Linuxmuster default cloop bionic fuer v7

Hallo zusammen,

es gibt wieder ein default cloop von linuxmuster.net :slight_smile:
Es ist aber Version 0.1, also auch noch Beta.
Dominik hat es erstellt und ich habe es angepaĂźt, generalisiert und stelle es bereit.
Vor allem das Readme ist ganz frisch (5 Minuten).
Wer es mag, kann es herunterladen und testen: aber bitte schickt mir Anmerkungen, wo es klemmt und wo ich mich vertippt hab oder Mist geschrieben hab …

Es ist groĂź: 8,2 GB (viel Software drin)
Aber es hat auch schon einen riesen Haufen Anpassungen, die das Leben wirklich leichter machen.

Gerade wird es gezippt und dann hochgeladen.
Wenn es hochgeladen ist, werde ich hier einen Link posten (Heute Nacht oder Morgen).

Das Readme ist wahrscheinlich auch für die interessant, die einen eigenen client aufsetzen wollen, deswegen hab ich es angehängt.

Viele GrĂĽĂźe

Holger

Dies ist das erste linuxmuster default.cloop fĂĽr die lmn7
Es ist NICHT fĂĽr die lmn62 geeignet!

Es ist ein modifiziertes ubuntu 18.04.3
Wichtigste Modifikation ist:
kernel 5.0 wurde duch 4.15.0-60 ersetzt (ich hatte Probleme mit einer intel onboardgrafikkarte).

Das cloop funktioniert grundsätzlich nur, wenn man auch den dazugehörigen postsync mitverwendet!
Also die .postsync Datei UND das gesammte Verzeichnis /srv/linbo/linuxmuster-client/

„Installation“

  1. Clients in der /etc/linuxmuster/sophomorix/default-school/devices.csv
    (oder ĂĽber die WebUI als administrator) in eine eigene Gruppe nehmen
    z.B. bionic
    Danach linuxmuster-import-devices
    laufen lassen.

  2. die durch den import erstellt /var/linbo/start.conf.bionic ist nur ein Platzhalter.
    Wir ersetzen sie durch die aus dem .zip, in dem auch dieses readme ist.

  3. Wir passen die start.conf.bionic so an, wie wir es wollen (Partitionen vergrößern/verkleinern …)

  4. das gesamte Verzeichnis linuxmuster-client aus dem .zip mittels
    cp -a nach /srv/linbo bewegen (damit die Rechte erhalten bleiben:
    das .zip sollte also auf den server bewegt werden und dort mittels unzip …zip entpackt werden).
    Dort sollte danach also diese Verzeichnisstruktur vorhanden sein:
    /srv/linbo/linuxmuster-client/bionic/common/etc/ …

  5. Anpassen an die eigene Domäne: bei der Installation des Servers wurde nach einer Domäne gefragt.
    Nehmen wir an, dass man dort meineschule.linuxmuster.lan eingegeben hat. Die „AD-Domäne“ ist damit „MEINESCHULE“, als das vor dem ersten Punkt.
    Windows verbietet, dass das länger als 15 Zeichen ist! Seid Vorsichtig: wenn das länger ist, dann fragt im Forum nach, was ihr machen sollt https://ask.linuxmuster.net
    Wir brauchen nun also die AD-Domäne: diese muss in der Datei
    /srv/linbo/linuxmuster-client/bionic/common/etc/hosts
    eingetragen werden.
    Dort steht:
    127.0.0.1 HOSTNAME.meineschule.linuxmuster.lan HOSTNAME
    heißt eure Domäne (die im setup angegeben wurde): montesorischule-ulm.schule.de
    … so ist sie zu lang: ihr müßt das ändern: hier geht es nicht weiter!
    heißt eure Domäne (die im setup angegeben wurde): montesori.schule.de
    so muĂź die Zeile in der hosts heiĂźen:
    127.0.0.1 HOSTNAME.montesori.schule.lan HOSTNAME

Ă„ndert auch die anderen zwei Stellen in dieser Datei.

  1. das eigentliche Image hinkopieren: also die lmn-bionic.cloop* Dateien nach
    /srv/linbo/ kopieren und danach sicher stellen, dass die Rechte stimmen:
    z.B mittels
    chmod 644 bionic.cloop
    Bei mir:
    -rw-rw-r-- 1 root root 8131689065 Sep 7 17:08 bionic.cloop
    -rw-rw-r-- 1 root root 708 Sep 7 16:59 bionic.cloop.desc
    -rw-rw-r-- 1 root root 131 Sep 7 17:09 bionic.cloop.info
    -rw------- 1 root root 90 Sep 7 17:11 bionic.cloop.macct
    -rw-rw-r-- 1 root root 4975 Sep 7 12:59 bionic.cloop.postsync
    -rw-rw-r-- 1 root root 620602 Sep 7 17:09 bionic.cloop.torrent

sollte bei euch eine .macct Datei dabei sein, dann habe ich einen Fehler gemacht: löscht sie sofort!
Sie wird beim ersten Erstellen eines Images von einem Client durch den server auf dem server generiert und hat tatsächlich die Rechte 600.

  1. linuxmuster-import-devices

  2. torrent Datei neu erstellen lassen:
    /etc/init.d/linbo-bittorrent restart lmn-bionic.cloop force

Jetzt könnt ihr einen Rechner einschalten, Partitonieren und syncen.
Die Anleitung ist aber noch nicht fertig.

  1. am Client als linuxadmin anmelden und ein terminal öffnen, dort folgende Befehle eintippen:
    sudo su
    rm /etc/krb5.keytab
    linuxmuster-client-adsso-setup
    und, wenn gefragt wird, das global-admin Passwort eintippen.
    Passwort fĂĽr linuxadmin und vnc: Muster!
    Passwort fĂĽr lokales Konto linuxuser: Muster!

  2. rebooten und ein Image erstellen

  3. auf dem server schauen, ob es nun eine .macct Datei zum image gibt (muĂź so sein)
    Wenn nicht, bitte ans Forum wenden.

  4. den timeserver anpassen:
    Auf dem Server in der Datei:
    /srv/linbo/linuxmuster-client/bionic/common/etc/systemd/timesync.conf
    die IP meiner opnsense 10.16.1.254 durch die eurer opnsense ersetzen:
    z.B. 10.0.0.254

  5. einen anderen Rechner booten und mit einem Domänennutzer anmelden.

Viele Erfolg :slight_smile:

Holger
20.9.2019

Weitere Anmerkungen:

  • Damit WOL funktioniert, muss im beigefĂĽgten Postsyncordner aus dem Bereich
    common der Ordner onboot.d bei dir auch dazu. (ist drin in
    /srv/linbo/linuxmuster-client/bionic/common/etc/linuxmuster-client/ )

  • Um den Text, der im Desktop oben links steht an zu passen, bitte folgendes machen:
    Terminal als linuxadmin (nicht mit sudo su): gnome-tweaks --> Erweiterungen --> Unite -->Rädchen drücken --> Text
    on Top Bar … ändern

  • z.B. Audacity im Applauncher suchen dann rechte Maustaste und zu den Favoriten
    hinzufĂĽgen.

  • Nach dieser Anleitung:
    https://wiki.linuxmuster.net/archiv/anwenderwiki:linuxclient:defaultcloop_14.04?s[]=partition&s[]=ausblenden#nautilus
    wurden folgende Partitionen ausgeblendet:
    sda2,3,4
    nvme0n1p2,3,4
    Beachten, falls anders Partitioniert wurde!

  • in der start.conf.bionic ist in der Zeile KernelOptions schon der workaround fĂĽr Clients
    mit Radeonkarte drin. Wenn ihr Clients mit Radeon Karten habt, dann folgende zwei
    Zeilen der start.conf:

      KernelOptions = quiet splash     # linbo kernel options, space separated
      #KernelOptions = quiet splash modprobe.blacklist=radeon        # needed for AMD   Graphics

    ändern zu

      #KernelOptions = quiet splash     # linbo kernel options, space separated
      KernelOptions = quiet splash modprobe.blacklist=radeon        # needed for AMD Graphics

    und
    linuxmuster-import-devices
    laufen lassen.

  • Es ist ratsam deinen eigenen root-ssh-schlĂĽssel per postsync ins image zu kopieren:

      cat /root/.ssh/id_ecdsa.pub  > /srv/linbo/linuxmuster-client/bionic/common/root/.ssh/authorized_keys
  • Es ist nicht ratsam, „Ubuntu Wayland“ als Desktop auszuwählen, dann funktioniert x11vnc nicht und manchen Kollegen werden dadurch automatisch rausgeworfen. Es ist auch Wayland ausgewählt, obwohl der Punkt bei „Ubuntu“ steht, einfach Wayland auswählen und dann wieder „Ubuntu“ (ohne Wayland), dann startet auch Ubuntu ohne Wayland.

  • vlc ist von snapd installiert, das habe ich komplett deinstalliert und die debian-variante installiert (selbe Version), das spart 3GB, wenn man snapd auch deinstalliert.

3 Like

Hallo,

das cloop steht nun zur VerfĂĽgung.
Download ist rund 8GB groĂź.

Link ist bis Ende November aktiv.

LG

Holger

Hallo Holger.
Super! Hast du eine grobe Übersicht, welche Software du bereits installiert hast? Ich fände es vor allem interessant, ob auch VirtualBox, Epoptes, … bereits dabei sind?
Schöne Grüße,
Michael

Hallo Michael,

Super! Hast du eine grobe Ăśbersicht, welche Software du bereits
installiert hast? Ich fände es vor allem interessant, ob auch
VirtualBox, Epoptes, … bereits dabei sind?

nein hab ich leider nicht: aber schau rein und schreib es hier in die
Gruppe :slight_smile:

LG

Holger

Hi Holger,
willst du aus deinem top-Post ein Wiki machen? Dann könnte ich editieren/ergänzen etc.

VG, Tobias

Hi Holger,

erste Rückmeldung: super, es läuft!

  • Auf zwei von drei getesteten LDAP-Accounts konnte ich mich anmelden (meiner nicht… :()
  • ein von den zweien (Testschueler) hat kein Home_auf_Server Zugriffsrecht …?
  • Der Proxy fragt leider bei beiden Konten nach! FĂĽr den linuxadmin funktioniert der Proxy !?

Zur Anleitung:

  • root-schluessel nach linuxmuster-client/bionic/common/root/.ssh/authorized_keys kopieren
  • ich musste das postsync nach einem create+upload kopieren, weil ich das image nicht umbenannt habe

GrĂĽĂźe, Tobias

Hallo Tobias,

willst du aus deinem top-Post ein Wiki machen? Dann könnte ich
editieren/ergänzen etc.

wollen ja … Zeit nein… du darfst aber gerne, wenn du magst :slight_smile:

LG

Holger

Hi holger,

missverständnis, vermute ich: Beim TOP-Post auf die drei punkte klicken, auf den schraubenschluessel klicken, dann auf „Wiki erstellen“ klicken. Das wars. Ich konnte es mit meiner Berechtigung bei dir auch machen und fertig.

Kannst du mir beim Proxy helfen, der ncht funktionier?

VG, tobias

Hallo Tobias,

Kannst du mir beim Proxy helfen, der ncht funktionier?

der funktioniert nicht „im Image“ nicht, sondern in deiner Firewall.
FĂĽr die Schritte in der Doku aus um SSO zu aktivieren:

linuxadmin darf nicht ins Internet kommen (weil er nicht am Server
angemeldet ist), wenn SSo aktiviert ist und der proxy am Client
eingerichtet ist (ist er im Image, macht linuxmuster-adsso-setup).

Xandra hat Heute auch rausgefunden, dass SSO nicht funktioniert, wenn
die Systemzeiten von OPNsense und Client auseinander laufen: hab ein
Auge drauf.

Wenn ich mit dem linuxadmin am Client INternet brauche, nehme ich den
entsprechenden Cleint in die noproxy Alias Liste.

LG

Holger

Doh. Sorry, das muss ja unbedingt in die HAuptdoku! Ich hatte in ERinnerung, dass das nur fĂĽr die frĂĽheren OPNsense Appliances die NachrĂĽstung war. ABer das muss ja jeder machen, auch fĂĽr Windows, richtig?

Dann gleich die Frage:
Bei mir stand: „FIREWALL-K“, siehe hier:


daher wunderte mich auch nicht die ERROR Meldung, nach „Create Key Table“, dass FIREWALL schon existieren würde, man würde für FIREWALL-K eine neue anlegen, screenshot hab ich leider nicht.

Jetzt funktioniert es mit „FIREWALL-K“, aber ob das so schlau ist oder gedacht ist, dass da „FIREWALL“ steht - ich weiß es nicht. Ich lasse es jetzt mal so wie es ist…

VG, Tobias

HI Holger,

noch eine Rückmeldung zum cloop: Die meisten User können sich nicht einloggen, obwohl die angebundene Cloud mit dem Passwort funktioniert, genauso können sie sich bei d’SELMA einloggen.
Ich habe einen USer angemeldet und die d’SELMA zum Anmelden und Passwort ändern aufgemacht.
Ich habe bei mir selbst auch das Passwort geändert und wieder zurückgeändert. Dann kann ich mich anmelden. Ebenso können die Lehrer, die ihr Passwort änderten sich sofort (am PC nebenan) anmelden.
Es kann eigentlich nicht sein, dass das System auf dem Server das eingegebene PAsswort nicht akzeptieren, weil es zu schwach wäre, denn das AD bekommt das Passwort sicher nicht im klartext zu sehen und in Cloud und D’SELMA funktioniert es ja auch!
Ich kann mir nur vorstellen, dass GNOME oder lightdm intern eine PrĂĽfung macht? Oder ĂĽbermittelt das das PW doch bis zum AD im Klartext, so dass hier ein fehler vorliegen kann? Die Situation ist schleierhaft.

Ideen? VG, Tobias

Hallo Tobias,

hier ein fehler vorliegen kann? Die Situation ist schleierhaft.

nein: nicht schleierhaft sondern „schon berichtet“.
Vor zwei Wochen hat Berthold das Problem beschrieben und Dominik hat ihm
zugestimmt: auch ich hatte davon im Migrationstread berichtet.

Der Grund ist nicht das cloop oder der linuxclient, sondern die Migration.
Da scheint „bei alten Passwörtern“ was schief zu gehen. Die migrierten
Accoounts mit „alten Passwörtern“ kommen irgend wie falsch im AD an: mit
den von dir beschriebenen Nebenwirkungen: Anmelden am Cleint (win/lin)
geht nicht, aber alles andere geht (WebUI, Nextcloud …).
Lösung: einmal ändern -> tut

Ich hab die Migration trotzdem gemacht, weil ich direkt vor den Ferien
(und vor der Migration) in der lmn62 allen Lehrern neue Passwörter
vergeben hatte wegen eines „keylogger incidents“.

… hat aber auch nicht viel gebracht: ichhab Heute auch 20 Passwörter
neu gesetzt: aber nicht weil die alten nicht funktionierten (wie
behauptet wurde) sondern weil die einfach vergessen warren, oder weil
man das vorherige nehmen wollte … es gab verwirrung: egal, nächste
Woche werden die Wellen wieder kleiner :slight_smile:

Also: keine Angst: am cloop liegt es ncht.
Angst solltest du haben, weil es auch die Schüler betrifft …
Da wird sich zeigen was „alt“ genau bedeutet.
Wenn es 6 Jahre sind, dann wird kaum jemand bei mir betroffen sein (nur
die Oberstufe).
Sind es weniger, wandert es die Klassenstufen runter …

LG

Holger

HI Holger, super, Danke.
Stimmt, jetzt wo du es sagst: war das nicht die Umstellung des crypt-Verfahrens bzw. Hash-Verfahrens?
D.h. im Prinzip lässt sich nachvollziehen, ob das der Fall ist.
Dann wäre das ein Problem außerhalb meiner Reichweite und die Betroffenen müssen das PW ändern (Kollege X hatte 3 Zeichen, es wurde auch Zeit dass er das mal ändert…)

Wenn es noch so ein Problem (wie ich irgendwo las) mit der Verfallsdauer des PAsswortes wäre das eine andere Geschichte und nützlich zu untersuchen.

Ich schalte mal meine Schulkonsole frei nach drauĂźen sonst mĂĽssen die ja alles in der Schule machen, das ist mir zu viel Stress. Dann gibt es ne Anleitung auf der Homepage und fertig.

p.s.: hast du mal das mrbs-v7 getestet, ich bin gespannt, ob sich die Nacht gelohnt hat…

VG, Tobias

Also nochmal drüber nachgedacht: Dann müssen cloud&selma ein anderes Authentifizierungsverfahren benutzen als Windows&Ubuntu - anmeldungen. Das kann ja schon sein, zumindest müssen wir das im Hinterkopf haben - es kann ja gut sein, dass in Zukunft das eine oder das andere mal nicht geht, solange wir nicht verstanden haben, wie die Mechanismen genau gehen. Passwort ändern ist jetzt ja nur Symptomflickerei.

Hi Holger,

Ich habe weiterhin login-Probleme:

  • wayland hab ich bereits beschrieben
  • dazu kommt noch, dass lehrer nicht das linuxadmin-Profil bekommen. Wo debugge ich das? Wo finde ich dass das linuxadmin-Profil kopiert wird, oder gibt es das gar nicht mehr?

VG, Tobias

ok, gefunden: https://github.com/linuxmuster/linuxmuster-client-adsso/wiki/Hintergrund::03-Boot-und-Anmeldevorgang#profilvorlage
d.h. bei mir funktioniert die erstellung von /home/linuxadmin als Skeleton fĂĽr das homeverzeichnis nicht.

Lösung hierfür: ich habe pam_mkhomedir weiter nach vorne gezogen und aus „optional“ „required“ gemacht. Plötzlich geht es wieder . Warum tat es vorher?

/etc/pam.d/common-session

session required                        pam_mkhomedir.so  skel=/home/linuxadmin
session required        pam_unix.so
session optional                        pam_sss.so
session optional        pam_mount.so
session optional        pam_systemd.so

ah, es könnte evtl. daran liegen, dass ich die cloud noch mounte und die evtl. reinpfuscht.
Nagut. Schau mer mal obs noch bei anderen passiert.

Noch was zum Image: wayland scheint bei manchen Computern probleme zu machen und mit der default-einstellung kann auch mal wayland ausgewählt sein, so dass sich die user nicht anmelden können.
Ich habe mit snad auch das communitytheme deinstalliert, das wäre dann auch noch ein theme das sowohl mit oder ohne wayland auszuwählen gibt.
Fact is: ich mus bei mir in /etc/lightdm/lightdm.conf.d/50-linuxmuster.conf die einstellung machen:
user-session=ubuntu sonst tuten manche PCs nicht.

äh, moment, der richtige ort zum editieren ist zunächst die obige datei, aber dann auch:
/usr/share/linuxmuster-client-adsso/templates/lightdm.conf sonst ist beim nächsten linuxmuster-client-adsso-setup die erste wieder weg…
VG, Tobias

Hi Holger,

also ich stelle fest, ich habe massive Probleme beim Einloggen.
Die Verhaltensmuster wären:

  • Passwort des Benutzers erscheint falsch
  • Benutzer loggt sich mit Passwort korrekt ein, dann erscheint aber wieder der Login-Bildschirm
  • Benutzer loggt sich erfolgreich ein, aber es kommt ein vanilla ubuntu

Und irgendwie lande ich oft beim Ergebnis: es lag an einem timeout. Das sind schlechte NAchrichten, zumindest dann, wenn die Verbindung optimal sein sollte, nämlich vom VM-Client zum VM-Server…

Passwort scheinbar falsch

  • andere berichten davon, dass der Zeitunterschied zwischen client und Server dieses Ergebnis liefert
  • entweder die Passwörter wollen von PAM nicht akzeptiert werden, das kann entweder am Passwort liegen (war der FAll, obwohl die User in SELMA und die Cloud kamen) oder der SSSD läuft nicht.

sssd läuft nicht:

Sep 15 21:35:04 client01 sssd[be[LINUXMUSTER.HUMBOLDT-GYMNASIUM.KA.SCHULE-BW.DE]]: Starting up
Sep 15 21:35:04 client01 systemd[1]: sssd.service: Start operation timed out. Terminating.
Sep 15 21:35:04 client01 systemd[1]: Started resolvconf-pull-resolved.service.
Sep 15 21:35:04 client01 systemd-resolved[354]: Using degraded feature set (UDP) for DNS server 10.16.1.1.
Sep 15 21:35:05 client01 sssd[be[LINUXMUSTER.HUMBOLDT-GYMNASIUM.KA.SCHULE-BW.DE]]: Shutting down
Sep 15 21:35:05 client01 systemd[1]: sssd.service: Failed with result 'timeout'.
  • Ein starten von sssd hat erfolg, manchmal muss man einen Augenblick warten, scheint mir.

Login-Bildschirm erscheint wieder

  • hier war meistens daran schuld, dass das im bionic_lmn.cloop ein theme eingestellt war, das er nicht finden kann. In /etc/lightdm/lightdm.conf war „ubuntu-communitheme-snap“ eingestellt. In /var/log/lightdm/lightdm.log findet man heraus, mit welchem theme eingeloggt (versucht) wurde und ob es geklappt hat. Ich vermute hier, dass „snap“ nicht lief oder aus anderem Grund „ubuntu-communitheme-snap“ nicht verfĂĽgbar war (logmeldung war in ~/.xsession-errors)
  • Ich habe auch die Vermutung, dass ubuntu-wayland auf manchen Rechnern nciht funktioniert.

Login ohne linuxadmin-Vorlage

  • Hier ist unklar, warum bei der ERstellung des VErzeichnisses /home/cache/user manchmal nicht linuxadmin-Home als Vorlage verwendet wird. Ich habe die Vermutung, dass so wie das in pam.d/common-session drin steht, das mkhomedir nicht unbedingt ausgefĂĽhrt werden muss (optional). DAs dumme ist: man kann nicht einfach ausloggen und wieder einloggen, root muss vorher /home/cache/user löschen oder der computer muss neu booten, damit man es nochmal probieren kann.
    Ich habe jetzt die Zeile in common-session mit mkhomedir vor die Zeile mit sssd.so gestellt, aber auch da bin ich nicht sicher immer ausgefĂĽhrt wird.
# and here are more per-package modules (the "Additional" block)
session required        pam_unix.so 
session optional                        pam_mkhomedir.so  skel=/home/linuxadmin
session optional                        pam_sss.so 
session optional        pam_mount.so 
session optional        pam_systemd.so 
# end of pam-auth-update config
1 Like

Hi @Holger, @foer,

ich hab ein weiteres Problem ungelöst: Bei uns sind Bildschirm und Beamer an zwei Anschlüssen dran, d.h. ich arbeitete bisher damit, dass ich Beamer und Bildschirm nebeneinander oder als Mirror aufeinander softwareseitig schalten musste.
Bislang ging das beim X-Server immer so aus, dass der schon beim Login-Fenster gemirrored hat. Ubuntu 18.04 macht das jetzt anders: es zeigt die Bildschirme nebeneinander, dort wo die Maus ist zeigt er die Anmeldung an. Auch ok, die Kollegen mĂĽssen halt mit der Maus mal nach ganz links oder ganz rechts fahren um nicht die Anmeldung ĂĽber den Beamer zu machen.

Ich formuliere das mal um:
Aber nach dem Anmelden: Natürlich ist es (meist?) so, dass der Beamer der primäre Bildschirm ist und man wenn überhaupt nur sehr umständlich die gnome-einstellungen öffnet (rechts oben in der Leiste, ja, die ist aber nur auf dem Beamer sichtbar) um das umzustellen.
Als linuxadmin kann man das zwar mal machen: „Bildschirm spiegeln“, aber dummerweise klappt das nicht auf anderen Systemen automatisch beim Anmelden.
Bislang hatte ich ein „Beamer gleich Bildschirm“ - Icon auf dem Desktop bei 16.04. Wenn ich das wieder hinkriege, auf allen Bildschirmen angezeigt zu bekommen - auch gut.

HAt jemand von euch eine elegantere oder auch einfach funktionierende Lösung?
Die PCs sind unterschiedlich, fast alle stationär, evtl. wenige Laptops mit der Lösung, eine Tastenkombination wäre natürlich schlau. Noch besser man kriegt das automatisiert.

VG, Tobias