Linuxmuster default cloop bionic fuer v7

Server v7 v7-Betatest
1

Hallo zusammen,

es gibt wieder ein default cloop von linuxmuster.net :slight_smile:
Es ist aber Version 0.1, also auch noch Beta.
Dominik hat es erstellt und ich habe es angepaßt, generalisiert und stelle es bereit.
Vor allem das Readme ist ganz frisch (5 Minuten).
Wer es mag, kann es herunterladen und testen: aber bitte schickt mir Anmerkungen, wo es klemmt und wo ich mich vertippt hab oder Mist geschrieben hab …

Es ist groß: 8,2 GB (viel Software drin)
Aber es hat auch schon einen riesen Haufen Anpassungen, die das Leben wirklich leichter machen.

Gerade wird es gezippt und dann hochgeladen.
Wenn es hochgeladen ist, werde ich hier einen Link posten (Heute Nacht oder Morgen).

Das Readme ist wahrscheinlich auch für die interessant, die einen eigenen client aufsetzen wollen, deswegen hab ich es angehängt.

Viele Grüße

Holger

Dies ist das erste linuxmuster default.cloop für die lmn7
Es ist NICHT für die lmn62 geeignet!

Es ist ein modifiziertes ubuntu 18.04.3
Wichtigste Modifikation ist:
kernel 5.0 wurde duch 4.15.0-60 ersetzt (ich hatte Probleme mit einer intel onboardgrafikkarte).

Das cloop funktioniert grundsätzlich nur, wenn man auch den dazugehörigen postsync mitverwendet!
Also die .postsync Datei UND das gesammte Verzeichnis /srv/linbo/linuxmuster-client/

„Installation“

  1. Clients in der /etc/linuxmuster/sophomorix/default-school/devices.csv
    (oder über die WebUI als administrator) in eine eigene Gruppe nehmen
    z.B. bionic
    Danach linuxmuster-import-devices
    laufen lassen.

  2. die durch den import erstellt /var/linbo/start.conf.bionic ist nur ein Platzhalter.
    Wir ersetzen sie durch die aus dem .zip, in dem auch dieses readme ist.

  3. Wir passen die start.conf.bionic so an, wie wir es wollen (Partitionen vergrößern/verkleinern …)

  4. das gesamte Verzeichnis linuxmuster-client aus dem .zip mittels
    cp -a nach /srv/linbo bewegen (damit die Rechte erhalten bleiben:
    das .zip sollte also auf den server bewegt werden und dort mittels unzip …zip entpackt werden).
    Dort sollte danach also diese Verzeichnisstruktur vorhanden sein:
    /srv/linbo/linuxmuster-client/bionic/common/etc/ …

  5. Anpassen an die eigene Domäne: bei der Installation des Servers wurde nach einer Domäne gefragt.
    Nehmen wir an, dass man dort meineschule.linuxmuster.lan eingegeben hat. Die „AD-Domäne“ ist damit „MEINESCHULE“, als das vor dem ersten Punkt.
    Windows verbietet, dass das länger als 15 Zeichen ist! Seid Vorsichtig: wenn das länger ist, dann fragt im Forum nach, was ihr machen sollt https://ask.linuxmuster.net
    Wir brauchen nun also die AD-Domäne: diese muss in der Datei
    /srv/linbo/linuxmuster-client/bionic/common/etc/hosts
    eingetragen werden.
    Dort steht:
    127.0.0.1 HOSTNAME.meineschule.linuxmuster.lan HOSTNAME
    heißt eure Domäne (die im setup angegeben wurde): montesorischule-ulm.schule.de
    … so ist sie zu lang: ihr müßt das ändern: hier geht es nicht weiter!
    heißt eure Domäne (die im setup angegeben wurde): montesori.schule.de
    so muß die Zeile in der hosts heißen:
    127.0.0.1 HOSTNAME.montesori.schule.lan HOSTNAME

Ändert auch die anderen zwei Stellen in dieser Datei.

  1. das eigentliche Image hinkopieren: also die lmn-bionic.cloop* Dateien nach
    /srv/linbo/ kopieren und danach sicher stellen, dass die Rechte stimmen:
    z.B mittels
    chmod 644 bionic.cloop
    Bei mir:
    -rw-rw-r-- 1 root root 8131689065 Sep 7 17:08 bionic.cloop
    -rw-rw-r-- 1 root root 708 Sep 7 16:59 bionic.cloop.desc
    -rw-rw-r-- 1 root root 131 Sep 7 17:09 bionic.cloop.info
    -rw------- 1 root root 90 Sep 7 17:11 bionic.cloop.macct
    -rw-rw-r-- 1 root root 4975 Sep 7 12:59 bionic.cloop.postsync
    -rw-rw-r-- 1 root root 620602 Sep 7 17:09 bionic.cloop.torrent

sollte bei euch eine .macct Datei dabei sein, dann habe ich einen Fehler gemacht: löscht sie sofort!
Sie wird beim ersten Erstellen eines Images von einem Client durch den server auf dem server generiert und hat tatsächlich die Rechte 600.

  1. linuxmuster-import-devices

  2. torrent Datei neu erstellen lassen:
    /etc/init.d/linbo-bittorrent restart lmn-bionic.cloop force

Jetzt könnt ihr einen Rechner einschalten, Partitonieren und syncen.
Die Anleitung ist aber noch nicht fertig.

  1. am Client als linuxadmin anmelden und ein terminal öffnen, dort folgende Befehle eintippen:
    sudo su
    rm /etc/krb5.keytab
    linuxmuster-client-adsso-setup
    und, wenn gefragt wird, das global-admin Passwort eintippen.
    Passwort für linuxadmin und vnc: Muster!
    Passwort für lokales Konto linuxuser: Muster!

  2. rebooten und ein Image erstellen

  3. auf dem server schauen, ob es nun eine .macct Datei zum image gibt (muß so sein)
    Wenn nicht, bitte ans Forum wenden.

  4. den timeserver anpassen:
    Auf dem Server in der Datei:
    /srv/linbo/linuxmuster-client/bionic/common/etc/systemd/timesync.conf
    die IP meiner opnsense 10.16.1.254 durch die eurer opnsense ersetzen:
    z.B. 10.0.0.254

  5. einen anderen Rechner booten und mit einem Domänennutzer anmelden.

Viele Erfolg :slight_smile:

Holger
20.9.2019

Weitere Anmerkungen:

  • Damit WOL funktioniert, muss im beigefügten Postsyncordner aus dem Bereich
    common der Ordner onboot.d bei dir auch dazu. (ist drin in
    /srv/linbo/linuxmuster-client/bionic/common/etc/linuxmuster-client/ )

  • Um den Text, der im Desktop oben links steht an zu passen, bitte folgendes machen:
    Terminal als linuxadmin (nicht mit sudo su): gnome-tweaks --> Erweiterungen --> Unite -->Rädchen drücken --> Text
    on Top Bar … ändern

  • z.B. Audacity im Applauncher suchen dann rechte Maustaste und zu den Favoriten
    hinzufügen.

  • Nach dieser Anleitung:
    https://wiki.linuxmuster.net/archiv/anwenderwiki:linuxclient:defaultcloop_14.04?s[]=partition&s[]=ausblenden#nautilus
    wurden folgende Partitionen ausgeblendet:
    sda2,3,4
    nvme0n1p2,3,4
    Beachten, falls anders Partitioniert wurde!

  • in der start.conf.bionic ist in der Zeile KernelOptions schon der workaround für Clients
    mit Radeonkarte drin. Wenn ihr Clients mit Radeon Karten habt, dann folgende zwei
    Zeilen der start.conf:

      KernelOptions = quiet splash     # linbo kernel options, space separated
  #KernelOptions = quiet splash modprobe.blacklist=radeon        # needed for AMD   Graphics

    ändern zu

      #KernelOptions = quiet splash     # linbo kernel options, space separated
  KernelOptions = quiet splash modprobe.blacklist=radeon        # needed for AMD Graphics

    und
    linuxmuster-import-devices
    laufen lassen.

  • Es ist ratsam deinen eigenen root-ssh-schlüssel per postsync ins image zu kopieren:

      cat /root/.ssh/id_ecdsa.pub  > /srv/linbo/linuxmuster-client/bionic/common/root/.ssh/authorized_keys

  • Es ist nicht ratsam, „Ubuntu Wayland“ als Desktop auszuwählen, dann funktioniert x11vnc nicht und manchen Kollegen werden dadurch automatisch rausgeworfen. Es ist auch Wayland ausgewählt, obwohl der Punkt bei „Ubuntu“ steht, einfach Wayland auswählen und dann wieder „Ubuntu“ (ohne Wayland), dann startet auch Ubuntu ohne Wayland.

  • vlc ist von snapd installiert, das habe ich komplett deinstalliert und die debian-variante installiert (selbe Version), das spart 3GB, wenn man snapd auch deinstalliert.

3 „Gefällt mir“
2

Hallo,

das cloop steht nun zur Verfügung.
Download ist rund 8GB groß.

https://web.semgym-karlsruhe.de/owncloud/index.php/s/n78cAWFsZrE7DdX

Link ist bis Ende November aktiv.

LG

Holger

3

Hallo Holger.
Super! Hast du eine grobe Übersicht, welche Software du bereits installiert hast? Ich fände es vor allem interessant, ob auch VirtualBox, Epoptes, … bereits dabei sind?
Schöne Grüße,
Michael

4

Hallo Michael,

Super! Hast du eine grobe Übersicht, welche Software du bereits
installiert hast? Ich fände es vor allem interessant, ob auch
VirtualBox, Epoptes, … bereits dabei sind?

nein hab ich leider nicht: aber schau rein und schreib es hier in die
Gruppe :slight_smile:

LG

Holger

5

Hi Holger,
willst du aus deinem top-Post ein Wiki machen? Dann könnte ich editieren/ergänzen etc.

VG, Tobias

6

Hi Holger,

erste Rückmeldung: super, es läuft!

  • Auf zwei von drei getesteten LDAP-Accounts konnte ich mich anmelden (meiner nicht… :()
  • ein von den zweien (Testschueler) hat kein Home_auf_Server Zugriffsrecht …?
  • Der Proxy fragt leider bei beiden Konten nach! Für den linuxadmin funktioniert der Proxy !?

Zur Anleitung:

  • root-schluessel nach linuxmuster-client/bionic/common/root/.ssh/authorized_keys kopieren
  • ich musste das postsync nach einem create+upload kopieren, weil ich das image nicht umbenannt habe

Grüße, Tobias

7

Hallo Tobias,

willst du aus deinem top-Post ein Wiki machen? Dann könnte ich
editieren/ergänzen etc.

wollen ja … Zeit nein… du darfst aber gerne, wenn du magst :slight_smile:

LG

Holger

8

Hi holger,

missverständnis, vermute ich: Beim TOP-Post auf die drei punkte klicken, auf den schraubenschluessel klicken, dann auf „Wiki erstellen“ klicken. Das wars. Ich konnte es mit meiner Berechtigung bei dir auch machen und fertig.

Kannst du mir beim Proxy helfen, der ncht funktionier?

VG, tobias

9

Hallo Tobias,

Kannst du mir beim Proxy helfen, der ncht funktionier?

der funktioniert nicht „im Image“ nicht, sondern in deiner Firewall.
Für die Schritte in der Doku aus um SSO zu aktivieren:

linuxadmin darf nicht ins Internet kommen (weil er nicht am Server
angemeldet ist), wenn SSo aktiviert ist und der proxy am Client
eingerichtet ist (ist er im Image, macht linuxmuster-adsso-setup).

Xandra hat Heute auch rausgefunden, dass SSO nicht funktioniert, wenn
die Systemzeiten von OPNsense und Client auseinander laufen: hab ein
Auge drauf.

Wenn ich mit dem linuxadmin am Client INternet brauche, nehme ich den
entsprechenden Cleint in die noproxy Alias Liste.

LG

Holger

10

Doh. Sorry, das muss ja unbedingt in die HAuptdoku! Ich hatte in ERinnerung, dass das nur für die früheren OPNsense Appliances die Nachrüstung war. ABer das muss ja jeder machen, auch für Windows, richtig?

Dann gleich die Frage:
Bei mir stand: „FIREWALL-K“, siehe hier:

image
image814×265 12.2 KB

daher wunderte mich auch nicht die ERROR Meldung, nach „Create Key Table“, dass FIREWALL schon existieren würde, man würde für FIREWALL-K eine neue anlegen, screenshot hab ich leider nicht.

Jetzt funktioniert es mit „FIREWALL-K“, aber ob das so schlau ist oder gedacht ist, dass da „FIREWALL“ steht - ich weiß es nicht. Ich lasse es jetzt mal so wie es ist…

VG, Tobias

11

HI Holger,

noch eine Rückmeldung zum cloop: Die meisten User können sich nicht einloggen, obwohl die angebundene Cloud mit dem Passwort funktioniert, genauso können sie sich bei d’SELMA einloggen.
Ich habe einen USer angemeldet und die d’SELMA zum Anmelden und Passwort ändern aufgemacht.
Ich habe bei mir selbst auch das Passwort geändert und wieder zurückgeändert. Dann kann ich mich anmelden. Ebenso können die Lehrer, die ihr Passwort änderten sich sofort (am PC nebenan) anmelden.
Es kann eigentlich nicht sein, dass das System auf dem Server das eingegebene PAsswort nicht akzeptieren, weil es zu schwach wäre, denn das AD bekommt das Passwort sicher nicht im klartext zu sehen und in Cloud und D’SELMA funktioniert es ja auch!
Ich kann mir nur vorstellen, dass GNOME oder lightdm intern eine Prüfung macht? Oder übermittelt das das PW doch bis zum AD im Klartext, so dass hier ein fehler vorliegen kann? Die Situation ist schleierhaft.

Ideen? VG, Tobias

12

Hallo Tobias,

hier ein fehler vorliegen kann? Die Situation ist schleierhaft.

nein: nicht schleierhaft sondern „schon berichtet“.
Vor zwei Wochen hat Berthold das Problem beschrieben und Dominik hat ihm
zugestimmt: auch ich hatte davon im Migrationstread berichtet.

Der Grund ist nicht das cloop oder der linuxclient, sondern die Migration.
Da scheint „bei alten Passwörtern“ was schief zu gehen. Die migrierten
Accoounts mit „alten Passwörtern“ kommen irgend wie falsch im AD an: mit
den von dir beschriebenen Nebenwirkungen: Anmelden am Cleint (win/lin)
geht nicht, aber alles andere geht (WebUI, Nextcloud …).
Lösung: einmal ändern → tut

Ich hab die Migration trotzdem gemacht, weil ich direkt vor den Ferien
(und vor der Migration) in der lmn62 allen Lehrern neue Passwörter
vergeben hatte wegen eines „keylogger incidents“.

… hat aber auch nicht viel gebracht: ichhab Heute auch 20 Passwörter
neu gesetzt: aber nicht weil die alten nicht funktionierten (wie
behauptet wurde) sondern weil die einfach vergessen warren, oder weil
man das vorherige nehmen wollte … es gab verwirrung: egal, nächste
Woche werden die Wellen wieder kleiner :slight_smile:

Also: keine Angst: am cloop liegt es ncht.
Angst solltest du haben, weil es auch die Schüler betrifft …
Da wird sich zeigen was „alt“ genau bedeutet.
Wenn es 6 Jahre sind, dann wird kaum jemand bei mir betroffen sein (nur
die Oberstufe).
Sind es weniger, wandert es die Klassenstufen runter …

LG

Holger

13

HI Holger, super, Danke.
Stimmt, jetzt wo du es sagst: war das nicht die Umstellung des crypt-Verfahrens bzw. Hash-Verfahrens?
D.h. im Prinzip lässt sich nachvollziehen, ob das der Fall ist.
Dann wäre das ein Problem außerhalb meiner Reichweite und die Betroffenen müssen das PW ändern (Kollege X hatte 3 Zeichen, es wurde auch Zeit dass er das mal ändert…)

Wenn es noch so ein Problem (wie ich irgendwo las) mit der Verfallsdauer des PAsswortes wäre das eine andere Geschichte und nützlich zu untersuchen.

Ich schalte mal meine Schulkonsole frei nach draußen sonst müssen die ja alles in der Schule machen, das ist mir zu viel Stress. Dann gibt es ne Anleitung auf der Homepage und fertig.

p.s.: hast du mal das mrbs-v7 getestet, ich bin gespannt, ob sich die Nacht gelohnt hat…

VG, Tobias

14

Also nochmal drüber nachgedacht: Dann müssen cloud&selma ein anderes Authentifizierungsverfahren benutzen als Windows&Ubuntu - anmeldungen. Das kann ja schon sein, zumindest müssen wir das im Hinterkopf haben - es kann ja gut sein, dass in Zukunft das eine oder das andere mal nicht geht, solange wir nicht verstanden haben, wie die Mechanismen genau gehen. Passwort ändern ist jetzt ja nur Symptomflickerei.

15

Hi Holger,

Ich habe weiterhin login-Probleme:

  • wayland hab ich bereits beschrieben
  • dazu kommt noch, dass lehrer nicht das linuxadmin-Profil bekommen. Wo debugge ich das? Wo finde ich dass das linuxadmin-Profil kopiert wird, oder gibt es das gar nicht mehr?

VG, Tobias

16

ok, gefunden: Hintergrund::03 Boot und Anmeldevorgang · linuxmuster/linuxmuster-client-adsso Wiki · GitHub
d.h. bei mir funktioniert die erstellung von /home/linuxadmin als Skeleton für das homeverzeichnis nicht.

17

Lösung hierfür: ich habe pam_mkhomedir weiter nach vorne gezogen und aus „optional“ „required“ gemacht. Plötzlich geht es wieder . Warum tat es vorher?

/etc/pam.d/common-session

session required                        pam_mkhomedir.so  skel=/home/linuxadmin
session required        pam_unix.so
session optional                        pam_sss.so
session optional        pam_mount.so
session optional        pam_systemd.so

ah, es könnte evtl. daran liegen, dass ich die cloud noch mounte und die evtl. reinpfuscht.
Nagut. Schau mer mal obs noch bei anderen passiert.

18

Noch was zum Image: wayland scheint bei manchen Computern probleme zu machen und mit der default-einstellung kann auch mal wayland ausgewählt sein, so dass sich die user nicht anmelden können.
Ich habe mit snad auch das communitytheme deinstalliert, das wäre dann auch noch ein theme das sowohl mit oder ohne wayland auszuwählen gibt.
Fact is: ich mus bei mir in /etc/lightdm/lightdm.conf.d/50-linuxmuster.conf die einstellung machen:
user-session=ubuntu sonst tuten manche PCs nicht.

äh, moment, der richtige ort zum editieren ist zunächst die obige datei, aber dann auch:
/usr/share/linuxmuster-client-adsso/templates/lightdm.conf sonst ist beim nächsten linuxmuster-client-adsso-setup die erste wieder weg…
VG, Tobias

19

Hi Holger,

also ich stelle fest, ich habe massive Probleme beim Einloggen.
Die Verhaltensmuster wären:

  • Passwort des Benutzers erscheint falsch
  • Benutzer loggt sich mit Passwort korrekt ein, dann erscheint aber wieder der Login-Bildschirm
  • Benutzer loggt sich erfolgreich ein, aber es kommt ein vanilla ubuntu

Und irgendwie lande ich oft beim Ergebnis: es lag an einem timeout. Das sind schlechte NAchrichten, zumindest dann, wenn die Verbindung optimal sein sollte, nämlich vom VM-Client zum VM-Server…

Passwort scheinbar falsch

  • andere berichten davon, dass der Zeitunterschied zwischen client und Server dieses Ergebnis liefert
  • entweder die Passwörter wollen von PAM nicht akzeptiert werden, das kann entweder am Passwort liegen (war der FAll, obwohl die User in SELMA und die Cloud kamen) oder der SSSD läuft nicht.

sssd läuft nicht:

Sep 15 21:35:04 client01 sssd[be[LINUXMUSTER.HUMBOLDT-GYMNASIUM.KA.SCHULE-BW.DE]]: Starting up
Sep 15 21:35:04 client01 systemd[1]: sssd.service: Start operation timed out. Terminating.
Sep 15 21:35:04 client01 systemd[1]: Started resolvconf-pull-resolved.service.
Sep 15 21:35:04 client01 systemd-resolved[354]: Using degraded feature set (UDP) for DNS server 10.16.1.1.
Sep 15 21:35:05 client01 sssd[be[LINUXMUSTER.HUMBOLDT-GYMNASIUM.KA.SCHULE-BW.DE]]: Shutting down
Sep 15 21:35:05 client01 systemd[1]: sssd.service: Failed with result 'timeout'.
  • Ein starten von sssd hat erfolg, manchmal muss man einen Augenblick warten, scheint mir.

Login-Bildschirm erscheint wieder

  • hier war meistens daran schuld, dass das im bionic_lmn.cloop ein theme eingestellt war, das er nicht finden kann. In /etc/lightdm/lightdm.conf war „ubuntu-communitheme-snap“ eingestellt. In /var/log/lightdm/lightdm.log findet man heraus, mit welchem theme eingeloggt (versucht) wurde und ob es geklappt hat. Ich vermute hier, dass „snap“ nicht lief oder aus anderem Grund „ubuntu-communitheme-snap“ nicht verfügbar war (logmeldung war in ~/.xsession-errors)
  • Ich habe auch die Vermutung, dass ubuntu-wayland auf manchen Rechnern nciht funktioniert.

Login ohne linuxadmin-Vorlage

  • Hier ist unklar, warum bei der ERstellung des VErzeichnisses /home/cache/user manchmal nicht linuxadmin-Home als Vorlage verwendet wird. Ich habe die Vermutung, dass so wie das in pam.d/common-session drin steht, das mkhomedir nicht unbedingt ausgeführt werden muss (optional). DAs dumme ist: man kann nicht einfach ausloggen und wieder einloggen, root muss vorher /home/cache/user löschen oder der computer muss neu booten, damit man es nochmal probieren kann.
    Ich habe jetzt die Zeile in common-session mit mkhomedir vor die Zeile mit sssd.so gestellt, aber auch da bin ich nicht sicher immer ausgeführt wird.
# and here are more per-package modules (the "Additional" block)
session required        pam_unix.so 
session optional                        pam_mkhomedir.so  skel=/home/linuxadmin
session optional                        pam_sss.so 
session optional        pam_mount.so 
session optional        pam_systemd.so 
# end of pam-auth-update config
1 „Gefällt mir“
20

10 Beiträge wurden in ein neues Thema verschoben: Bionic-Client: Bildschirme steuern in v7