LM v7 Walkthrough

Michael · 5. Februar 2020 um 09:29

Hilft nur bedingt weiter – aber hier ein Screenshot, der die AD-Struktur zeigt:

Die Anmeldung in der WebUI als global-admin sollte funktionieren. Oder gibt es bei dir evtl auch ein Problem mit einem kryptischen Passort mit Sonderzeichen/Umlauten? Damit hatten wir ein Problem beim legendären Treffen der Nordländer – das war auch der Grund, warum ich bei der Installation zunächst ein ganz einfaches PW gewählt hatte …

Ich habe ein Win10, das bereits in der Domain ist … wenn ich mich da als global-admin anmelde, kann ich das unter Windows-Verwaltungsprogramme aufrufen und durchforsten…

mdt · 5. Februar 2020 um 09:31

Autorisiert die Web-Anwendung gegen das LDAP?

Michael · 5. Februar 2020 um 09:58

… noch ein Nachtrag … ich hatte vor kurzem schon mal das hier gepostet:

baumhof · 5. Februar 2020 um 10:14

Hallo,

die AD-Struktur
Autorisiert die Web-Anwendung gegen das LDAP?

due webui authorisiert gegen den LDAP.

Das ist auch so gewollt, da man dort keine Systemeinstellungen macht,
sondern Nutzereinstellungen.

LG

Holger

mdt · 5. Februar 2020 um 15:14

Dann enthält das LDAP den User „root“?

MachtDochNix · 5. Februar 2020 um 17:31

2 Beiträge wurden in ein existierendes Thema verschoben: Linuxmuster-mail für LMN 6.2

baumhof · 5. Februar 2020 um 16:31

Hallo,

due webui authorisiert gegen den LDAP.
Dann enthält das LDAP den User „root“?

nein, das ist ein systemuser.

LG

Holger

mdt · 5. Februar 2020 um 18:52

Dann dürfte ich mich mit root ja nicht einloggen können, oder er autorisiert gegen beide - system- oder ldap-user.

Dies ist ein generischer Befehl das LDAP auszulesen - sollte auf jedem LMv7 laufen:

ldapsearch \
	-D "CN=global-binduser,OU=Management,OU=GLOBAL,$(awk '/basedn/{print $3}' < /var/lib/linuxmuster/setup.ini)" \
	-w $(cat /etc/linuxmuster/.secret/global-binduser) \
	-b "OU=SCHOOLS,$(awk '/basedn/{print $3}' < /var/lib/linuxmuster/setup.ini)"

Ich kann nun die Benutzer sehen, der Benutzer „global-binduser“ ist auch da (mit dem habe ich ja das LDAP gerade ausgelesen), aber ein „global-admin“ ist nicht da.

Wer legt den eigentlich an?

Ach ja: Da ist die Rede von diesem Wizard in der Web-GUI, den habe ich auch noch nicht gesehen / gefunden. Wo ist der?

Michael · 5. Februar 2020 um 19:06

Hi. Jetzt wo du es sagst… ist es nicht so, dass der erste Aufruf als root ausgeführt wird, dabei dann der Setup-Wizzzard abgearbeitet wird und man sich anschließend nur noch als global-admin anmelden soll/kann??

baumhof · 5. Februar 2020 um 19:32

Hallo,

dann fehlt wohl noch ein Schritt beim setup: der Aufruf von
linuxmuster-setup

der wird auf der console erledigt, oder in der WebUI als root: dann
startet der Wizard und fragt das selbe ab wie linuxmuster-setup auf der
console

LG

Holger

mdt · 5. Februar 2020 um 20:17

Das habe ich gemacht. Macht / ist der dasselbe wie der Wizard in der Web-UI?

baumhof · 5. Februar 2020 um 21:03

Hallo,

ja, ist das selbe.

LG

Holger

mdt · 7. Februar 2020 um 08:34

Gut, dann hab ich den Wizard also durchlaufen.

Ich habe das aktuelle walkthrough nocheinmal laufen lassen und nun erlaubt die Web-UI das Einloggen per „global-admin“. „root“ geht auch. Beide sind nicht im LDAP. Ersterer nicht Systembenutzer. Woher holt die Web-UI ihre Nutzer?

Die Änderung am walkthrough waren die Parameter an das linuxmuster-setup. Ich übergebe jetzt alle Parameter, wenn auch leer (zB opsi-ip, das ich nicht nutze). Dubios ist übrigens die Reaktion des Scripts auf die IP-Range, wenn man sie mit „-“ angibt (richtig ist wohl ein Leerzeichen) - das gibt wirklich komische Ergebnisse. Da ich --unattended angebe vermute ich, dass das Script nicht vollständig läuft, wenn nicht alle Parameter in der Kommandozeile gegeben wurden. Kann das sein?

mdt · 7. Februar 2020 um 09:06

Aha: Die Konfiguration ist in /etc/linuxmuster/webui/config.yml. Da steht tatsächlich LDAP. BindDN ist identisch, nur die SearchDN ist „weiter“, darum habe ich die Nutzer nicht gefunden, die beiden sind nicht in OU=SCHOOLS. „root“ ist allerdings nicht drin, „root“ wird als Sonderfall über den „OSAuthenticationProvider“ authentifiziert.

Oups: Die Fehlermeldung zeigt das Passwort in Klartext an:

Michael · 8. Februar 2020 um 10:46

Ja, das habe ich auch schon mal angemerkt:
Das Erst-PW befindet sich auf dem Server in der setup.ini und steht da im Klartext. Nicht optimal – um nicht zu sagen „sub-optimal“

Vgl Linuxmuster-mail für LMN 6.2

mdt · 8. Februar 2020 um 11:04

Naja, nicht ganz so schlimm. Mein Screenshot zeigt, dass das Passwort (auch ein nicht-erst-passwort) beim Anmelden Klartext angezeigt wird, wenn ein Fehler passiert (zB Netzwerktimeout). Steht jemand neben mir, weil ich für ihn etwas an der Web-UI machen möchte, ist das Passwort damit bekannt. Das ist bei weitem gefährlicher als ein root-only-readable Config-File auf dem Server.

mdt · 9. Februar 2020 um 15:40

Wie immer gilt: Testers & comments welcome!

Arnaud · 11. Februar 2020 um 08:11

Hallo,

Das passiert nur in sehr seltene Fälle, wenn z.B. die Verbindung mit LDAP nicht geht.
Ich habe es natürlich korrigiert : Prevent pw to appear in error notification. · ajenti/ajenti@690b1e4 · GitHub

Gruß

Arnaud

alois · 11. Februar 2020 um 08:28

Hallo,

das Skript funktioniert nicht mit XCP-ng ist das richtig?

Gruß

Alois

mdt · 11. Februar 2020 um 09:06

Nein, das tut es so erstmal nicht, ich will die Schritte aber separieren (Netzwerk, Virtualisierung, …), sodaß andere Virtualisierungen genutzt werden können.

Ich habe einfach die schlankeste genutzt, die ich gefunden habe. Da die meisten Virtualisierungen ähnliche Funktionen haben, sollte es kein Problem sein sondern nur Zeitaufwand.

Gegen xcp-ng sprachen für mich folgende Gründe: Es ist yum, also nicht Debian-basiert und benötigt immer noch einen Windows-basierten Client.