LM v7 Walkthrough

baumhof · 4. März 2020 um 21:14

Hallo Michael,

Mar 5 08:44:20 bw-nb01 cifs.upcall: key description:
cifs.spnego;0;0;39010000;ver=0x2;host=server.fsmw.lan;ip4=10.0.0.1;sec=krb5;uid=0x0;creduid=0x0;user=global-admin;pid=0x83e

/etc/krb5.keytab vor Domänenaufnahme am Client gelöscht?
Vielelicht versucht er den Key, wenn die Datei da ist.
Also erst löschen, dann nimmt er die Credentials.
nur so eine Idee

LG

Holger

mdt · 4. März 2020 um 21:24

Nein, genau das schlägt ja fehl wie ich schrieb.

Ja.

Das verstehe ich nicht. Ich habe die MAC in eine devices.csv aufgenommen - meinst du das?

Ja.

Die Datei enthält bei mir keine Rechner oder Domainnamen, nur lokale Geräte.

Gerade nochmal gemacht, keine Änderung.

mdt · 4. März 2020 um 21:27

Für uns alle zum merken:

Wenn die Uhrzeit nicht stimmt, geht nix mit Kerberus!

Die Uhr lief vor: 05.03.2020 09:16:16 statt 2020-03-04T22:22. Das mag der Höllenhund garnicht … puh! Danke für eure Hilfe

Apropos: Das Readme erwähnt /srv/linbo/linuxmuster-client/bionic/common/etc/systemd/timesync.conf die ich nicht habe… auch auf dem client nicht. Sie heisst …syncd…

baumhof · 4. März 2020 um 21:42

Hallo Michael,

baumhof:

er ist in der workstations
Das verstehe ich nicht. Ich habe die MAC in eine |devices.csv|
aufgenommen - meinst du das?

ja.
workstations ist lmn6.2 …

baumhof:

die /etc/fstab ist korrekt gepatched: Domain und Rechnernamen stimmen
Die Datei enthält bei mir keine Rechner oder Domainnamen, nur lokale Geräte.

das ist falsch.
Die wird durch den postsync gepatched.
Das mußt du korrigieren.

Sie sollte so aussehen, wenn dein Rechner
r100pc01 und die Domäne wedlergymnasium heisen
ServerIP ist 10.16.1.1

baumhof · 4. März 2020 um 21:49

Hallo Michael,

Wenn die Uhrzeit nicht stimmt, geht nix mit Kerberus!

Die Uhr lief vor: 05.03.2020 09:16:16 statt 2020-03-04T22:22. Das mag
der Höllenhund garnicht … puh! Danke für eure Hilfe

Apropos: Das Readme erwähnt

/srv/linbo/linuxmuster-client/bionic/common/etc/systemd/timesync.conf|
die ich nicht habe… auch auf dem client nicht. Sie heisst …syncd…

ich hab es angepaßt im Readme.

LG

Holger

Michael · 5. März 2020 um 12:50

… und seitdem die Uhrzeit stimmt, klappt auch das Kopieren wieder? Oder gibt es weiterhin ein Problem?

Die Sache mit dem Timeserver und ntp wurde ja erst kürzlich hier diskutiert:

mdt · 5. März 2020 um 20:37

Ja, problemlos. Ich habe jetzt im walkthrough einen flow, die uhrzeit auf dem client so zu setzen wie auf dem server. ntp kommt ja erst später.

Das walkthrough bedient jetzt auch LINBO fern sodass auch ein Client „unattended“ installiert wird…

mdt · 7. März 2020 um 10:25

So, der aktuelle Stand ist: Ohne Eingriff wird nun alles (Netz, Opnsense, Server, Client) installiert, provisioniert und migriert. Ich kann mich mit meinem alten Nutzer aus dem alten Setup anmelden. Allerdings funktioniert SSO nicht, ich muss mich dem Proxy gegenüber erneut anmelden (was funktioniert und ich dann auch surfen kann).

Wo kann ich suchen?

Ach ja: Die Standard Firefox Konfiguration enthält ein paar Artefakte anderer Installationen, zB „lmn.lan“ oder „windeck-gymnasium.de“. Und: Ich dachte immer, das Home vom „linuxuser“ würde beim Anmelden kopiert, ich habe aber das Home von „linuxadmin“ (oder liegt das daran, dass ich Lehrer / Admin oder eine ähnlich andere Rolle habe?

Michael · 7. März 2020 um 10:41

… das liegt einfach daran, dass (nach meinem Wissen) Dominik und Holger den bionic-Client bei sich vorbereitet haben, ihn an ihre Schulen angepasst haben und ihn dann in die weite Welt entlassen haben. Daher stehen diese Einträge noch im Firefox-Profil. Kann man aber leicht ändern …

Starke Leistung! Applaus!

Allerdings funktioniert SSO nicht,

Hast du in der OPNSense denn SSO schon aktiviert?

mdt · 7. März 2020 um 10:44

Klar, es war nur ein Hinweis, dass da noch Domains stehen da hier einige vorsichtig sind mit ihren Domains (besonders, wenn sie offizielle Domains nutzen).

Wenn ich herausgefunden habe, was ich im FF umstellen muß, damit der Kerberos macht, wird das in dem walkthrough gleich mitangepasst.

Michael · 7. März 2020 um 10:57

Ich ersetze die auch immer, wenn ich hier Konfigurationen poste … nervt zwar, aber ich bekomme auch schon so genügend eMails von unserem Wordpress, dass wieder diese oder jene IP für 24 Stunden gesperrt wurde, weil zu viele falsche Logins ausprobiert wurden. Muss man ja nicht unbedingt noch befeuern, indem die domain überall auftaucht und automatisch abgegriffen werden kann, meine ich…

Jedenfalls: Danke, fail2ban!

Hier ein Screenshot, wie es bei mir zZ aussieht – die alten Einträge hatte ich dort auch gelöscht:

Ähnliches müsste man dann aber auch für Chromium etc einstellen?!?
Hm – habe gerade gesehen, dass Chromium auf die Systemeinstellungen verweist:
Netzwerk → Netzwerk-Proxy und da steht: AUS

Im Moment steht der Client hier aber auch noch in der OPNSense unter
Firewall --> Alias --> NoProxy in der Ausnahmeliste

Hast du bei dir auf der OPNSense-FW unter „Dienste → WebProxy → Single Sign On“ etwas eingestellt?

mdt · 7. März 2020 um 14:11

Verdammt, den Schritt habe ich verschwitzt… der lässt sich nicht automatisieren, weil Opnsense kein hübschen Shell-Commands hat wie das mustergültige Linuxmuster.

Michael · 7. März 2020 um 15:21

Warum nicht? Packt OPNSense diese Einträge in Konfigurationsfiles oder in Datenbanken?

mdt · 7. März 2020 um 20:13

Vor allem,weil es nicht dokumentiert ist.

Ich habe jetzt gesehen, dass die eine Menge Scripte (php, python, shell) nutzen, die das Menü einfach aufruft. Ein chsh funktioniert auch, dann hat man sofort eine Shell und kann per ssh fernsteuern. Alles ist aber eben Reverse-Engenieering, was wenig Spass macht.

Du siehst: Ich bin dran

Michael · 7. März 2020 um 20:50

Hast du’s schon im OPNSense-Forum versucht? Da findet man auch Hilfe, wenn’s klemmt … https://forum.opnsense.org/index.php?board=6.0

mdt · 7. März 2020 um 22:09

Ich habe im Forum folgendes gefunden:

is it possible to add a firewall rule from CLI?

Not with the default tools - you would have to edit /config/config.xml or write a service file and reload the filter afterwards. There is no command for that

Generell scheint bei denen in Richtung Automation wenig Interesse zu bestehen. Das Tool configctl wird nicht dokumentiert und die API enthält nur eine magere Handvoll Funktionen.

Michael · 8. März 2020 um 07:42

Hallo, was mir noch einfiel: beim Setup des Servers werden doch auch ein paar Settings automatisch auf der OPNSense-FW eingetragen, wie zB die Gateways (bei Subnetting) u.ä… Vielleicht ist das ein Ansatz, wo du dich mit deinem Script einklinken kannst?

mdt · 8. März 2020 um 13:12

Hast du einen Pointer für mich?

Michael · 8. März 2020 um 13:55

Guck mal hier rein

github.com

linuxmuster/linuxmuster-base7/blob/master/sbin/linuxmuster-import-subnets

#!/usr/bin/python3
#
# linuxmuster-import-subnets
# thomas@linuxmuster.net
# 20181210
#

import configparser
import constants
import csv
import datetime
import os
import re
import yaml

from bs4 import BeautifulSoup
from functions import firewallApi
from functions import getFwConfig
from functions import getSftp
from functions import isValidHostIpv4

This file has been truncated. show original

Da sind einige Zugriffe auf die Firewall

mdt · 8. März 2020 um 14:28

Danke!

Wow, das nutzt sowohl die API als auch Ändern der XML-Config.

Ich habe für beides keine Doku gefunden und bei vielen Funktionen der API ein ‚not found‘ zurückerhalten.

Die API wäre schon der richtige Weg, nur ohne Doku? Das XML zu ändern halte ich für gefährlich. Hm. Für den Python-Code zeichnet thomas@linuxmuster.net (ist das @thomas hier?) verantwortlich, hat Thomas mehr Informationen (und könnte mir weiterhelfen)?