Linuxmuster-client-adsso (v7)

Kurze Aufsichtspause, ich habe mir die postsync-Sache nochmal angeschaut.

Die Rechte von vanilla.rsync.postsync stehen auf root:root 664 (nicht 644), aber das scheint mir so in Ordnung. Die Uhren von Server und Client sind halbwegs synchron (im Sekundenbereich).

Im Postsync-Script habe ich bionic durch vanilla ersetzt und die hosts-Datei in das entsprechende Verzeichnis /src/linbo/linuxmuster-client/vanilla/common/ kopiert. Rechte: root:root 644

Grüße,
Stefan

Hallo Stefan,

meine postsync-Dateien habe alle das folgende Benennungsschema:

Imagename.cloop.postsync, zudem die Rechte 644 und root/root

Viele Grüße

Wilfried

Hallo Wilfried,

glaube ja nicht, dass das zusätzliche Gruppenschreibrecht da einen Unterschied macht. Mein vanilla.rsync.postsync kommt daher, dass ich eben auch ein rsync-Image für die Gruppe erstellt habe.

Habe vorsichtshalber auch ein identisches vanilla.cloop.postsync drin, aber mir ist nicht ganz klar, wann das jeweils angewendet wird: Nach dem Syncen des cloop-Images und vor dem Syncen des rsync-Images, oder erst ganz am Ende…?

Grüße,
Stefan

Hallo zusammen,

ich bin mir nicht sicher, ob meine Anfrage jetzt hier reinsollte, da hier doch eher die technischen Details des Pakets linuxmuster-client-adsso besprochen werden. Trotzdem betrifft es mich, der ich mit der Einrichtung eines v7 Linuxclients nicht ganz erfolgreich bin.

Wie ich in verschiedenen Beiträgen gelesen habe, ist die v7 Anleitung
https://docs.linuxmuster.net/de/latest/getting-started/linuxclient.html und das dort beschriebene cloop lmn-bionic-200507 wohl für die linuxmuster v6. Jedenfalls war ich mit diesem Image und der Anleitung nicht erfolgreich. Also habe ich das zweite zur Verfügung stehende Image ubuntu_vanilla und entsprechend der Anleitung installiert.

Was dabei aufällt:

Ich ändere über die WebGUI des linuxmuster das Verhalten von „sync+start“ auf „start“, damit ich auch Änderungen in meinem Musterclient machen kann.
Beim ersten Hochfahren nach dem Imaging ist das Wurzelverzeichnis des Clients readonly gemountet, weil die /etc/fstab keinen gültigen Eintrag für „/“ hat. Ok, das kann ich manuell korrigieren, aber da ist wohl noch ein Bug in linuxmuster-client.

Anschließend aktualisiere ich den Client und führe linuxmuster-cloop-turnkey aus. Soweit scheint alles in Ordnung. Allerdings funktioniert Single-Sign-On mit dem Firefox nicht. Es kommt die Abfrage nach dem Benutzer/Kennwort.

Folgendes habe ich verifiziert:

  • Die Zeit auf Server/Client/Firewall stimmt überein
  • Auf einem Windows Client funktioniert SSO mit demselben Benutzer
  • Ein „klist“ auf dem Client nach dem Login listet mir die gültigen Kerberos Tickets
Valid starting Expires Service principal 
09.06.2020 10:24:00 09.06.2020 20:24:00 [krbtgt/FZI.LAN@FZI.LAN]      
erneuern bis 16.06.2020 10:24:00 09.06.2020 10:24:03 09.06.2020 20:24:00 [ldap/server.fzi.lan@FZI.LAN]
09.06.2020 10:26:11 09.06.2020 20:24:00 HTTP/firewall.fzi.lan@ erneuern bis 16.06.2020 10:24:00 09.06.2020 10:26:11 09.06.2020 20:24:00 [HTTP/firewall.fzi.lan@FZI.LAN] 
erneuern bis 16.06.2020 10:24:00 09.06.2020 10:37:04 
09.06.2020 20:24:00 [cifs/SERVER@FZI.LAN] 09.06.2020 10:37:10 09.06.2020 20:24:00 [cifs/server.local@FZI.LAN]

Was ist noch zu tun, damit SSO mit dem Firefox und dem Linux Client funktioniert?

Es fällt noch auf, daß es auf dem Client im Dateimanager in der linken Spalte Verknüpfungen zum Vorlagenbenutzer „linuxadmin“ gibt für Dokumente, Musik, Bilder etc. Müssen die noch mit einem Postsync Script weg?
Ebenso gibt es im persönlichen Ordner z.B. Downloads-entfernt, Dokumente-entfernt etc. Woher kommen diese Ordner, bzw. wie bekomme ich das sauber?

Danke für die Unterstützung!

Viele Grüße
Klaus

Hallo Klaus,

Was dabei aufällt:

Ich ändere über die WebGUI des linuxmuster das Verhalten von
„sync+start“ auf „start“, damit ich auch Änderungen in meinem
Musterclient machen kann.
Beim ersten Hochfahren nach dem Imaging ist das Wurzelverzeichnis des
Clients readonly gemountet, weil die /etc/fstab keinen gültigen Eintrag
für „/“ hat. Ok, das kann ich manuell korrigieren, aber da ist wohl noch
ein Bug in linuxmuster-client.

kann man so sehen.
Aber das liegt nicht am linuxmuster-client-adsso Paket, sondern im
postsync auf dem Server: der soll eigentlich die vorgelegte fstab so
verändern, dass die root und swappartitionen stimmen.
Hast du eine imagenamen.cloop.postsync auf dem Server?
Gibt es den Verzeichnisast
/srv/linbo/linuxmuster-client/bionic-vanilla/…

Dot sollte diese Datei liegen:
/srv/linbo/linuxmuster-client/bionic-vanilla/common/etc/fstab
und die wird durch den postsnc manipuliert (oder: sollte werden …).
Da steht #dummyswap und #dummyroot drin, die beide ersetzt werden sollten.
Wenn das nciht klappt, dann ist das einfachste, dort (auf dem Server)
das richtige rein zu schreiben.
… es sei den du hast Lust das zu untersuchen, was natürlich allen
helfen würde :slight_smile:

Folgendes habe ich verifiziert:

  • Die Zeit auf Server/Client/Firewall stimmt überein
  • Auf einem Windows Client funktioniert SSO mit demselben Benutzer
  • Ein „klist“ auf dem Client nach dem Login listet mir die gültigen
    Kerberos Tickets

Valid starting Expires Service principal 09.06.2020 10:24:00 09.06.2020
20:24:00 [krbtgt/FZI.LAN@FZI.LAN] erneuern bis 16.06.2020 10:24:00
09.06.2020 10:24:03 09.06.2020 20:24:00 [ldap/server.fzi.lan@FZI.LAN]
09.06.2020 10:26:11 09.06.2020 20:24:00 HTTP/firewall.fzi.lan@ erneuern
bis 16.06.2020 10:24:00 09.06.2020 10:26:11 09.06.2020 20:24:00
[HTTP/firewall.fzi.lan@FZI.LAN] erneuern bis 16.06.2020 10:24:00
09.06.2020 10:37:04 09.06.2020 20:24:00 [cifs/SERVER@FZI.LAN] 09.06.2020
10:37:10 09.06.2020 20:24:00 [cifs/server.local@FZI.LAN]|

Was ist noch zu tun, damit SSO mit dem Firefox und dem Linux Client
funktioniert?

stell mal fest, ob am Linuxclient der Proxy im Browser gesetzt ist.
Falls dor „Proxy des Systems“ steht, stell fest ob dieser gesetzt ist
auf firewall:3128

Viele Grüße

Holger

Hallo Holger,

danke für die schnelle Rückmeldung!

Stimmt, gehört eigentlich nicht in diesen Thread. Aber danke für den Hinweis. Das postsync ist da und wird auch zum Teil ausgeführt.

Manuell konnte ich das Problem ja lösen. Die swap Partition wurde in der /etc/fstab auch ersetzt.

Habe ich doch gleich gemacht :slight_smile:

Das Problem ist in /srv/linbo/linuxmuster-client/ubuntu_vanilla/common/postsync.d/03-lcst-fix-fstab:

Hier wird in 2 Abschnitten, einmal nach der Root Partition gesucht und einmal nach der Swap Partition. Da die swap einmalig in der start.conf ist, klappt das Suchen/Ersetzen.

Bei der Rootpartition ist das anders, weil mehrere Partitionen mit fstype=ext4 vorhanden sind und der Suchen/Ersetzen Befehl auf einen Fehler endet

 ./03-lcst-fix-fstab
 - fixing fstab: root: /dev/sda1
/dev/sda2, sed: -e expression #1, char 23: unterminated `s' command
swap: /dev/sda3, done

So könnte man doch, da die Rootpartition in der start.conf schon im Abschnitt „OS“ steht, diesen Teil dafür verwenden.

Hier meine Änderungen, welche sowohl mit der Original start.conf der linuxmuster-client funktioniert, als auch mit der über die WebUI generierten. Vielleicht kann man das ja übernehmen.

diff 03-lcst-fix-fstab 03-lcst-fix-fstab.DIST 
3c3
< STARTCONF=/start.conf
---
> STARTCONF=/mnt/start.conf
8c8
<     ROOT=$(grep Root $STARTCONF | cut -d"#" -f1 | grep  'dev' | cut -d'=' -f2 | tr -d " ")
---
>     ROOT=$(sed ':a;N;$!ba;s/\n/;UMBRUCH;/g' $STARTCONF | sed 's/ //g'|sed 's/\[Partition\]/\n/g' | grep -i 'fstype=ext4' | sed 's/;UMBRUCH;/\n/g' | grep -i 'dev=/' | cut -d'=' -f2 | head -c20 | cut -d"#" -f1)

Nun zum SSO Problem:

Ja, ist gesetzt
$ echo $http_proxy
http://firewall.fzi.lan:3128

Und der Firefox Authentifzierungsdialog kommt auch, d.h. er wird verwendet. Nur warum muß ich mich Authentifizieren, wenn SSO eingestellt ist?

Viele Grüße
Klaus

nein, absolut nicht. Ist für die v7 only.

Das liegt an dem „vanilla“. Da ist an dem Ubuntu fast nichts verändert, nur so, dass man sich anmelden kann. Das „ubuntu_vanilla“ willst du als Endnutzer eigentlich nicht, sondern nur als ein Nutzer, der unbedingt ein unverändertes ubuntu selbst als Image hochziehen willst.

Nimm nochmal das andere und schaue, ob linuxmuster-client auch keine Fehlermeldungen ausspuckt.

Das SSO-Problem kann ich auch nicht beheben, aber ich vermute auch, dass beim Firefox einfach noch kein Proxy eingerichtet ist?

Also: lieber das andere CLOOP zu Laufen bringen, wenn es für dich schnell funktionieren soll.
Aber auch da sind wir noch am Testen, warum es nicht so reibungslos klappt.
Würdest uns mit Testen dort sehr viel helfen,
VG, Tobias

Hallo Stefan,

kannst du nochmal jetzt aktuell sagen, was genau schief läuft. (nachdem ja wohl die Doku nochmal angepasst wurde). Wenn du es relativ zum lmn-bionic-200507 Cloop berichtest statt relativ zum ubuntu_vanilla wäre mir das recht.

Vg, Tobias

Hallo Klaus,

wir haben mit Linux-Clients dasselbe SSO-Problem (die Benutzerverzeichnisse werden auch nicht eingehangen), weil die Linux-Clients die falsche Systemzeit haben (siehe auch Probleme mit der Systemzeit im Zusammenhang mit LINBO und dem lmn-bionic-cloop). Schau mal nach, ob die Linux-Clients bei dir +2h laufen.

Viele Grüße
Fabian

Hallo,
lmn-bionic-200507 bootet bei mir auch nicht.
Zeile drei ist bei mir noch richtig.
In Zeile acht steht bei mir orginal etwas anderes, hat aber nicht funktioniert.
Mein Client bootet, wenn ich Zeile acht folgendermaßen (wie oben in dem Post von garblixa zu sehen) ändere:

LG, Fritz

Hallo Tobias,

Habe es gerade mit lmn-bionic-200507 ausprobiert, die Aufnahme in die Domäne hat jetzt funktioniert, wie in der Doku beschrieben, ich musste keine Änderungen vornehmen.

Mit dem Vanilla klappt es weiter nicht, obwohl die Zeit bei beiden Clients gleich ist.

Grüße,
Stefan

Hallo,

nur nochmal zur Erklärung, wieso ich so auf dem Vanilla rumhacke, wo es doch ein tolles Bionic gibt:

Das Bionic-Image funktioniert und es steckt viel Arbeit drin! Aber es wurde eben auch sehr viel daran verändert, und vieles davon brauche/will ich nicht haben. Die Fensterschaltflächen sind links statt rechts oben und in anderem Design, die Fensterleiste ist sehr groß geraten, dafür die Schnellstartleiste links sehr klein und Anwendungen anzeigen oben statt unten, im Iconbereich ganz oben rechts sind Icons, deren Sinn ich nicht verstehe, und dann sind da viele Programme installiert, die ich nicht benötige und viel Platz benötigen (ArduinoIDE, Avidemux, Blender, BlueJ, Calibre, E-Book-Editor usw., ganz abgesehen von Software, bei der ich mich frage, ob die überhaupt freie Software ist…).

Jetzt kann ich entweder versuchen, das zurückzubauen und sauberzumachen.

Mit näher läge eine Cloop-Version, die nur die nötigsten Anpassungen vorgenommen hat (Domänen-Login, Verzeichnisse gemountet und überflüssige Verzeichnisse ausgeblendet, Logout statt Sperren, vielleicht auch Runterfahren des Systems um 18 Uhr mit Meldung vorher. Und den von uns benötigten Rest installiere ich dann selbst nach.

Dieses Vorgehen würde dann mutmaßlich ein deutlich schlankeres Image ergeben.

Grüße,
Stefan

1 „Gefällt mir“

Hallo Stefan,
der Grund ist soweit klar. Dafür haben wir bewusst das Vanilla cloop bereitgestellt. Kannst Du uns für dessen Anpassung genauer sagen, was wie nicht funktioniert? Infos zur Testumgebung wären hierbei sehr hilfreich. Bei meinen Tests hat es funktioniert - hier müssen wir an den Zeiteinstellungen noch nachbessern.
Danke für Deine Unterstützung.
VG
Chris

Hallo Tobias,

danke für die Info! Das lmn-bionic-200507 ist mir wie oben auch @lessi schreibt, etwas zu überladen. Hier finde ich im Dateisystem auch viele Dateien wo lmn.lan oder 10.16* drinnensteht. Das wird offenbar nicht durch linuxmuster-client-adsso ersetzt. So wollte ich eben schlank mit dem ubuntu_vanilla anfangen.
Gerne helfe ich mit beim Testen.

Viele Grüße
Klaus

Hi Klaus, und @lessi,

möglich, das ihr das cloop zu voll seht. Ich kann ja auch sagen, dass es nicht auf meinem Mist gewachsen ist. Äh, nagut, es ist auf meinem Computer noch ein Stückchen gewachsen. Aber hochgezogen hat es jemand anderes.

Es wäre ein schöner Community-Aspekt, wenn ihr genau schreiben würdet, wo ihr „noch“ lmn.lan oder 10.16* seht, wo es eigentlich nicht hingehört.
Manche Stellen sind programmatisch schwer zu ändern, z.B. die proxy ausnahmeregeln im Firefox.

Zu dem Vanilla-Cloop: ja, mir ist klar, dass das noch nicht perfekt funktioniert. Wie @cweikl schreibt, wo hakt es genau? Ist es noch die Time synchronisierung?

Noch schöner wäre der Community-Gedanke: wir stellen ein ubuntu_minimal bereit, das auf ubuntu_vanilla aufbauend die wirklich notwendigsten Hilfsmittel installiert.
Über das Layout kann man streiten, das lassen wir besser so schlecht wie es anfangs ist.
Was haltet ihr davon?

Vg, Tobias

In meinen Tests war es so:

  • Vanilla läuft nur mit Testing-Repo auf Server
  • Vanilla brauchte ein sudo systemctl restart systemd-timesyncd

Dann futnkioniert alles. Ich mache mich am Wochenende nochmal ran und schaue, ob ich rauskriege, warum timesyncd erst mal nicht funktioniert. Das ist aus meiner Sicht das einzige, was am Vanilla-Client nicht geht.

Ich persönlich (!) finde dickere Cients besser. Ich betreue an meiner Schule den Client (wir haben einen auf Kubuntu Basis), und ich habe da endlos Arbeit reingesteckt, bis ich eine gute Software-Auswahl ahtte und alle kleineren Bugs gefixt waren.

Ich denke, dass wir an Schulen doch alle ähnliche Software einsetzen. Da ist es eine unglaubliche Arbeitserleichterung, wenn diese in einem Linuxmuster-Client gleich drin ist.

Ich werde in einem nächsten Schritt zusammen mit Chris und Tobias auch versuchen, meinen Kubuntu Client der Allgemeinheit zur Verfügung zu stellen. Das wird aber noch dauern.
LG
Andreas

Hallo Tobias,

danke für die Anregungen!

Aktuell im lmn-bionic-200507.cloop an folgenden (relevanten) Stellen:
/home/linuxuser/.mozilla/firefox/uknhxyfe.default/prefs.js
/etc/linuxmuster-client-adsso.conf
/etc/ntp.conf
/opt/drucknotifier/drucknotifier.cfg

Aktuell im ubuntu_vanilla.cloop an folgenden (relevanten) Stellen:
/etc/cups/client.conf

Zeitsynchronisierung funktioniert aktuell bei mir mit dem letzten Update im ubuntu_vanilla.

Das hört sich gut an. Im jetzigen ubuntu_vanilla fehlt mir noch:

  • Readonly root Dateisystem nach der Installation wie oben beschrieben. Issue und Lösungsvorschlag gemacht:
    https://github.com/linuxmuster/linuxmuster-client-servertools/issues/12

  • Ordner im /home bereinigen, wie oben beschrieben:
    Es fällt noch auf, daß es auf dem Client im Dateimanager in der linken Spalte Verknüpfungen zum Vorlagenbenutzer „linuxadmin“ gibt für Dokumente, Musik, Bilder etc.
    Ebenso gibt es im persönlichen Ordner z.B. Downloads-entfernt, Dokumente-entfernt etc. Woher kommen diese Ordner, bzw. wie bekomme ich das sauber?

  • SSO im Firefox funktioniert trotz korrekten Zeiten nicht

  • Dateisystemrechte für die Homeverzeichnisse /home/cache/* falsch (755), sollte auf einem Multiuser System 700 sein.

Soweit das was mir auffällt.

Viele Grüße
Klaus

Kann ich so aktuell nicht bestätigen.

An einer Förderschule ist ein dicker Client eher verwirrend für die SuS.

Das ist trotzdem eine Gute Idee, bin gespannt. Vielleicht wäre es gut verschiedene Clients bereitzustellen, welche mit linuxmuster-client-adsso möglichst umfangreich konfiguriert werden. Diese verschiedenen Clients könnten dann Beschreibungen erhalten(linuxmuster-client list), welche Software integriert ist und für welche Schule geeignet.

Viele Grüße
Klaus

Hi,
ich habe für meinen Kubuntu-Client nach dieser Anleitung:

`

Beim Anmeldevorgang wird das Skript /etc/linuxmuster-client/scripts/login.sh aufgerufen, das aus Verzeichnis /etc/X11/xinit/xinitrc.d/ verlinkt ist. /etc/linuxmuster-client/scripts/login.sh führt dann die Skripte unter /etc/linuxmuster-client/login.d aus. Eigene Skripte können dort zusätzlich oder anstatt der vom Paket installierten abgelegt werden.

`
ein Skript erstellt, das Bezüge zum linuxadmin löscht:

#!/bin/bash
if grep -q linuxadmin "$HOME/.local/share/user-places.xbel"; then
  rm $HOME/.local/share/user-places.xbel
  rm $HOME/.local/share/user-places.xbel.bak
fi

So könnte man das vielleicht für andere Sachen auch machen, wo man einen ungewollten Bezug zum Vorlagennutzer hat.

Hallo,

ich habe das Vanilla-Cloop jetzt auch am Laufen.

Meine Umgebung:
Server und Clients komplett unter Proxmox

Kurzes Störfeuer, weil ich die Festplatte als VirtIO0 statt als SCSI0 angelegt hatte, womit die Festplatte unter Linbo unter vda statt unter sda lief. Also entweder die Festplatte entsprechend anlegen oder die Änderungen in der start.conf durchführen.

Dann startete nach dem Syncen das Cloop, ein Login mit Muster! war beim linuxadmin aber nicht möglich. Ich habe dann am Server das Passwort mit
linuxmuster-client -p <pw> -l <localname> setpw
gesetzt, dann konnte ich mich nach einem neuen Sync auch als linuxadmin mit dem neuen Passwort einloggen, das
sudo linuxmuster-cloop-turnkey
durchführen und mich nach dem Reboot als Lehrer-User anmelden. Soweit alles prima. Weitere Tests zum SSO usw. muss ich erst noch machen.

Grüße,
Stefan