Linuxmuster in bestehendem Netzwerk?

Hallo zusammen,

verzeiht die Funkstille - da war schon wieder Schule „im Weg“ …

Worum geht es? Um das Einführen von lmn „auf Raten“. Unsere Kommune steht auf Microsoft und glaubt die Werbeversprechen von „SoftwareAsAService“. Ich möchte aber lieber selber Kontrolle über meine Rechner an der Schule haben.

Mit anderen Worten: von dort kann ich keine Hilfe erwarten bzw. muss ich erst Überzeugungsarbeit leisten. Das will ich tun, indem ich zeige, was lmn kann.

Situation: Schulnetz über einen Windows-Server mit verschiedenen VLANs und in den Klassenräumen dann WLAN-APs für die Laptops. Also kein Computerraum mit LAN-Anschlüssen (den gibt’s auch, aber um den geht es gerade nicht, weil ich da keinen Unterricht habe).

Etappenziel: Laptops mit Linux (Mint - wegen Windows-Umsteigern) ausrüsten (im Augenblick via Linux-Installation auf USB-Sticks als Platte und direkt gebootet - also nicht nur persistente LiveCD, sondern echte Installation).
An diese Laptops sollen sich die Schüler personalisiert anmelden können.
Wichtig: das ganze muss auch ohne direkte WLAN-Verbindung funktionieren (es scheint doch LDAP-Synchronisation und/oder Caching zu geben?) - zumindest ab der zweiten Anmeldung mit dem jeweiligen Stick (ein USB-Stick wird ggf. von mehreren Schülern, aber dann immer von den gleichen genutzt).

Wunsch: das ganze über lediglich den LDAP(?)-Teil von lmn lösen, welcher dann wie jeder andere Laptop im WLAN (oder LAN im gleichen VLAN) hängt - im schönsten Fall auf einem Raspberry PI (für diese temporäre Variante!) → dann könnte ich ihn einfach immer bei mir haben und einstöpseln.
Mithilfe einer festen IP oder Hostnamen für den Server sollte das ja gehen, ohne dass ich da getrennte VLANs aufspanne etc.?

Fernziel bleibt natürlich, das alles „richtig“ zu machen. Ich wollte jetzt einfach gerne nicht irgendeine LDAP-Lösung nehmen, sondern hätte gerne gleich auf die gut gepflegten Komponenten von lmn zugegriffen.

Warum glaube ich, dass das gehen soll? Es steht ja in der Beschreibung, dass auch BYOD-Geräte problemlos in lmn eingepflegt werden könnten - das wäre jetzt ja rein technisch gesehen mein Anwendungsfall - oder?

Ich hoffe, das war jetzt etwas klarer von mir beschrieben?

Danke schon mal für den vielen Input,
Guntram

Hallo Guntram,

aber nicht mit Anmeldung als Domänenbenutzer über den LDAP.

Ich bleibe dabei: Das wird so nicht funktionieren. Dafür ist LMN nicht gemacht.

Viele Grüße
Steffen

Hallo Guntram,

ich verstehe da ganz viel nicht. Die Schüler sollen sich ohne Netzwerkverbindung personalisiert anmelden können. Das ist erstens sinnlos (keine Netzlaufwerke, kein browsen, usw.) und zweitens so nicht in lmn implementiert. Außerdem gibt es keine Synchronisation der Benutzerdaten zwischen Windows-Server und LMN-Server, dann müssten ja alle zwei Benutzernamen mit extra Passwörtern haben. Da wird keiner „Hurra, ich finde Linux super“ schreien.
Laufwerk auf USB-Stick. Aua, das ist erstens fehleranfällig und zweitens langsam.
Fazit: lass es, das wird so nichts.
Binde doch deine Linux-Clients an den Windows-Server ohne Netzwerkverbindung an, Windows kann das bestimmt
Sorry für meinen Ton, habe gerade etwas länger Schülerarbeiten korrigiert.
VG
Christian

Hallo!
Um das zu spezifizieren. Eingepflegt können keine BYOD werden, aber deren Internetzugriff kann gesteuert werden. Sie könnten auch server-shares nutzen, die müssten aber nach Bohren diverser Löcher in die Firewall von Hand „gemounted“ werden, dann wird das mit dem Support aber sehr aufwändig, weil sicher viele ihre Geräte verkonfiguriert haben…
LG Max

Noch ein bisschen Erläuterung:

• personalisierte Anmeldung:
  Heißt einfach nur, dass die Schüler ein LogIn haben sollen, welches auch ohne Internet funktioniert.
  Hintergrund: derzeit gibt es jahrgangsweite gemeinsame Profile für Windows (also die gesamte Klasse 9 nutzt ein und dasselbe LogIn/Profil). Das nervt natürlich aus verschiedenen Gründen gewaltig und ich will die Lücke nutzen und mit lmn jedem Schüler ein LogIn bieten. Das ist kein technisches Hindernis von Windows, sondern ein organisatorisches .
  Außerdem gibt es immer mal WLAN-Probleme und die Anmeldung an die Geräte geht gar nicht, weil ja der Windows-Domänencontroller nicht erreichbar ist. Wenn ich da jetzt eine Offline-„Nutzer-Verwaltung“ anbiete (also Login mit eigenem Profil - welches dann halt der Stand vom letzten LogIn auf diesem Rechner/Stick ist), kann ich wieder (zumindest bei den technisch wenig Versierten) punkten .

• Sync zwischen Windows- und Linux-Server, zwei Passwörter etc.
  nicht relevant, da der Windows-Server ja eben gar keine Nutzerprofile (außer den unbrauchbaren jahrgangsweiten Zugängen) bietet.

• USB-Stick:
  Ist nur die Zwischenlösung zum Austesten, bevor ich „an die Geräte ran“ darf. Geschwindigkeit bisher unproblematisch - habe aber auch noch nicht intensiv getestet (will mich ja gerade noch um LDAP kümmern).

• Schülerarbeiten:
  Kennen wir alle - bin auch überhaupt nicht „böse“ über den „Ton“…ich hoffe aber, das verständlich wird, warum ich lediglich an einem Provisorium arbeite…

• BYOD:
  Da geht’s also quasi nur um Internetzugang. Aber das ist ja auch schon was - denn man würde ja trotzdem eine Klassenübersicht bekommen?

Hallo Guntram,

und genau das funktioniert zwar ohne Internet, aber eben nicht ohne Kontakt des Clients zum DHCP (wegen passender IP) und LDAP des LMN-Servers.

Das ist aber dann bei jedem Client-Server-System so, auch bei LMN, s.o.

Das geht nicht mit personalisierten Logins, es sei denn, du hast ein lokales Profil für jeden User auf dem Client. Dann müsste die HD je nach Userzahl mehrere TB groß sein und es sind keine Accounts, die über den LDAP der LMN verwaltet werden.

Nein, denn das BYOD hat ja nur Internet und keine Funktionen der LMN verfügbar.

Nochmal: Was du willst geht nicht.
Glaub es, oder bastel was und fall damit auf die Nase.

Viele Grüße
Steffen

@offline Nutzerverwaltung:
Letztlich gehe ich (in dieser Testphase) von max. 5 unterschiedlichen Nutzern pro Stick aus. Da wäre das mit dem lokalen Profil ja vielleicht noch machbar?
Wird bei LMN bei jeder Anmeldung zwingend das komplette Profil über das Netzwerk geladen? Oder wenigstens nur die Änderungen (also synchronisiert)? Das gibt ja dann schon wieder eine gewaltige Auslastung des WLANs am Stundenanfang?

Für die Nutzernamen/Passwörter hatte ich gelesen, dass man die halt lokal „cachen“ kann - das hat dann aber wahrscheinlich nichts mehr mit LDAP und Co. zu tun?

In der langfristigen Lösung hätte ich angestrebt, die Nutzerdaten (also aktiv abgespeicherte Dokumente etc.) eher in einer nextcloud oder ähnlichem zu lagern, so dass das Profil lediglich die Einstellungen umfassen würde (also wahrscheinlich alles, was in $HOME mit . anfängt)…

Danke nochmals, dass ihr mir antwortet, auch wenn ich wie ein bockiger Schüler wirke, der einfach nicht auf euch hören will …
Guntram

Hallo Guntram,

Nein, das Profil wird bei Domänenanmeldung auf dem Client aus dem Vorlagenprofil, das man als Admin eingerichtet hat, geladen.
Das geht aber eben nicht offline, denn dann ist der Benutzer ja nicht bekannt.
Sonst musst du lauter lokale Profile machen. Dann brauchst du aber halt auch kein LMN.

yep. Imho geht damit der Vorteil einer Client-Server-Lösung auch völlig verloren, s.o.

Kann man machen. Besser: Die Shares für Home, Tauschlaufwerke in NC einbinden.

Das ist sowieso so. Die Nutzerdaten liegen auf Shares, die bei Anmeldung eingehängt werden.

Wir sind ja auch linuxmuster.net(t)

Trotzdem: Dein Vorhaben macht so keinen Sinn.
Und damit höre ich jetzt auch tatsächlich auf.

Viele Grüße
Steffen

Okay. Ich glaube, ich hab’s gerafft .

Dann werde ich einfach einen einzigen generischen Offline-Nutzer auf dem „Image“ mit pflegen - quasi einen Gastmodus für die Härtefälle.

Danke auch für die anderen guten Hinweise hier (Image-Tankstelle etc.) - ich hoffe, ich blicke eines Tages durch die Struktur von lmn durch !

Hallo,

@offline Nutzerverwaltung:
Letztlich gehe ich (in dieser Testphase) von max. 5 unterschiedlichen
Nutzern pro Stick aus. Da wäre das mit dem lokalen Profil ja vielleicht
noch machbar?

hier mal meine Gedanken dazu: vielelciht wird hier ein wenig aneinander vorbeigeredet.
Was du willst klang erstmal so als solle auf jedem Gerät jedes Nutzerkonto (Benutzernemn/Passwort) verfügbar sein: das will natürlich niemand und das geht so auch nicht.
In dieser Mail von dir wird es ein wenig deutlicher und ich denke, das könnte gehen: also 5 oder 10 Nutzer auf einem Gerät vorhalten, ABER: damit ein Nutzerprofil mit Benutzernemen und Passwort auf einem Cleint vorgehalten wird, muss sich jeder einzelne Nutzer einmal angemeldet haben, während das Gerät am Netz ist.
Ich weiß, dass das Profil dann lokal in /home/cache/ liegt.
Ich meine aber, dass wir Mechanismen haben, die das wieder löschen …
Das war die Profil Seite: jetzt die Credentials.
Unter Windows kann man einstellen, dass die Credentials des Netzwerknutzers lokal gecached werden, damit das Gerät mit den selben Credentials offline benutz werden kann. Wenn man das unter linux auch einstellen könnte, dann wäre es ja das, was du haben willst.
Aber: dann müßte auch der lightdm lernen zu erkennen, ob Kontakt zum LDAP besteht, oder nicht und dementsprechend dann den LDAP fragen, oder eben lokal nachschauen.
Ich habe keine Ahnung, ob das geht.

Wird bei LMN bei jeder Anmeldung zwingend das komplette Profil über das
Netzwerk geladen?

nein, es wird das lokale Standartprofil bereitgestellt und einzelne Netzwerklaufwerke dort hinein gemountet.

Oder wenigstens nur die Änderungen (also
synchronisiert)?

da wird nix synchronisiert.
Das hat inzwischen sogar Microsoft kapiert, dass das nicht klappt und hat auf Folder Redirect umgestellt: glaubt mir, ich weiß wovon ich rede: 8 Jahre Direktionsnetz mit Windows 2012 Server und gesyncten Homes … absoluter Schrott … furchtbar…

Das gibt ja dann schon wieder eine gewaltige Auslastung
des WLANs am Stundenanfang?

nö.

Für die Nutzernamen/Passwörter hatte ich gelesen, dass man die halt
lokal „cachen“ kann - das hat dann aber wahrscheinlich nichts mehr mit
LDAP und Co. zu tun?

doch.
… lies mal mehr dazu: vielleicht geht es ja

In der langfristigen Lösung hätte ich angestrebt, die Nutzerdaten (also
aktiv abgespeicherte Dokumente etc.) eher in einer nextcloud oder
ähnlichem zu lagern, so dass das Profil lediglich die Einstellungen
umfassen würde (also wahrscheinlich alles, was in $HOME mit . anfängt)…

das liegt bei uns lokal.
Manche von uns syncen automatisch per nextcloud die Nutzerdaten: automatisiert mit den Credentials vom Login.

LG

Holger

Hallo Guntram!

In Ergänzung zu Holgers Hinweisen …
Wir verwenden die LMN 7 ausschließlich mit Linux-Clients auch mit Laptops, daher ein paar Erfahrungswerte was geht:

1. Wenn man sich mit einem Domänen-Account einmal mit Serververbindung angemeldet hat, dann geht das später auch, wenn man beispielsweise zu Hause sitzt und keine Serververbindung hat.
2. Die Konfigurationsdateien liegen lokal im persönlichen Verzeichnis des Benutzer unter /home/cache/BENUTZERNAME - die kommen bei Erstanmeldung vom Vorlagenbenutzer (meist „linuxadmin“).
3. Es ist möglich Konfigurationsdateien serverbasiert abzulegen, dann werden entsprechende Dateien oder Verzeichnisse im persönlichen Serververzeichnis (Home_auf_Server) unter Einstellungen auf den Client verlinkt (nicht synchronisiert).
4. Wenn man sich offline anmeldet, fällt einem 3) auf die Füße, da dann die verlinkten Konfigurationsdateien vom Server nicht vorhanden sind. Wenn man also beispielsweise für Firefox ein serverbasiertes Profil hat, muss man offline mit einem anderen Profil starten ($ firefox -p ) oder andere Mechanismen überlegen. (Ich überlege die Verlinkung bei der Anmeldung so anzupassen, dass es im Offline-Modus mit neuem lokalen Profil funktioniert.)
5. Eine einfache Verbindung zur Nextcloud kann man unter Ubuntu mit der Software „Online-Konten“ herstellen. Serveradresse, Benutzername, Passwort eingeben - Verbindung steht.

Gruß - Rainer

Hallo Guntram,

vor einigen Jahren musste ich eine funktionierende lmn 6.2 Welt mit Linux Clients einschließlich WLAN auf eine mit IServ und Windows 10 Clients umstellen. Zurück möchte ich bei aller Liebe zu linuxmuster nicht mehr. Das Geld für die Windows 10 Lizenzen ist weg und der Stress mit der Wartung von Windows ist mit opsi vollständig automatisiert und ich muss „mein“ Linux nicht mehr jeden Tag gegen Microsoft-Fans verteidigen. Was Du vorhast, liest sich nicht so, als ob Du Deine Kunden und Dich damit glücklich machen würdest.

Wenn ich beim Lesen dieses Threads nichts überlesen habe, habt Ihr schuleigene unmanaged Windows 10 WLAN Clients mit einem lokalen Benutzerkonto, das sich alle Schüler teilen und damit auch Datenspuren darauf hinterlassen. Einen Domänencontroller habt Ihr noch nicht. Es gibt personalisierte Dienste im Internet, die über HTTPS erreicht werden. Der Browser ist so eingestellt, dass er keine Zugangsdaten speichert.
Die Motivation für (gecachte) Domänenanmeldungen wäre, die Datenspuren verschiedener Benutzer zu schützen. Wie Rainer geschrieben hat, ginge dies mit linuxmuster sogar. Ich kann Dir jedoch berichten, dass diese Möglichkeit auch bei unseren Windows Clients zu Problemen führt, wenn sie nicht mit dem schulischen WLAN verbunden sind. Bedenke, dass die BenutzerInnen sich beim Verlassen des WLAN selten abmelden. Ich würde eher dafür sorgen, dass die lokalen Datenspuren beim Abmelden gelöscht werden.
Das zweite Motiv wären managed Clients. Wenn Du linbo benutzt, ist dafür keine Domänenanmeldung erforderlich, man kann jedoch ein aktualisiertes Image nur mit PXE im LAN verteilen. Mit dem hier nicht so verbreitet eingesetzten opsi wäre es auch möglich Windows Clients via WLAN mit Softwarepaketen zu versorgen. Dazu bedarf es aber der Disziplin der Benutzer, die Clients im WLAN geordnet herunterzufahren - was bei unseren SchülerInnen und KollegInnen nur mäßig klappt.

Für Euch wäre ein webbasiertes Client Management das ideale, so wie es für Apples iOS funktioniert. Mit dem MDM von IServ kann ich ein iPad bei einer SchülerIn im heimischen WLAN zurücksetzen und alle Apps, WLAN-Profile und Einschränkungen werden wiederhergestellt, sobald sie es bei der Erstinstallation mit irgendeinem WLAN verbindet. Keine Chance etwas dabei falsch zu machen
So etwas gibt es bislang jedoch nur für gutes Geld und ich fürchte, dafür wird es bei linuxmuster so bald nichts geben. Als Lösung, die Windows, Android und iOS Clients gleichermaßen managen kann, kenne ich nur Radix Viso für 18 $ pro Client und Jahr.

Gruß Jürgen

3 Beiträge wurden in ein neues Thema verschoben: Schulische IT - Ein Blick in die Kristallkugel