Hallo Thomas
Du kannst (anschließend) eine OPNSense-Config auf jeden Fall von einer virtuellen Umgebung auf eine bare-Metal-Maschine bringen. Haben wir schon mehrfach gemacht und das funktioniert einwandfrei…
Viele Grüße,
Michael
also bin ja Neuling und obwohl ich das hier gelesen hatte bin ich auf opnsense25.1 gegangen. ok war vielleicht blöd…
hab mir jetzt so ausgeholfen dass ich die versionsprüfung ausgehebelt habe… (ich bin nicht auf nem produktivsystem)… Skript lief dann durch …
Sieht so aus als wäre die Firewall konfiguriert… und das alles geklappt hat…
Gibts da was was da arg schief gehen könnte? Ich mein das ding auf 24.1 zu installieren und dann upzugraden ginge ja auch… aber dann ließe sich das Skript ja auch nicht mehr ausführen…
lässt sich das linuxmuster-setup überhaupt mehrmals ausführen oder ist das eine einmalige Sache und man ist auf diese Einstellungen dann festgefahren…?
oder muss dann je nach dem wie es ist spezielle Skripte ausführen wie Holger andeutete…?
Hallo Holger,
wenn du schon dabei bist, bei github eine Verbesserung/Korrektur einzupflegen, ich bin grad wieder über folgendes Problem gestolpert:
Evtl. kann man die Zertifikatsgenerierung des Servers beim Setup so anpassen, dass auch gleich Firefox-Konforme-Zertifikate für die Schulkonsole generiert werden? Ich habe hier auf einen aktuellen LinuxMint Client auf Basis LinuxMint 22.1 einen Firefox 136.0.4 der hartnäckigst eine Verbindung zur Schulkonsole, selbst wenn man die IP direkt aufruft, verweigert. Es besteht keine Möglichkeit die Verbindung per Ausnahme zu akzeptieren.
Problem bleibt leider auch bestehen, wenn man die CA im Browser importiert.
Viele Grüße
Thomas
Hallo Sucher,
das script linuxmuster-setup wird nur einmal beim initialen Setup ausgeführt.
Ich denke, dass das bei dir jetzt trotz des aushebelns der Versionsprüfung problemlos funktioniert hat: kontrollier, ob SSO Anbindung in der OPNsense funktioniert und ob das Gateway drin ist.
Als lehre aus diesem Tread: schau dir die DNS Einträge an allen relevanten Stellen an (gilt aber immer).
Der Entwickler hat die 25.x im linuxmuster-setup der lmn 7.3 eingepflegt: das motzt also nciht mehr.
Ich denke nicht, dass wir das in der lmn 7.2 noch nachpflegen.
LG
Holger
Hallo Thomas,
… das Problem war mir so noch garnicht bewußt. Ich hab überall im Firefox eine Ausnahme eingepflegt. Das wurde irgend wie erschwert (man konnte nicht mehr ohne weiteres eine einpflegen), das ließ sich aber umgehen: ich weiß aber nicht mehr, wie ich das gemacht hatte: könnte ein Eintrag in der about:config gewesen sein.
Ich schau mir deinen Vorschlag noch an und schreib dann was in github.
Danke für die Anregung 
LG
Holger
jep windows Anmeldung funktioniert…
musste aber erstmal lernen wie ich das gerät (ursprünglich aus ner ML) auf die neue Domäne umstelle…
wenn ich ein fremdes fertiges windows gerät hinzufügen will dann muss ich bei dem lokalen computer die Domäne meineschule mit Primar windows DNS Suffix linuxmuster.lan hinzufügen und dann also global-admin den domänenbeitritt bestätigen…?
das gerät ist gerade ein admin windows pc mit ip 10.0.0.10 jetzt
hat die start.conf nur was damit zu tun wie linbo auf das gerät wirkt? wenn ich ausserhalb des dhcp Bereich bin wirkt ja linbo gar nicht oder?
ok harte Lernkurve aber solangsam komme ich rein…mein standardgateway war wohl falsch… das ist nicht der lmn Server sonder die fw…
sehr wahrscheinlich tut schon alles… ich muss nur noch wissen wie man das ding fährt ^^
ich bin entzückt wie toll das ist!
den imaging server kann man ja auch manuell angeben, richtig?
. irgendwas anderes was man so rumliegen hat… klasse wie flexibel diese Lösung hier ist…
Hallo Sucher,
zuerst mal:
wenn ein Image aus einer anderen Domain kommt, dann sollte man so vorgehen:
- aus Domain austreten und rebooten
- Rechnernamen anpassen und möglichst alle alten Referenzen auf die alte Domain aus der Registry löschen: nochmal rebooten
- der Domain beitreten mit global-admin
Dabei darauf achten, dass der primäre DNS der AD Server ist.
Halte dich da an die Anleitung in der Doku: also wann der global-reg eingespielt wird und dass direkt nach der Domaufnahme ein Image erstellt werden muss.
Zum INternetzugriff: der geht per Default an keinem Rechner, der außerhalb von 10.0.0.1 bis 10.0.0.10 ist: solche Geräte müssen entweder in die Alias Gruppe „noproxy“ aufgenommen werden, oder es müssen sich Nutzer „an der Domain“ anmelden: die CLients müssen also aufgenommen sein, sie müssen die Firewall als Proxy verwenden und das SSO in der Firewall muss funktionieren.
hat die start.conf nur was damit zu tun wie linbo auf das gerät wirkt? wenn ich ausserhalb des dhcp Bereich bin wirkt ja linbo gar nicht oder?
ja, die start.conf.GRUPPE (oder HARDWAREKLASSE) beinhaltet Einstellungen für linbo.
Den zweiten Teil habe ich nicht richtig verstanden.
Per Default gibt es einen freien DHCP Lease, der geht von 10.0.0.100 bis 10.0.0.200 Ich hab den aber abgeschaltet, weil es damit Fremde Geräte schwerer haben, mein Netz zu stören (ihr glaubt garnicht, was die Leute alle ans Netz anschließen).
Linbo „wirkt“ nur dadurch, dass der DHCP an den PXE Server verweist: sonst passiert da nichts, wenn ein Client PXE macht.
Deswegen „wirkt“ es nur auf Clients, die an der richtigen Stelle in der /etc/linuxmuster/sophomorix/default-school/devices.csv eine „1“ haben: nur für die wird der DHCP so eingerichtet, dass sie per PXE bedient werden können.
LG
Holger
der Mein Testrechner hatte die 10.0.0.10, war also absichtlich der adminrechner und daher in der noproxygruppe drin. nach dem ich das gateway in der Tipstellung des Rechners richtig gesetzt hatte, hat alles getan. danach hab ich also sso bisher noch gar net getestet. bin aber sicher das da alles tut, weil die Konfiguration da voll reinlief.
Also nochmal zum Verständnis ein paar Fragen. Die Überschrift von dem Thread passt wohl leider nicht mehr so ganz… Aber am Anfang von diesem Thread ist ja die paedML Novell ja schon mal aufgetaucht 
der rechner war zuvor in keiner AD. er wurde durch den OES-Client und dem zcm Agent verwaltet. Den OES Client musste ich deinstallieren, weil zumindest dadurch eine falsche Primar DNS Suffix drin war. Die blieb aber auch nach der Deinstallation des Clients noch drin. Nachdem ich das aber verstanden hatte kein Problem. Gerade habe ich in der Anleitung gelesen was ich quasi dann gemacht hatte mit dem manuellen domain join.
Was prima toll ist, ist das ich den zcmclient auch per ldap an das AD von linuxmuster binden konnte und dadurch dann die zenworks Agent Funktionen zusammen mit dem linuxmuster AD funktionieren. Netterweise kollidieren auch die Netzbereiche überhaupt nicht. Ich kann quasi 2 Netzwerklösungen parallel laufen lassen (natürlich nur zum Übergang). Das muss man natürlich nicht haben, aber wenn man das so gewohnt ist und der Schulträger die Lizenzen schön zahlt natürlich ne tolle Sache.
Damit ein Client ordentlich registriert ist muss ein domain join stattgefunden haben, und der Rechner muss in der devices.csv aufgelistet sein. Gibt es dafür eine Reihenfolge was zuerst stattfinden muss? Werden die aufgenommen PCs durch die Einträge in der devices.csv auch unbenannt?
Danke für die Erklärung für den DHCP. Deshalb ist der Bereich also so klein…
Was mich auch noch interessiert. Nutzt ihr beim WindowsImaging nicht sysprep, also Audit Mode und versiegeln?
Hallo Sucher,
ja, der Name am Client wird durch linbo gesetzt (über den Image Regpatch).
Ich möchte dich warnen: der Domainjoin ist eine kitzlige Situation: mach das genau nach Anleitung, sonst beißt dir das in den Hintern … irgend wann.
Es gibt zwei Regpatches!
Wir verwenden beim Imaging kein Sysprep: das ist bei uns nicht nötig.
Wenn die Domainaufnahme gemacht ist, kannst du Software installieren, indem du einfach einen beliebigen Client syncst, dich als global-admin anmeldest, Software installierst und Image erstellst.
Ich mache nach dem Softwareinstallieren immer einen reboot und melde mich direkt als lokaler Admin an und lasse einmal
defprof.exe global-admin
laufen (defprof von sysinternals).
Das kopiert das gloabl-admin Accoount auf das lokale Defaultprofil: so kannst du den Bildschirmhintergrund anpassen und die ganzen Nagscreens weg bekommen, weil viele Software dann nicht „zum ersten mal“ gestartet wird.
Das ganze ist schon kompliziert: da muss man sich einmal reinfuchsen.
Bei einer neuerstellung eines Images mache ich auch ein Abspecken des Windows:
https://wiki.linuxmuster.net/community/anwenderwiki:windowsclient:windows10:start
das ist viel Lesestoff für den Anfang …
Man kann das Profil natürlich auch per GPO anpassen … wenn man mag.
LG
Holger
ok stimmt. ist ziemlich viel zu lesen. ich weiss noch nicht was am ende rauskommt bei mir. interessant find eich das mit den regpatches jetzt ja schon.
wie oft erneuert ihr das base image so? muss man dann da immer von vorn bei der windowsinstallation anfangen? macht ihr das imaging von virtuellen Rechnern (snapshots?) und setzt die auf die hardware in den pcräumen dann auf?
und ich hab nochmal ne frage. wozu ist das Laufwerk K:programme gedacht eigentlich?
Die Schüler installieren ja keine Programme…?
und in der Anleitung hab ich gelesen dass man lieber sysvol nehmen soll für die Installation per gpo. leider fehlen mir da die Begründungen… erklärt wurde auch wie man das Laufwerk K wegmacht, aber das ist ja sicher net ohne Grund voreingestellt da drin?
Hallo Sucher,
ich mache nur Baseimages und nie differentielle (das ist bei mir so Gewohnheit).
Wie oft? Naja: vielelicht 3 oder 4 mal im Jahr: aber das halt, nachdem das Image „gefestigt“ ist. Am Anfang werden da deutlich mehr erstellt.
Das Basisimage wird nicht immer „frisch“ aufgesetzt. Das bedeutet nur, dass ein komplettes Image geschrieben, upgeloaded und verteilt wird und nicht nur die Differenz zu einem Basisimage.
Bei mir werden die Rechner alle Morgens um 7:20 Uhr geweckt und syncen.
Sollte ich also in der Nacht zuvor ein Image erstellt haben, dann haben sie es drauf, bevor die Schule anfängt. Meist starte ich sie aber noch in der Nacht mittels:
linbo-remote -w 55 -r RAUMNAME -c format:1,sync:1,halt
Alle Rechner syncen bei jedem Boot: das ist ein Verhalten, dass Menschen, die die lmn nicht kennen, erstmal befremdet: aber es ist ein riesen Vorteil. Ich sag immer: Nachmittags kommt die Putzkollonne und putzt das Haus: Morgens kommt linbo und putzt alle Rechner.
Keine Keylogger mehr da, keine Virek, keine „Anpassungen“ durch NUtzer … alles weg: bllitz blank.
Wenn man das nciht macht, verpaßt man einen riesen Vorteil.
Das Laufwerk K: wurde früher (wie in den anderen paedMLs auch) benutzt um Software „im Netzwerk“ zu installieren: damit auf dem Client Platz gespart wird: das was normalerweise in C:\Programme\ kam, landete dann auf K:\Programme
Macht man inzwischen aber nicht mehr: Netz ist schneller, lokaler sync mit nvme SSD flitzt sowiso und die Clients haben nicht mehr 20GB Festplatten sondern eben 250GB (jetzt eher 500GB) SSDs.
Insofern ist das Laufwerk obsolet.
LG
Holger
1 „Gefällt mir“