Mar 5 08:44:20 bw-nb01 cifs.upcall: key description:
cifs.spnego;0;0;39010000;ver=0x2;host=server.fsmw.lan;ip4=10.0.0.1;sec=krb5;uid=0x0;creduid=0x0;user=global-admin;pid=0x83e
/etc/krb5.keytab vor Domänenaufnahme am Client gelöscht?
Vielelicht versucht er den Key, wenn die Datei da ist.
Also erst löschen, dann nimmt er die Credentials.
nur so eine Idee
Wenn die Uhrzeit nicht stimmt, geht nix mit Kerberus!
Die Uhr lief vor: 05.03.2020 09:16:16 statt 2020-03-04T22:22. Das mag der Höllenhund garnicht … puh! Danke für eure Hilfe
Apropos: Das Readme erwähnt /srv/linbo/linuxmuster-client/bionic/common/etc/systemd/timesync.conf die ich nicht habe… auch auf dem client nicht. Sie heisst …syncd…
So, der aktuelle Stand ist: Ohne Eingriff wird nun alles (Netz, Opnsense, Server, Client) installiert, provisioniert und migriert. Ich kann mich mit meinem alten Nutzer aus dem alten Setup anmelden. Allerdings funktioniert SSO nicht, ich muss mich dem Proxy gegenüber erneut anmelden (was funktioniert und ich dann auch surfen kann).
Wo kann ich suchen?
Ach ja: Die Standard Firefox Konfiguration enthält ein paar Artefakte anderer Installationen, zB „lmn.lan“ oder „windeck-gymnasium.de“. Und: Ich dachte immer, das Home vom „linuxuser“ würde beim Anmelden kopiert, ich habe aber das Home von „linuxadmin“ (oder liegt das daran, dass ich Lehrer / Admin oder eine ähnlich andere Rolle habe?
… das liegt einfach daran, dass (nach meinem Wissen) Dominik und Holger den bionic-Client bei sich vorbereitet haben, ihn an ihre Schulen angepasst haben und ihn dann in die weite Welt entlassen haben. Daher stehen diese Einträge noch im Firefox-Profil. Kann man aber leicht ändern …
Klar, es war nur ein Hinweis, dass da noch Domains stehen da hier einige vorsichtig sind mit ihren Domains (besonders, wenn sie offizielle Domains nutzen).
Wenn ich herausgefunden habe, was ich im FF umstellen muß, damit der Kerberos macht, wird das in dem walkthrough gleich mitangepasst.
Ich ersetze die auch immer, wenn ich hier Konfigurationen poste … nervt zwar, aber ich bekomme auch schon so genügend eMails von unserem Wordpress, dass wieder diese oder jene IP für 24 Stunden gesperrt wurde, weil zu viele falsche Logins ausprobiert wurden. Muss man ja nicht unbedingt noch befeuern, indem die domain überall auftaucht und automatisch abgegriffen werden kann, meine ich…
Jedenfalls: Danke, fail2ban!
Hier ein Screenshot, wie es bei mir zZ aussieht – die alten Einträge hatte ich dort auch gelöscht:
Ähnliches müsste man dann aber auch für Chromium etc einstellen?!?
Hm – habe gerade gesehen, dass Chromium auf die Systemeinstellungen verweist:
Netzwerk → Netzwerk-Proxy und da steht: AUS
Im Moment steht der Client hier aber auch noch in der OPNSense unter Firewall --> Alias --> NoProxy in der Ausnahmeliste
Hast du bei dir auf der OPNSense-FW unter „Dienste → WebProxy → Single Sign On“ etwas eingestellt?
Verdammt, den Schritt habe ich verschwitzt… der lässt sich nicht automatisieren, weil Opnsense kein hübschen Shell-Commands hat wie das mustergültige Linuxmuster.
Ich habe jetzt gesehen, dass die eine Menge Scripte (php, python, shell) nutzen, die das Menü einfach aufruft. Ein chsh funktioniert auch, dann hat man sofort eine Shell und kann per ssh fernsteuern. Alles ist aber eben Reverse-Engenieering, was wenig Spass macht.
Not with the default tools - you would have to edit /config/config.xml or write a service file and reload the filter afterwards. There is no command for that
Generell scheint bei denen in Richtung Automation wenig Interesse zu bestehen. Das Tool configctl wird nicht dokumentiert und die API enthält nur eine magere Handvoll Funktionen.
Hallo, was mir noch einfiel: beim Setup des Servers werden doch auch ein paar Settings automatisch auf der OPNSense-FW eingetragen, wie zB die Gateways (bei Subnetting) u.ä… Vielleicht ist das ein Ansatz, wo du dich mit deinem Script einklinken kannst?
Wow, das nutzt sowohl die API als auch Ändern der XML-Config.
Ich habe für beides keine Doku gefunden und bei vielen Funktionen der API ein ‚not found‘ zurückerhalten.
Die API wäre schon der richtige Weg, nur ohne Doku? Das XML zu ändern halte ich für gefährlich. Hm. Für den Python-Code zeichnet thomas@linuxmuster.net (ist das @thomas hier?) verantwortlich, hat Thomas mehr Informationen (und könnte mir weiterhelfen)?