In der Gegend finde ich jede Menge Dateien von dem Typ, aber in andren Verzeichnissen:
/var/lib/samba/private/tls/linuxmuster.windeck-gymnasium.de.pem
/var/lib/samba/private/tls/bzpf.lan.pem
/var/lib/samba/private/tls/lmn.lan.pem
Ich habe also jede Menge Schul-Domains da, leider aber weder meine Domain noch am erwarteten Ort 
Das hängt davon ab, ob dein Client in der OPNSense Firewall unter „NoProxy“ mit aufgeführt ist oder nicht. Ein paar Clients (aus dem Gedächtnis ca 19 IPs) sind dort eingetragen. Die dürfen auch ohne Proxy-Auth. surfen.
Wenn du hier im Forum nach „Domänenbeitritt“ suchst, gibt es einige, die Probleme damit hatten – bei anderen lief es sofort. Wenn dein Script den Domänen-Zugang aber sofort mit erledigt, wären ganz sicher viele davon sehr angetan!
Steht bei mir auch drin: dn: @@dn@@ – obwohl die Anmeldung funktioniert.
Bug gefunden?
Diese Einträge stehen dort bei mir auch (clientseitig). Dazu kommt noch unser eigener Key (.pem)
Wie macht ihr generell einen web-Zugriff (und nichts andres tut apt) als root? Ich sehe da nur
E: Failed to fetch http://www.geogebra.net/linux/dists/stable/InRelease 407 Proxy Authentication Required [IP: 10.0.0.254 3128]
Das passiert, entweder …
… wenn du per ssh auf dem Client bist und in der Konsole arbeitest (gefällt mir auch nicht, dass es dann nciht ootb funktioniert) …
… oder dein Client noch nicht unter NoProxy mit aufgeführt ist. Wenn er das ist, kannst du unter X11/Wayland (was ist es?) eine (grafische) Konsole aufmachen und der Befehl funktioniert …
Genau, klar arbeite ich da Was fehlt da? Ich hab die /etc/apt/apt.conf.d/90proxy angelegt und da die Credentials hinterlegt, das reicht aber nicht.
Tobias hatte mir irgendwann mal verraten, wie es geht. Hier steht’s:
Hm, das wäre fatal, wenn das klappte. Dann würde jeder Client ja ohne Proxy ins Netz kommen. Getestet und: Nein, klappt nicht, bleibt im Download hängen und endet im Timeout (gut so).
Ich brauche ein Proxy-Login für apt. Ich habe dafür
Acquire::http::proxy "http://global-admin:Muster!@firewall.fsmw.lan:3128/";
in 90proxy. Geht aber nicht. Oh, aber mein Account geht. Warum nicht global-admin? linuxadmin geht auch nicht, was ja zu erwarten war, da der lokal ist, oder?
Also ich meinte das so, dass der Client schon zur Gruppe „NoProxy“ gehört – auch dann klappt der Zugriff ins Internet über die Konsole nicht; es sei denn man packt das „unset …“ davor.
Hallo Michael,
Anyway ich kann einen weiteren Erfolgsschritt vermelden: Ich kann mich
mit einem migriertem Benutzer anmelden. Der Proxyzugriff im Firefox
benötigt allerdings eine weitere User/Password-Eingabe (dann geht’s
allerdings), das ist für SSO eher nicht richtig, oder?
das sollte Passworteingabe ohne gehen.
Irgendwas passt da noch nicht.
Trag mal dn Proxy von Hand ein im Firefox.
Schau auch mal hier hin:
LG
Holger
Hallo Michael,
In der Gegend finde ich jede Menge Dateien, aber in andrenn Verzeichnissen:
/var/lib/samba/private/tls/linuxmuster.windeck-gymnasium.de.pem
/var/lib/samba/private/tls/bzpf.lan.pem
/var/lib/samba/private/tls/lmn.lan.pem |Ich habe also jede Menge Schul-Domains da, leider aber weder meine
Domain noch am erwarteten Ort
das ja Lustig: da kann man den Werdegang des cloop sehen:
zuerst Dominiks Schule,
dann meine,
und dann die Domain meiner virtuellen Maschienen 
Also: da sollte deine nun liegen.
Was es bedeutet, wenn das nicht da ist weiß ich leider nicht.
LG
Holger
Ich fühle mich da immer mit angesprochen; bin aber gar nicht gemeint. Also @mdt: Wir tragen den gleichen Vornamen, richtig?
Hallo Michael,
ich mach updates tatsächlich an einem virtuellen Client der in der
noProxy gruppe steht.
Einfach Proxy mit credentials für die console hinterlegen geht so nciht,
weil der Proxy auf SSO steht: der will also, dass der Nutzer sein
Kerberosticket vorzeigt.
LG
Holger
kinit ausprobiert?
Test the configuration by obtaining a Kerberos ticket:
sudo kinit <username>
Verify the ticket with:
sudo klist
(stammt von hier)
Richtig!
Doch. Ich habe gerade ein apt upgrade gemacht indem ich Acquire::http::proxy "http://michaeld:xxxxxxx@firewall.fsmw.lan:3128/"; gesetzt habe. Vielleicht ist das ein Hinweis, warum firefox auch die Credentials nochmal will?
Was meinst du mit „da“? Die liegen ja in
/var/lib/samba/private/tls/<DOMAIN>.lan.pem obwohl das Script sie in
/var/lib/samba/sysvol/<DOMAIN>.lan/tls/cacert.pem erwartet. Das ist schon ein Unterschied Wer hat Recht? Und warum geht das bei dir?
Ich denke, ich sollte hier ansetzen. Was heisst veraltet und wie komme ich an ein aktuelles?
Ich habe ein apt upgrade gemacht aber das trifft natürlich nicht Dateien, die gar nicht paket-system-kontrolliert sind und einfach so ins System geschrieben wurden (darum ist das ja auch so unschön, das zu tun ). Muss ich also damit rechnen, immer mal wieder das image (oder cloop wie ihr es nennt) updaten zu müssen, wenn sich solche Dateien ändern?
Verstehe ich nicht… unser Workflow geht so: In 99% der Fälle starten die Clients einfach un-/synchronisiert. Wenn sich auf dem Master aber gravierende Änderungen ergeben (z.B. neues Firefox, neues LibreOffice, neues VirtualBox), erstelle ich ein neues Image (die Bezeichnung .cloop gab es meines Wissens schon vorher – ist das nicht von K. Knopper so eingeführt worden??).
Dieses Image wird dann neu ausgerollt und auf alle Clients der gleichen HWK verteilt. Wenn einzelne Dateien geändert werden, tue ich das tunlichst NUR auf dem Master-Client und notiere es auch im Installations-Logbuch. Sonst ist so eine Information ziemlich sicher verloren.
Natürlich kann man gezielte Änderungen auch mit dem universellen Postsync-Script erledigen lassen. Das ist manchmal eine Frage, was gerade besser passt bzw was „bequemer“ ist.
Jetzt klar – oder verstehe ich die Frage nicht??
Hier ist z.B. mal eine Änderung, die ich mir selbst zusätzlich in meine .postsync-Datei geschrieben habe, damit ich jederzeit sehen kann, wann der Client zuletzt synchronisiert wurde:
# Last-Sync auf Client loggen:
LOGFILE=/mnt/last-SYNC.log
echo "$(date) - $(hostname) der Gruppe $(hostgroup) wurde synchronisiert!" > $LOGFILE
Hallo Michael,
Ich denke, ich sollte hier ansetzen. Was heisst veraltet und wie komme
ich an ein aktuelles?
… ich lad es gerade hoch: link gibt es nachher.
Ich habe ein |apt upgrade| gemacht aber das trifft natürlich nicht
Dateien, die gar nicht paket-system-kontrolliert sind und einfach so ins
System geschrieben wurden (darum ist das ja auch so unschön, das zu tun
cloop wie ihr es nennt) updaten zu müssen, wenn sich solche Dateien ändern?
nein.
In der früheren Version war das wohl noch nicht so glatt gebügelt…
LG
Holger
Das ist alles klar. Ich meine die Dateien, die auf dem Image sind, die nicht unter Paketkontrolle stehen und linuxmuster ausmachen und nötig sind für die korrekte Funktion. Wenn linuxmuster davon eine neue Version herausbringt in den Cloops (oben wurde ja erwähnt, ich hätte eine veraltete Version) - wie komme ich dann da dran, wenn apt update && apt upgrade die garnicht updaten können?
Klar mache ich Änderungen auf dem Image und lade es auf den Server. Und genau da ist ja das Problem: Alles was ich manuell in das Image pflege für uns hier geht ja verloren, wenn ich eine nicht mehr veraltete Version herunterlade und synce.
Erklärt das meine Sorge?