpcd (der Name!) …

Bisher ist man doch eigentlich mit der /etc/network/interfaces gut klar gekommen, mittelsteile Lernkurve und gut war.
Durch diese Automatismen ist das ganze System fuer den Admin doch nur unuebersichtlicher geworden, was spricht gegen 5 Zeilen Code in einer Konfigurationsdatei?

Gruss Harry

Haben gestern mal wieder einen Tag verheizt bis wir das zum Laufen gebracht haben.
Bei uns duerfte das postsync-Skript die Probleme verursacht haben, das patcht naemlich lustig in /etc/hosts rum und zwar so wie das namensmaessig fuer den Server im cloop in Stein gemeisselt wurde, dann findet der Client den Server nicht.
Deshalb hat das mit den Namen auch nicht gepasst.

/srv/linbo/linuxmuster-client/lmn-bionic-200507/common/etc/hosts

Mir ist nach wie vor unverstaendlich, wie das hier offensichtlich viele ohne viel Gefuchtel hinbekommen haben.

Gruss Harry

Hallo Harry.
also das ohne viel Gefuchtel kann ich für mich streichen …
Ja, es läuft (irgendwie) – aber sehr vieles ist auch noch ungewohnt/anders/verhält sich nicht so wie sonst.
Ok, das hilft Dir jetzt nicht wirklich weiter …
VG
Michael

Die 7er-Version ist ja keine Beta mehr und irgendwie dachte ich, dass diese auch mit anderen Namen und IP-Ranges problemlos klar kommt - das ist zumindest bei mir so angekommen.

So wie das fuer mich aussieht, sind da aber an unzaehligen Ecken noch irgendwelche Tretmienen versteckt, die dummerweise durch den Umstieg auf Samba 4 und damit den ganzen Kerberoswahnsinn, den eigenen Nameserver vom Samba usw. usf. schwierig mit klassischen Suchmethoden aufzufinden sind, alles Neuland.

Split DNS wird dadurch ja auch nicht einfacher, im BIND sind gleich mal noch ein paar Namen und IPs in die Zonendateien reingeschrieben, mit Samba-DNS muss man da erstmal ausgiebig in der Doku rumsuchen bis das klappt (falls es klappt, soweit bin ich noch nicht).

Mit den Problemen, die hier auftauchen, kann ich den Umstieg auf 7 niemandem empfehlen, es koennte aber auch sein, dass ich denke, ich wuesste zuviel und torpediere das ganze System durch meine „klassische“ Vorgehensweise - kann also auch an mir liegen.

Die Frage ist, ob man mit der 7er Werbung fuer Linuxmuster macht oder ob die Probleme da eher in die Gegenrichtung tendieren laesst, sie ist ja offiziell die zu bevorzugende Version, oder?

Wie schon geschrieben, vielleicht bin auch ich das Problem, lese ich mir aber die Problemthreads zur 7er durch, dann sind da schon ein paar „sophisticated“-Probleme zu loesen und selbst die alten Hasen und Entwickler geben Tipps wie: „Probier doch mal das und wenn das nicht tut, dann koennte und ueberhaupt…“
Ich weiss, dass Support per Mail schwierig ist, aber das System scheint im Ganzen noch von niemanden durchdrungen, auch die Entwickler scheinen mir hier teilweise ratlos.
Kommen denn die ganzen Supportfirmen damit klar?
Netzint und Co?
Oder installieren diese nur „out of the box“ eine Version fuer alle?

Gruss Harry

Hi Harry,
gute Frage mit teilweise berechtigter Kritik … ich habe die Erfahrung gemacht, dass man (im Moment?) sehr gut damit beraten ist, sich möglichst an die Standardinstallation zu halten und auf alles andere möglichst zu verzichten. Ich hatte damals auch den Schalter --do-it-like-babo verwendet und das schon so manches Mal bereut. Aber für einen Neuanfang ist es nun zu spät bzw sind wir schon zu weit, als dass ich alles nochmal über den Haufen werden möchte.

Ich denke, dass die default-Installationen am wenigsten Ärger machen. Und wenn du den bionic-Client einbinden willst, der hier angeboten wurde: Ja, auch der wurde imho so installiert, dass er in einem 10.16er-Netz lief und nicht in einem 10.0er. Leider sind da ein paar Stellen, wo die Einstellungen nicht passen bzw nicht zum neuen Standard-Netz passen.

VG,
Michael

Hallo,

irgendwie bin ich auch ein wenig erleichtert, wenn erfahrene Linuxer ähnliche Zweifel und Schwierigkeiten haben wie ich.
Dieser Umstieg kostet Nerven, da - abgesehen von Linbo - alles neu gemacht werden muss. Und die Migration vom alten System ist auch kein Spaziergang. Da nach den Ferien mit Sicherheit der online-Unterricht weiter eine Rolle spielen wird, bin ich mir nicht sicher, ob jetzt der richtige Zeitpunkt für diesen grundlegenden Systemwechsel ist.
Vielleicht sollte der Verein ernsthaft darüber nachdenken, wie lange eine Pflege der V6.2 unter diesen Bedingungen sinnvoll ist.

Viele Grüße

Wilfried

Hallo Wilfried. Wir fahren gerade zweigleisig: da die Schule sowieso im Moment Glasfaserleitungen bekommt und überall neue Switche aufgehängt werden, ist ein Parallelbetrieb gerade gar nicht so schwer.
Ich werde das neue WLAN als erstes komplett über das neue Netz abwickeln und dann mehr und mehr dazu stecken… Bis das alte Netz dann eines Tages ganz ausgeschaltet werden kann (soweit die Theorie…)
VG
Michael