wir wechseln gerade auf die LMN7 und haben aktuell das Problem, dass unser Ubuntu-Client (neues Mate 22 + linuxmuster-linuxclient7 setup) zwar den Proxy annimmt, aber kein SSO durchführt; das heißt beim Start von Firefox kommt eine Login-Aufforderung (als HTTP Basic Auth gegen moz-proxy://firewall.unsere.domain:3218). Der Internetzugriff funktioniert nach Anmeldung problemlos, ohne ist kein Netzzugang möglich. Die Anpassungen im Logon-Skript haben wir gemäß Anleitung vorgenommen, in OPNsense sind unter SSO die meisten Häkchen grün und ein Test-Login funktioniert ebenfalls.
Der Client funktioniert ansonsten problemlos (Login klappt, Homedirs sind da, etc.), die Uhrzeit stimmt auch.
Dem Server-CA-Zertifikat wurde zudem bei uns nicht automatisch vertraut (macht linuxmuster-linuxclient7 setup das nicht?), der Aufruf von firewall.unsere.domain resultiert in einem entsprechenden Fehler, ich bin mir allerdings unsicher, ob das Probleme mit dem Proxy macht und wie das gegebenenfalls (automatisiert) zu beheben wäre.
Gibt es hierfür eine Lösung oder wo sollen wir gegebenenfalls anfangen, das zu debuggen?
irgendwo in den Tiefen des Forums hatte ich einen Beitrag gesehen, in dem es hieß, dass das mit dem DNS-Server in Ordnung sei, daher hatte ich das nicht weiter verfolgt.
Zur Sicherheit habe ich es aber eben ausprobiert. Hast du nach der Änderung noch irgendetwas anderes gemacht? Nur mit der Änderung hat sich bei uns leider nichts geändert; allerdings ist der DNS Server Check jetzt auch grün.
und immer dran denken: für ein Vertrauen zwischen Client und Proxy ist
ein annährend gleiche Zeit notwendig: also auf beiden Seiten (Client und
OPNsense) die Zeit kontrollieren.
jetzt stimmen alle drei Felder. Ich hatte den WAN-DNS noch als systemweiten DNS eingetragen, das habe ich jetzt korrigiert und als Forward Query Server eingetragen. Klappt soweit, die SSO-Seite unter „Web Proxy“ ist jetzt glücklich.
Allerdings geht SSO selbst immer noch nicht, in Firefox kommt weiterhin eine Abfrage.
@MachtDochNix: war die Frage bezüglich dem DNS gemeint?
soweit ich das sehen kann, ist das Internet für alle freigegeben; weder haben wir an den entsprechenden Einstellungen etwas geändert, noch gibt es nach erfolgter Anmeldung Probleme mit der Nutzung des Internets.
Die Abfrage kommt scheinbar bei allen Nutzern; ich bekomme sie zumindest sowohl mit meinem Lehrer-Testaccount als auch mit meinem Schüler-Testaccount. Global-Admin müsste ich testen, gehe aber davon aus, dass es da auch kommen wird.
man sollte überprüfen, ob die Domain aufnahme der Clients richtig geht.
Sind die Laufwerke (serverlaufwerke außer H) ordentlich verbunden und
erreichbar?
Am besten das kbr ticket überprüfen.
ich habe einen Ubuntu 22.04-Client mit Firefox. Dort funktioniert SSO. Ich habe aber nicht überprüft, ob das eine SNAP-Installation ist oder nicht. Ich vermute aber, dass SNAP verwendet wird.
den hatte ich vorhin zwar kurz getestet, der kam aber weder online noch kam ein Login-Fenster; allerdings sah das - subjektiv - eher nach einer generellen Proxyproblematik aus, da eben gar nichts funktionierte. Oder ich habe das falsch gedeutet, will ich nicht ausschließen …
wenn der global-admin ins Internet wollte, dann kam ein Login-Fenster, die Eingabe von Benutzername und Passwort führt zum erneuten Aufpoppen des Login-Fensters.
Bei Domänenbenutzern sollte SSO funktionieren (also allen Lehrern und Schülern).
okay, kann ich gleich testen. Ich habe allerdings gerade auch den Snap-Firefox durch Firefox aus dem mozilla-PPA ersetzt und bekomme jetzt tatsächlich kein Loginfenster mehr …
Falls du Firefox also tatsächlich aus Snap hast, wäre interessant, ob du diesen noch irgendwie konfiguriert hast oder ob du das Logon.sh-Skript dafür angepasst hast … ?