wir haben eine neue V7 Umgebung aufgesetzt und in dieser Ubuntu 18.04 und Windows 10 Pro Clients am Laufen. Leider funktioniert das SSO in keinem der Images.
Ubuntu: Proxy ist eingetragen, aber die Authentifizierung findet nicht automatisch statt. (Eintragen in die NoProxy-Gruppe, Umgebungsvariablen anpassen und Proxy Authentifizierung im Browser funktionieren als temp. Workaround)
Windows: hier wurde der Proxy nicht automatisch eingetragen & macht manuell aktuell Probleme. Sobald ich ihn manuell eintragen konnte, teste ich SSO.
Muss in den Clients etwas manuell angepasst oder installiert werden, damit SSO funktioniert?
an Windows mußt du in den systemeinstellungen den Proxy eintragen:
firewall.mein.domäne.lan Port 3128
für alle Protokolle
und Ausnahmen für das lokale Netz.
Im Firefox muss eingestellt sein, dass der systemproxy verwendet wird.
Im Linuxclient brauchst du nix machen: das erledigt alles
linuxmuster-client-adsso
bin grad am Verzweifeln. Der SingleSignOn klappt bei Windows nicht.
Proxy als 10.0.0.254 3128 in Windows eingetragen
Im FF „systemproxy“ eingestellt.
Als Global-Admin bekomme ich immer den authentifizierungs-Dialog vom Proxy.
Da ich noch vor den defprof stehe, kann ich es mit einem Domainuser nur testen, indem ich bei dem dann auch manuell den Systemproxy setzte … gleicher Fehler …
Uhrzeit ist immer relativ Ich hatte nen -2h offset in Windows, den ich durch einen Registryeintrag „behoben“ habe. Stimmt die Zeit dann oder tut sie nur so …?
Um die Funktionsfähigkeit vom Radius auf der OPNsense zu testen, hab ich die freeradius-utils auf dem Server installiert. Alle Tests funktionierten … ok.
Jetzt komm ich in die Schule und stelle fest, der sso auch unter Linux nicht mehr geht. Gestern abend ging er noch. In der Zwischenzeit hab ich an den Clients sicher nichts verändert und auf dem Server nur das neue Linbo, die freeradius-utils und Druckertreiber von Cups.
Woran liegt so was?
Die Zeit vom Server und die vom Client unterscheiden sich um die (üblichen) 2 Stunden. Der Client hat die richtige Zeit, der Server die falsche (-2, also UTC)
Hi
ich muss das Thema nochmal aufgreifen, da ich aktuell weder von Linux noch von Windows am Proxy vorbei komme.
Ich hab die betreffenden Rechner in der „noProxy“ Gruppe (Alias) der Firewall stehen,
laufe aber auf den Anmeldedialog auf.
Mit einem Ping komme ich allerdings raus … jedoch nur über IP und nicht über DNSname …
Ist jetzt ECHT schlecht für morgen
Zeitvergleich von server und client via timedatectl liefert exakt die gleiche Ausgabe.
bei Linux kannst Du dich als Domain user anmelden aber Internet funktioniert dann nicht und FF verlang nach auth? Kannst mal im Terminal ein kinit machen und ein datetimectl?
Ich habe alle Tests auf dem Client mit MEINEM Domain-Account gemacht und hatte kein Internet (d.h. den Anmeldedialog).
Hab dann an der Stelle gestern aufgegeben und heute Morgen panische Anrufe bekommen, dass sich niemand anmelden konnte. Ich teste remote - geht.
Auflösung (teilweise): Ich hatte in meinen Postings vergessen (weil das für mich so normal ist), dass ich ein dualboot-Szenario verwenden will. Auf alle Fälle waren alle Linux-Clients nicht mehr in der Domäne!
(ICH konnt mich mit meinem Dom-Konto als Lehrer aber anmelden).
Ich hab dann auf die Schnelle alle Linuxclients in die Domäne geschoben und schon ging die Anmeldung …
Im Nachklatsch hab ich dann feststellen müssen, dass beim Linuxadmin aktuell „no-proxy“ konfiguriert ist … also dennoch kein Internet, aber behebbar. Wenn ich das anders einstelle, dann komm ich ins Internet. Muss das jetzt nur allen Benutzern noch unterjubeln.
Damit ist die Linux-Baustelle erstmal erledigt.
Was allerdings weiterhin „zickt“, ist der Windows SSO am Proxy. Hier hab ich grad 2 Probleme:
Muss ich die Eigenschaften der Lan-Verbindung als lokaler Admin setzen, oder als global-admin? Aktuell werden diese Einstellungen anscheinend mit defprof nicht an neue User weitergegeben. Aber da kann ich auch noch nen Fehler gemacht haben - das Teste ich morgen.
Wenn ich dann als User diese Proxy-Einstellungen vornehme, dann
bekomme ich den Anmeldedialog und keinen SSO. Als ich dachte, ich hätte das gelöst, da war der Client noch in der noproxy-Gruppe und da ist das nicht aufgefallen. Da sich die Benutzer anmelden können, muss der DomJoin ja eigentlich korrekt sein. Mir fehlt aber der Ansatz, diesen Dialog-Fehler zu debuggen. Die Logs der OPNSense geben nichts her
Ist ein „raus aus der Domäne in eine Workgroup“ - „rein in die Domäne“ machbar, ohne was am Image zu schrotten?
Ich habe gerade einen schlimmen, schlimmen Verdacht …
Meine Dummheit …
Wenn ich die Rechner neu machen - mit linbo-remote,
dann lautet meine Optionenreihenfolge:
partition format initcache sync:1 sync:2
… und dann machen ich einen start:1 … und da da windows = 1 und Linux=2 ist, wirft das sync:2 oben das Windows aus der Domäne … damit KANN es wohl nicht gehen …
Bleibt die Frage, warum die Proxy-Einstellung nicht weitergereicht wird, aber das ist wohl das kleinere Problem …
Wenn ich die Rechner neu machen - mit linbo-remote,
dann lautet meine Optionenreihenfolge:
partition format initcache sync:1 sync:2
… und dann machen ich einen start:1 … und da da windows = 1 und Linux=2
ist, wirft das sync:2 oben das Windows aus der Domäne … damit KANN es
wohl nicht gehen …
korrekt.
Bleibt die Frage, warum die Proxy-Einstellung nicht weitergereicht wird,
aber das ist wohl das kleinere Problem …
ich hab die Einstellung als global-admin gemacht und nach reboot und als
lokaler admin mittels
defprof global-admin
das Profil kopiert: alles gut so: proxysettings sind beim normalen user da.
Noch ein Hinweis zu deinem: du kannst dich unter linux mit deinem
Domuser anmelden aber andere nicht Problem:
ich vermute, dein user ist im Image: das darf nicht sein.
Also sync mal einen Clietn und schau nach ob unter /home/cach/ dein
usernamen steht (… oder wo ist der lokal cache?)