Ich hab nun alles hier durchsucht, aber keine wirkliche Anleitung gefunden…
Ich würde gerne unsere Schul-Notebooks mit Linbo verwalten. Eingerichtet und synchronisiert werden können sie ja nur über LAN. Sie sollten dann aber mobil ohne LAN im WLAN benutzbar sein.
Was ich schon probiert habe:
Notebook mit dem gleichen LinuxMint-Image wie die festen Clients mit Linbo per LAN bestückt. Das läuft so lange sie am LAN hängen natürlich wie erwartet ganz so, wie auf den festen Clients.
Als Benutzer angemeldet, habe ich das LAN-Kabel gezogen und anschließend eine WLAN-Verbindung zum Lmn-Server aufgebaut, andere IP-Adresse 10.0.255.XXX
Dann dauert es leider ein/zwei Minuten bis die Netzwerklaufwerke wieder erreichbar sind, aber dann kann ich wie am LAN mit dem Notebook arbeiten.
eine Anmeldung als anderer Benutzer funktioniert nicht - dazu muss ich wieder ans LAN
Diese Variante wäre interessant, denn dann könnten sich die Schüler einen Laptop holen, diesen mit LAN in Linbo booten und eventuell synchronisieren, sich anmelden, dann das Kabel ziehen und wo auch immer damit arbeiten, solange sie nicht neustarten. Leider dauert es zu lange, bis die Netzwerklaufwerke wieder erreichbar sind…kann man das beschleunigen? Was haltet ihr von dieser Lösung?
Ist das Anmelden am Lmn-Server auch über WLAN möglich, wenn das Notebook vorher mit Linbo einmal an LAN synchronisiert wurde? Ich habe es nicht geschafft, mich nur mit WLAN-Verbindung anzumelden.
Gibt es da andere Lösungen? Wie integriert ihr mobile Geräte?
WLAN und LAN sind prinzipiell mal gleich was die Funktionalität eines Netzwerkes betrifft, also Anmeldung am Server funktioniert mit beidem.
Du hast aber unterschiedliche MAC-Adressen. Du musst also auf jeden Fall eine zweite Zeile in die devices.csv einfügen mit der MAC von der WLAN-Karte und einer weiteren IP.
Ich habe das so gelöst, dass ich mit dem linuxadmin das WLAN „grün“ angemeldet habe und anschließend eine Image geschrieben habe. Dann ist das WLAN für die Anmeldung (nicht für Linbo natürlich, ein Image will man über WLAN nicht wirklich syncen, unabhängig davon, dass es nicht geht, weil Linbo keine Anmeldung per SSID kann) schon verfügbar.
Ich hänge die Läppies nur ans LAN, wenns ein neues Image gab.
Wir haben das bei uns so, dass die Laptops der Ausleihstation am Kabel der Dockingstation hängen, um geladen und per LINBO betankt werden zu können. Wenn ein Schüler ein Gerät mitnimmt, wird es vom Dock (LAN & Strom) getrennt, fährt hoch, verbindet sich automatisch mit einem WLAN in grün, und somit ist auch die Anmeldung an das AD möglich. Es sind allerdings alles Laptops, die mit Win10 ausgestattet sind. Daher kann ich nicht sagen, wie sich Linux hier verhält. Es gibt allerdings das Problem, das Jesko gerade im Parallelthread nochmal angestoßen hat. Vielleicht scheitert es bei Dir auch „nur“ daran?
Bei Windows mussten wir auch einiges an Lehrgeld zahlen: So war es zuerst ein Problem, dass die Profile im Laufe der Zeit die Laptops voll müllen. Daher haben wir das pro Gerät per GPO auf 10 Profile bzw eine „Löschfrist“ von 14 Tagen eingestellt.
Zudem trennen die SuS manchmal die Geräte vom WLAN. Beim erneuten Hochfahren sind sie dann uU nicht sofort verbunden und die Anmeldung an das AD klappt dann natürlich nicht. Hier wird dann häufiger mal „Hilfe – es geht nicht!“ gerufen, was aber in 99% der Fälle mit 2 Klicks erledigt ist.
Was wir leider verstärkt feststellen, ist das leidige Thema Vandalismus. Da werden Tastenkappen abgerissen (um ach-so-lustige Wörter auf der Tastatur zu hinterlassen). Dass das aber auf den Laptops nicht so funktioniert wie im PC-Raum, sehen die SuS, die das verbockt haben, natürlich erst, wenn es zu spät ist. Die Tastatur ist dann hin, da unter den Tasten kleine Häkchen einfach abgerissen werden. Zudem werden auch die Touchpads verkratzt, Etiketten abgerissen usw … das ist schon alles extrem ärgerlich, wenn man bedenkt, dass es sich hier um wirklich hochwertige Lenovo-Geräte handelt. Wir haben zwar die letzten 10 Logins auf den Geräten – dennoch ist es natürlich nicht sofort klar, wer der Schuldige war, da man ja immer zunächst den Logins die Namen zuordnen muss, danach die entsprechenden Klassen heraussuchen muss, dann durch alle Klassen gehen muss, um den Schuldigen zu finden, und am Ende zu hören bekommt: „Das war schon so!“. Mit anderen Worten: Da geht viel Zeit bei drauf mit wenig Effekt… unter’m Strich frustrierend, dass die Schüler den Wert der Geräte nicht erkennen!
Das klingt ja sehr vielversprechend! Leider kennen auch wir das mit dem Vandalismus, aber nicht so extrem und wir werden die Geräte in Zukunft aus einem Schrank ausgeben und wieder einsammeln. Außerdem wird bei uns in der Freiarbeit sehr selten ein ganzer Klassensatz auf einmal ausgegeben, sondern nur einzelne Geräte…
Zum Problem:
Der Laptop bootet ohne LAN zügig, wie sonst auch, nur die Anmeldung klappt dann nicht, aber ich habe das WLAN im Image noch nicht eingerichtet - dann kann das nach einem Sync natürlich nicht gehen…
Die Anmeldung hat allerdings auch nicht geklappt, wenn ich den Laptop unsynchronisiert mit vorher eingetragenem WLAN starte und auch nicht, wenn der Rechner mit LAN gestartet und angemeldet wurde, dann das WLAN eingetragen wurde und ich dann versucht habe mich nur im WLAN mit einen anderen Benutzer anzumelden.
Der Laptop bekommt im WLAN noch eine 10.0.255.XXX IP. Warum auch immer, denn ich habe (vorerst) einfach einen simplen AP ins 10.0.0.XXX Netz gehängt. Er sollte aber wie die festen Clients eine IP 10.0.0.XXX bekommen, oder?
Und wie sieht bei euch der 2. Eintrag in der Geräteliste genau aus? Nopxe? Welche Rolle?
damit die Domänenanmeldung im WLAN funktioniert muss das Laptop vorher
(vor der Imageerstellung) fest ins WLAN integriert wwerden.
Wie das geht, steht hier mehrfach im Forum: ohne das wird es nix.
Ist das geschafft, dann ist es wichtig, dass der Rechnernamen des
Rechners stimmt: sonst läßt einen die Domäne nicht rein.
Das ganze ist kein Hexenwerk: ich verwende das seit Jahren in der Schule
mit Laptopwagen.
Man muss aber ordentlich und koordiniert die Infos aus dem Forum abarbeiten.
Mit WPA2 Enterprise geht es nicht: ich habe WPA2 PSK (personal) dafür im
grünen unifi Netz.
Das mit dem „bösen“ WLAN im grünen Netz ist hier ja auch immer wieder Thema - manche verteufeln das, andere machen dann doch solche Lösungen wie ihr hier… Was ist da nun das Sicherheits-Problem bzw. was muss ich sicherstellen? Mindestens muss ich doch sicherstellen, dass sich im grünen WLAN nur schuleigene Geräte und vielleicht Lehrergeräte befinden?! In Linux ist der WLAN-Schlüssel aber einfach in den Einstellungen auslesbar, also in kurzer Zeit allen bekannt… Ich muss das also über die MAC-Adressen beschränken, oder? Reicht das? Vielleicht zusätzlich die SSID noch unsichtbar und für die Schüler eben ein (blaues) extra WLAN mit WPA-Enterprise-Anmeldung einrichten, so dass die Motivation gar nicht da ist, sich ins grüne WLAN einwählen zu wollen… wirklich sicher ist das aber nicht…
Hab ich das so richtig verstanden? Tut mir leid, wenn ich hier Dinge frage, die irgendwo im Forum schon stehen, aber es ist nicht leicht diese ganzen Infos, die ich gelesen habe, unter einen Hut zu bekommen bzw. den richtigen Eintrag zu finden…
Meinst du damit:
WLAN-Verbindung vor der Image-Erstellung herstellen
den 2. Eintrag in der Geräteliste mit WLAN MAC-Adresse und extra IP-Adresse vornehmen
Oder ist da noch mehr zu tun?
Wie stelle ich das sicher mit zwei verschiedenen Einträgen in der Geräteliste?
Unter Win10 ist (oder war?) das auf jeden Fall auch so: Den PSK hatten die Schüler innerhalb kürzester Zeit ausgelesen und dann für ihre eigenen Geräte verwendet. Daher mussten wir das mit Whitelists für die Ausleihgeräte regeln. Seitdem ist Ruhe.
