LM v7 Walkthrough

mdt · 5. Februar 2020 um 18:52

Dann dürfte ich mich mit root ja nicht einloggen können, oder er autorisiert gegen beide - system- oder ldap-user.

Dies ist ein generischer Befehl das LDAP auszulesen - sollte auf jedem LMv7 laufen:

ldapsearch \
	-D "CN=global-binduser,OU=Management,OU=GLOBAL,$(awk '/basedn/{print $3}' < /var/lib/linuxmuster/setup.ini)" \
	-w $(cat /etc/linuxmuster/.secret/global-binduser) \
	-b "OU=SCHOOLS,$(awk '/basedn/{print $3}' < /var/lib/linuxmuster/setup.ini)"

Ich kann nun die Benutzer sehen, der Benutzer „global-binduser“ ist auch da (mit dem habe ich ja das LDAP gerade ausgelesen), aber ein „global-admin“ ist nicht da.

Wer legt den eigentlich an?

Ach ja: Da ist die Rede von diesem Wizard in der Web-GUI, den habe ich auch noch nicht gesehen / gefunden. Wo ist der?

Michael · 5. Februar 2020 um 19:06

Hi. Jetzt wo du es sagst… ist es nicht so, dass der erste Aufruf als root ausgeführt wird, dabei dann der Setup-Wizzzard abgearbeitet wird und man sich anschließend nur noch als global-admin anmelden soll/kann??

baumhof · 5. Februar 2020 um 19:32

Hallo,

dann fehlt wohl noch ein Schritt beim setup: der Aufruf von
linuxmuster-setup

der wird auf der console erledigt, oder in der WebUI als root: dann
startet der Wizard und fragt das selbe ab wie linuxmuster-setup auf der
console

LG

Holger

mdt · 5. Februar 2020 um 20:17

Das habe ich gemacht. Macht / ist der dasselbe wie der Wizard in der Web-UI?

baumhof · 5. Februar 2020 um 21:03

Hallo,

ja, ist das selbe.

LG

Holger

mdt · 7. Februar 2020 um 08:34

Gut, dann hab ich den Wizard also durchlaufen.

Ich habe das aktuelle walkthrough nocheinmal laufen lassen und nun erlaubt die Web-UI das Einloggen per „global-admin“. „root“ geht auch. Beide sind nicht im LDAP. Ersterer nicht Systembenutzer. Woher holt die Web-UI ihre Nutzer?

Die Änderung am walkthrough waren die Parameter an das linuxmuster-setup. Ich übergebe jetzt alle Parameter, wenn auch leer (zB opsi-ip, das ich nicht nutze). Dubios ist übrigens die Reaktion des Scripts auf die IP-Range, wenn man sie mit „-“ angibt (richtig ist wohl ein Leerzeichen) - das gibt wirklich komische Ergebnisse. Da ich --unattended angebe vermute ich, dass das Script nicht vollständig läuft, wenn nicht alle Parameter in der Kommandozeile gegeben wurden. Kann das sein?

mdt · 7. Februar 2020 um 09:06

Aha: Die Konfiguration ist in /etc/linuxmuster/webui/config.yml. Da steht tatsächlich LDAP. BindDN ist identisch, nur die SearchDN ist „weiter“, darum habe ich die Nutzer nicht gefunden, die beiden sind nicht in OU=SCHOOLS. „root“ ist allerdings nicht drin, „root“ wird als Sonderfall über den „OSAuthenticationProvider“ authentifiziert.

Oups: Die Fehlermeldung zeigt das Passwort in Klartext an:

Michael · 8. Februar 2020 um 10:46

Ja, das habe ich auch schon mal angemerkt:
Das Erst-PW befindet sich auf dem Server in der setup.ini und steht da im Klartext. Nicht optimal – um nicht zu sagen „sub-optimal“

Vgl Linuxmuster-mail für LMN 6.2

mdt · 8. Februar 2020 um 11:04

Naja, nicht ganz so schlimm. Mein Screenshot zeigt, dass das Passwort (auch ein nicht-erst-passwort) beim Anmelden Klartext angezeigt wird, wenn ein Fehler passiert (zB Netzwerktimeout). Steht jemand neben mir, weil ich für ihn etwas an der Web-UI machen möchte, ist das Passwort damit bekannt. Das ist bei weitem gefährlicher als ein root-only-readable Config-File auf dem Server.

mdt · 9. Februar 2020 um 15:40

Wie immer gilt: Testers & comments welcome!

Arnaud · 11. Februar 2020 um 08:11

Hallo,

Das passiert nur in sehr seltene Fälle, wenn z.B. die Verbindung mit LDAP nicht geht.
Ich habe es natürlich korrigiert : Prevent pw to appear in error notification. · ajenti/ajenti@690b1e4 · GitHub

Gruß

Arnaud

alois · 11. Februar 2020 um 08:28

Hallo,

das Skript funktioniert nicht mit XCP-ng ist das richtig?

Gruß

Alois

mdt · 11. Februar 2020 um 09:06

Nein, das tut es so erstmal nicht, ich will die Schritte aber separieren (Netzwerk, Virtualisierung, …), sodaß andere Virtualisierungen genutzt werden können.

Ich habe einfach die schlankeste genutzt, die ich gefunden habe. Da die meisten Virtualisierungen ähnliche Funktionen haben, sollte es kein Problem sein sondern nur Zeitaufwand.

Gegen xcp-ng sprachen für mich folgende Gründe: Es ist yum, also nicht Debian-basiert und benötigt immer noch einen Windows-basierten Client.

mdt · 11. Februar 2020 um 11:44

Der nächste Schritt ist ja nun die Datenmigration. Ich habe sophomorix-dump gefunden, angestossen und die resultierenden Dateien herüberkopiert.

Und nun? Ich finde die wikiseite leer, auf die von linuxmuster-base7 verwiesen wird. Das Paket enthält nur dump-Programme, keine für’s restore.

Wie geht’s weiter?

Michael · 11. Februar 2020 um 13:02

Warst du schon hier??
https://wiki.linuxmuster.net/archiv/entwicklung:techsheets:samba4_sophomorix_migration

mdt · 11. Februar 2020 um 14:16

Ah, erstaunlich, das hab ich gesucht - könnte das jemand verlinken?

Ich habe durch Zufall den Vampire gefunden und --help benutzt, das läuft gerade. Ich bin gespannt.

Bitte an das Doku-Team: Nutzt mehr Links

mdt · 12. Februar 2020 um 11:40

Das Import der alten Account-Daten hat gut geklappt (und ist nun auch teil vom walkthrough).

Ich habe einen neuen Client hinzugefügt. Der bootet auch fein Linbo, bleibt dann aber nach „Initilizing hardware …“ hängen. Wo kann ich suchen?

baumhof · 12. Februar 2020 um 12:01

Hallo,

Ich habe einen neuen Client hinzugefügt. Der bootet auch fein Linbo,
bleibt dann aber nach „Initilizing hardware …“ hängen. Wo kann ich suchen?

ist das ein echter Client?

Was für eine Grafikkarte?

Steht „initializing Hardware“ in weiß auf schwarzem HIntergrund?

LG

Holger

mdt · 12. Februar 2020 um 13:47

Was ist ein „echter“ Client - oder: wie kann ein Client „unecht“ sein?

Ja. Im log von tftp sieht man (wenn man verbose einschaltet) auch den Client zugreifen. Dann kommt ein Linbo-Splash-Screen mit Fehlermeldungen (ich habe auf dem Server tftp gestoppt, darum der Timeout in der 6. Zeile, dann kann man die sehen):

Danach käme der schwarze Bildschirm mit der Meldung „Initi…“ und nichts geht mehr.

Könnte eine „schwierige“ sein, also nicht Intel (Nvidea?), müßte ich schauen. Ubuntu läuft aber prima 'drauf.

baumhof · 12. Februar 2020 um 14:32

Hallo,

ist das ein echter Client?
Was /ist/ ein „echter“ Client - oder: wie kann ein Client „unecht“ sein?

ein virtualisierter wäre für mich nicht „echt“ … aber das war
missverständlich ausgedrückt.

Steht „initializing Hardware“ in weiß auf schwarzem HIntergrund?
Ja. Im log von tftp sieht man (wenn man verbose einschaltet) auch den
Client zugreifen. Dann kommt ein Linbo-Splash-Screen mit Fehlermeldungen
(ich habe auf dem Server tftp gestoppt, darum der Timeout in der 6.
Zeile, dann kann man die sehen):

s
https://ask.linuxmuster.net/uploads/default/original/2X/5/5cfc3d2658ba11c51dbcd22fc4d094c1edead938.jpeg

Danach käme der schwarze Bildschirm mit der Meldung „Initi…“ und nichts
geht mehr.
baumhof:

Was für eine Grafikkarte?
Könnte eine „schwierige“ sein, also nicht Intel (Nvidea?), müßte ich
schauen. Ubuntu läuft aber prima 'drauf.

die Grafikkarte etscheidet, welcher Kernelparameter die GUI an dem
Client erscheinen läßt.

Mach doch mal
lspci
unter ubuntu.

Ist der Client schon aufgenommen, oder ist er es noch nicht?
Welche IP bekommt er den (kannst du auf dem Server in /var/log/syslog
auslesen)

LG

Holger