noob-Frage: lmn zuhause für Sheila, SW-Verteilung und Nutzerverwaltung?

Liebe LM-Gemeinde,

ich würde gerne lmn bei mir zuhause einsetzen, vor allem um Software zu verteilen und Nutzer zu verwalten; viele Rechner in einem Haushalt mit vielen Kindern machen sonst einfach zu viel Arbeit.

Ich habe einiges an Doku und Threads hier in den Foren gelesen und finde die Hilfsbereitschaft bemerkenswert. Meinen Fragen möchte ich daher vorausschicken, dass ich zwar Lehrer bin, an meiner Schule aber nicht Admin. Von der Zeit, die ihr mir mit euren Antworten widmet, wird meine Schule also nur mittelbar profitieren. Trotzdem schon jetzt vielen Dank!

Mir schwebt etwa folgendes vor:

  1. Ich möchte vor allem Linbo für Sheila und SW-Verteilung einsetzen, und natürlich die Nutzerverwaltung für Accounts und Passwörter.
  2. Ich brauche unter lmn nur Linux (im Moment meist Mint 20 Xfce, in Zukunft lieber ganz einheitlich) auf unterschiedlicher, meist älterer Hardware, aber nur 64 Bit. Es gibt im Haus auch Rechner, die nicht an lmn teilnehmen werden.
  3. Windows ist nicht vorgesehen, allenfalls virtualisiert.
  4. Da die Server auf einem Pi sicher nicht laufen und dauerlaufende Hardware viel Energie braucht, möchte ich auf die Firewall ganz verzichten und den lmn-Server nur für Image- und Nutzerverwaltung hochfahren.
    Anders als hier
    Vanilla ubuntu mit Linbo für Ausleihe an Schüler
    beschrieben, möchte ich aber nicht nur die Installation klonen, sondern gerne auch die Nutzerverwaltung haben.
  5. Clients müssten also auch ohne Server booten und (bekannte) Nutzer ohne LDAP einloggen können, und neue Nutzer habe ich ja nur selten. Diese Auslegung hat sicher viele Konsequenzen, die ich noch nicht so richtig überblicke, hier bin ich für Hinweise besonders dankbar.
  6. Wie kommt z.B. ein neuer Nutzer auf den Clients an - wird der nach LDAP-Authentifizierung normal mit Hilfe von /etc/skeleton usw. erzeugt? Ein Vorlagennutzer könnte z.B. WLAN-Passwort, Druckereinrichtungen, Desktop-Konfiguration und andere hausweit einheitliche Vorgaben mitbringen. Davon profitieren aber nur neue Nutzer, die ich ja fast nie habe – es bringt also viel mehr, Konfigurationsänderungen auch nachträglich an bestehende Nutzer ausrollen zu können. Ist es den Aufwand wert, und wie mache ich es?

Eigentlich müsste das ein Standard-Szenario sein, das erfahrene Admins vermutlich aus dem Ärmel schütteln, wie z.B. für Leih-Laptops hier


und hier

mehr oder weniger ausführlich erklärt. Aber ganz ehrlich: Ich werde daraus noch nicht schlau genug.

Soweit mal die Wünsche. Meine Ideen zur Umsetzung:

  1. Client: Mein Szenario ist so verschieden von Schulinstallationen, dass es vermutlich sinnvoller ist, einen eigenen Client zu machen als ein fertiges „cloop“ anzupassen – sehe ich das richtig? Homeverzeichnisse müssen natürlich lokal liegen. Ich bin aber unsicher, welchen Teil der persönlichen Daten man trotzdem synct, und wann (beim Ein-/Ausloggen, nur auf Knopfdruck?), und wie. Eine Nextcloud kommt in Frage, aber auch das (wenn man erst mal die passende Version kompiliert hat…) zuverlässigere Unison. Exotischere Varianten wie die Synchronisation diverser „dot-Files“ per Git würde ich vielleicht auch erwägen.
  2. Server: Auf dem Server müsste zumindest DHCP abgeschaltet und dem Router überlassen werden, der dann (für die Rechner unter lmn-Schirm) wohl am besten statisches DHCP macht. Weil der Server nur selten hochgefahren wird und nicht schnell sein muss, kann er vermutlich durchaus als VM auf einem anderen Rechner platziert werden (oder?). Weitere Besonderheiten überblicke ich noch nicht.

Mir ist klar, dass ich mich in Vieles einlesen muss; ein paar Pointer würden mir aber sehr helfen, genau wie konzeptuelle Kritik. Ich bin für jeden Hinweis sehr dankbar von „lass’ das mal, dafür ist lmn nicht gedacht“ bis „gibt’s schon, gucksu hier“.

Schon jetzt danke und viele Grüße,

Urs

Hallo Urs,

eine Schulnetzwerk-Serverlösung ohne Firewall, ohne DHCP, ohne Benutzerverzeichnisse auf dem Server und ohne dauerhaft erreichbaren Server … das ist dann doch eher die falsche Variante.
Zusammengefasst willst du:

  • Eine zentrale Benutzerverwaltung.
  • Die Möglichkeit, Rechner zentral zu administrieren (Software aufspielen, zurückzusetzen).
  • Ein paar wenige Benutzerdaten sollen zentral vorliegen.

Grundsätzlich würde ich eher danach suchen, was auf einem Raspberry Pi oder einem anderen Minirechner alles an Software läuft, die diese Punkte erfüllt.

Eine fertige Lösung habe ich für dich nicht, lediglich Ansatzpunkte:

  • Für die Benutzerverwaltung gibt es LDAP, oder evtl. gleich SAMBA 4.
  • Dateien synchronisieren und innerhalb der Familie freigeben finde ich persönlich mit einer Nextcloud super. Läuft bei mir auf einem Cubietruck 2. Die Weboberfläche ist extrem zäh, aber Kalender, Adressbücher und Dateisynchronisation klappen wirklich zuverlässig.
  • Für die Administration der Clients kann man vielleicht mit Ansible was machen? Da kenne ich mich leider nicht aus. Eine andere Anlaufstelle wäre OPSI. Da weiß ich aber nicht, ob man damit inzwischen auch Software auf Linux-Clients nachinstallieren kann.

Oder einfacher ein NAS;-) lediglich die Administration der Clients bleibt dann natürlich ungelöst. Da ich selbst 6 Rechner mit Ubuntu 20.04 hier im Haus habe, frage ich mich allerdings, was es da zu administrieren gibt? Mir fehlt eigentlich nur ein zentrales „apt update && apt dist-upgrade“. Zurücksetzen muss ich hier eigentlich keinen Rechner. Und WLAN und Drucker werden pro Rechner einmal eingerichtet. Das finde ich vertretbar.

VG
Christian

Hallo Urs,

  1. Clients müssten also auch ohne Server booten

geht.

und (bekannte) Nutzer
ohne LDAP einloggen können,

das ist absichtlicherweise nicht vorgesehen.

und neue Nutzer habe ich ja nur selten.
Diese Auslegung hat sicher viele Konsequenzen, die ich noch nicht so
richtig überblicke, hier bin ich für Hinweise besonders dankbar.

genau: das geht bei uns nicht, da du, wenn du das haben wollen würdest
den Clients die AD Datenbank mitgeben müßtests, damit sich Nutzer, wenn
der AD nicht verfügbar ist, anmelden können.
Das macht aber wirklich gar niemand so: die Bank lagert ihre GEldvoräte
ja auch nicht auf der Strasse, weil jemand Geld abheben wollen könnte,
wenn die Bank zu hat …
Selbst in Windowsnetzwerken wird nur der Nutzer lokal gecached, der sich
schon mal angemeldet hatte…

Also: die Verbindung zum AD ist essentiell, es sei den du legst den
Nutzer lokal an: dann war es das aber wieder mit den zentral verwalteten
NUtzerdaten.

Du könntest natürlich dein WLAN als „Grünes WLAN“ einrichten, dann
kannst du die AD Anmeldung per WLAN machen …

Alles in allem halte ich das für viel zu kompliziert.
Du bekommst ja nicht nur eine voll ausgewachsene Schulserverlösung die
du administrierenlernen mußt, du mußt sie auch noch anpassen.

Auch meien Erfahrung mit 15 Jahren Ubuntu auf den Rechnern meiner
Familie … ich habe kein Administrationsaufwand.
Alle 4 bis 6 Jahre gibt es einen neuen REchner.
Da muss ich die Platte umschrauben.
Seit 2 Jahren reicht das nicht mehr: da muss ich von SATA auf eine M2
SSD clonen … das ist aber auch schon wieder rum.

Es gibt den NUtzer des Bestitzers und einen linuxadmin, dessen
Zugangsdaten nur ich kenne. Die „Hintertür“ hab ich nie benötigt (war da
wegen Passwort vergessen …)

Und updates?
Die Updateverwaltung meldet sich manchmal.
Die Windowsgeschädigten klicken das Angstvoll weg. Die Kinder, die
Windows nicht kennen, klicken drauf und machen die Updates: so wie man
das von Android gewohnt ist …
Administrationsaufwand? … nur beim Drucker …der spinnt immer mal,
egal wie neu und/oder teuer er war

LG

Holger

Moin!

Mit Ásbrú kannst du alle deine Clients in ein Cluster stecken. An einer Konsole von einem der Kisten die gewünschten Befehle absetzen, die dann bei allen ausgeführt werden. Aber Obacht, bevor neue Befehle abgesetzt werden, schauen ob der letzte auf allen Rechner abgearbeitet wurde.

Beste Grüße

Thorsten

Vielen Dank, @ChristianWd, @MachtDochNix und @baumhof

für die sehr sachdienlichen Hinweise.

@ChristianWd: Dem Hinweis auf Ansible werde ich nachgehen, das sieht passend aus.
@baumhof: Aus unterschiedlichen Gründen (Thinkpad mit Stifteingabe für PDF-Hausaufgaben, weitere gemeinsam genutzter Rechner) habe ich im Moment keine "P"Cs, sondern fast alle Rechner stehen allen zur Verfügung.

Selbst in Windowsnetzwerken wird nur der Nutzer lokal gecached, der sich
schon mal angemeldet hatte…

Sowas hatte mir auch vorgeschwebt.

Aber am wichtigsten war wie gesagt der klare Hinweis „nimm’ was anderes“ von den einschlägig kompetenten Leuten.

Vielen Dank dafür und viele Grüße,
Urs