Ja, os-web-proxy-sso.
Vorgehensweise in dem Fall:
Wobei man natürlich darauf achten muss, dass das Backup von einem
funktionsfähigen Zustand stammt.
VG, Thomas
Ergänzung:
Backup zurückspielen funktioniert nicht, wenn man nach dem Backup das SSL-Zertifikat der Firewall geändert hat.
Das kann ich so bestätigen, hat in meinem Fall problemlos funktioniert. Ich würde auch sagen fehlende Plugins werden so nachinstalliert, zumindest hab ich das beobachtet.
Ich kann mir nicht so richtig vorstellen dass die OPNsense Backups nicht ordentlich zurückspielt, das wäre echt schwach wenn das schon nicht funktionieren würde…
Mit linuxmuster-base7 7.0.71 sollte das kein Problem mehr sein.
Backups werden schon richtig zurückgespielt – es werden aber nicht alle Plugins berücksichtigt!
Guck mal hier … kommt vom OPNSense-Entwickler persönlich:
in die OPNsense-Roadmap für 20.7, die demnächst erscheint, haben die das wohl aufgenommen, ist aktuell aber noch ein offener Punkt.
VG,
Jochen
Hallo zusammen,
ich bin folgendenen Weg gegangen. Proxmox Installation nach Anleitung. Migration nach Anleitung. Erster Testrechner ist in der Domäne und ich habe kein Internet. Google hat mich hierher gebracht.
In dieser Proxmox VM ist OPNsense 20.1.9_1-amd64
System=>Zugang=>Prüfer.
Ich alles Lehrer: Ok.
Ein bel. Schüler: Ok
global-admin: Authentifizierung fehlgeschlagen.
Am Server kann ich mich als global-admin in der Schulkonsole anmelden.
Am Win7-Client auch.
Dann weiter nach: https://github.com/linuxmuster/linuxmuster-base7/wiki/Setup-und-Inbetriebnahme-des-Systems#zustand-nach-dem-setup
Vielleicht bin ich blind, aber zu dieser Seite hat mich auch wieder google gebracht. In der Anleitung habe ich sie nicht gesehen. Und ohne diese Infos geht es ja sowieso nicht.
Und jetzt der Grund warum ich hier gelandet bin: Den Knopf SSO gibt es bei mir nicht.
Den Squid Web Proxy kann ich nicht starten, da kommt …
| 2020-11-11T07:59:03 | root: /usr/local/etc/rc.d/squid: WARNING: failed to start squid |
|---|---|
| 2020-11-11T07:59:03 | squid: FATAL: ERROR: Invalid ACL: acl InternetAllowed external InternetAllowed |
| 2020-11-11T07:59:03 | opnsense: plugins_configure webproxy (1,start) |
Was mache ich jetzt?
Gruß,
Markus
Hallo Markus,
Und jetzt der Grund warum ich hier gelandet bin: Den Knopf SSO gibt es
bei mir nicht.
wenn der fehlt, dann wurde die OPNsense nicht korrekt eingerichtet.
Woher kam die den?
Selber installiert?
War sie beim Setup korrekt angebunden?
LG
Holger
Hallo Holger,
wie ich schon geschrieben habe: Ich bin dem Pfad in der Anleitung über Proxmox gefolgt. Das steht ja dann, welche VM man wie herunterladen soll. Das ist das, was ich habe.
Dann - Schritt für Schritt nach Anleitung:lmn-appliance, damit ich auf mein 10.16.1.1 umbiege.
Gruß,
Markus
Hallo Zusammen,
Was ich auch gerade sehe: Unter System => Firmware => Erweiterungen ist lediglich os-dyndns ionstalliert. Weiter unten sehe ich
os- web-proxy-oos und os-web-proxy-acl. Beide nicht installiert. Ich habe die installiert. Jetzt kommt der SSO Knopf.
Blöde frage: Ist die Proxmox VM für OPNSense, die man laut Anleitung herunterladen soll veraltet?
Bei Dienste: Web-Proxy: Single Sign-On habe ich nun global-admin mit Passwort eingegeben und die Schlüsseltabelle erstellt. Oben erscheinen mittlerweile alle Felder grün, bis auf: DNS-Server. Wenn ich auf Dump klicke kommt:
domain schule.srf.lokal
nameserver 127.0.0.1
nameserver 10.16.1.1
nameserver 192.168.1.1
Die 192.168.1.1 ist bei mir der Pfad zu einer PFSSense, die bei uns vor allem steht. Wir haben 1000Mbit Kabel und 16MBit DSL. Und ich habe „damals“ mit der PFSense eine autofallback gemacht, falls das Kabel 'mal spinnt, was schon 2-3 mal im JAhr vorkommt.
Stimmt an diesen Einträgen etwas nicht?
Mittlerweile konnte ich mich bei Test Kerberos Login einmal als „ich“ und als global-admin anmelden.
Es geht vorwärts! Aber auf meinem Testrechner habe ich mich gerade als global-admin angemeldet. Im Internet Explorer ist der 10.16.1.254 mit Port 3128 eingetragen. Es geht eine Box auf, wo ich Benutzername und Passwort eintragen soll. Solld as so sein. Ich dachte, er holt das aus der Windows Anmeldung. Dann bringt er immer wieder, deas er mich nicht authentifizieren kann mit SCHULE\global-admin, obwohl ich mich als als global-admin unter Win7 an der Domäne angemeldet habe und dieser Test Kerberos Login auch ein OK liefert.
Was soll ich tun?
Gruß,
Markus
Hallo Markus,
jetzt bist Du mir zuvorgekommen und hast selber die benötigten OPNsense Erweiterungspakete gefunden. Anscheinend ist die VM auf https://download.linuxmuster.net/proxmox/v7/latest/ nicht aktuell
Die resolv.conf meiner OPNsense:
domain linuxmuster.lan
nameserver 10.0.0.1Nameserver ist also der linuxmuster Samba Server. Damit ist auch der DNS-Server Test „grün“.
Zu erreichen ist das in OPNsense:
System - Einstellungen - Allgemein - DNS Server
Dort ausschließlich den Samba Server eintragen.
Außerdem weiter unten aktivieren:
[x] Do not use the local DNS service as a nameserver for this system
Damit SSO funktioniert, muß der Benutzer in der Gruppe „internet“ sein. Das ist beim „global-admin“ nicht der Fall. Probier doch bitte Dich mit einem anderen User am PC anzumelden.
Wenn das SSO weiterhin nicht funktioniert, dann überprüfen, ob die Zeit zwischen Firewall, Server und PC synchron ist.
Viele Grüße
Klaus
Hallo Klaus,
vielen Dank für die Antwort. Deine Tipps mit dem DNS konnte ich umsetzen.
Ich habe mich gerade als mich (Lehrer) am Testrechner mit Win7 angemeldet.
Wenn ich den Internet Explorer öffne, kommt ein Fenster:
Windows-Sicherheit. Verbindung wird hergestellt mit 10.16.1.254
rupprecht
Darunter ein Feld mit "Kennwort. Wenn ich mein Kennwort eingebe, ändert sich das Fenster auf SCHULE\rupprecht und wieder Kennwort. Wenn ich es ein paar mal bestätige kommt im Browser: Cache Zugriff verweigert.
Zu der Sache mit der Zeit: Ja, die ist synchron.
Bei der linuxmuster 6 musste man ja erst einmal festlegen, welcher Rechner ins Internet darf. Da habe ich nach dem Setup noch nichts gemacht. Außer, dass der Testrechner nun „Lehrerrechner im Klassenzimmer“ ist. Habe ich da vielleicht etwas übersehen?
Noch etwas. Du schreibst, dass der global-admin nicht in der Gruppe Internet ist. Wie darf ich das verstehen? Bisher sollte man jegliche Software als pgmadmin installieren. Ich hatte das so verstanden, dass es pgmadmin nicht mehr gibt und das jetzt der global-admin ist. Wie soll ich denn Software installieren, wenn ich nicht ins Internet komme?
Gruß,
Markus
Hallo Markus,
leider kenne ich linuxmuster 6 nicht und kann da keine Vergleiche machen.
Wenn Du als global-admin angemeldet bist, kannst Du im Proxy Dialog des Browsers einen Lehrer Account angeben und damti Software installieren. Oder Du gibst einem Lehreraccount lokale Admin Rechte am PC.
Der Zugriff für das Internet in der lmn7 ist über die Benutzersteuerung und die Gruppe „internet“ geregelt. Einen PC mußt Du nicht speziell freigeben. Du kannst allerdings in der OPNsense PC’s oder Subnetze in den Alias „NoProxy“ (oder so) eintragen. Diese Geräte haben dann direkten Internetzugang.
Vielleicht findest Du im Proxy Logfile der OPNsense Anhaltspunkte, warum der Cache Zugriff verweigert wird.
Viele Grüße
Klaus
Hallo Markus,
vielen Dank für die Antwort. Deine Tipps mit dem DNS konnte ich umsetzen.
Ich habe mich gerade als mich (Lehrer) am Testrechner mit Win7 angemeldet.
Wenn ich den Internet Explorer öffne, kommt ein Fenster:
Windows-Sicherheit. Verbindung wird hergestellt mit 10.16.1.254
rupprecht
der proxy muss am Client mit seinem Namen angegeben werden, nicht mit IP
Also
firewall.deine.domain
und nicht
10.16.1.254
Hast du an der Firewall das aktivieren des SSO durchgeführt, wie in
meinem Link in meiner letzten mail beschrieben?
Ist der proxy im Programm und/oder im System angegeben?
Das mit dem Internet und dem global-admin ist doof: und tatsächlich
nicht so gedacht.
Es fehlt eigentlich der Schuladmin.
Hintergrund ist die Mehrschulfähigkeit.
Der global-admin ist nämlich nicht „in“ der default-school, er sitzt
eine Ebene drüber.
Vorgesehen für die Programminstallationen am Client ist er eigentlich
nicht: aber alle verwenden ihn so, weil es noch nicht anders geht: es
sei den du legst dir selbst einen schuladmin an (wie das geht ist hier
in ask irgendwo beschrieben).
Aber: ich hab das auch nicht: ich mache Programminstallationen sowiso
auf einem virtuellen Client wo sonst (hoffentlich) niemand hin kommt:
und der ist in der noproxy gruppe.
LG
Holger
Hallo,
vielen Holger, der entscheidente Hinweis war die IP der Firewall. Ich habe mir da nichts gedacht und war der Meinung, dass das das gleiche ist.
Jetzt geht es.
Was die Sache mit dem global-admin angeht: Das ist dann wirklich „blöd“ gemacht.
Da muss ich schauen. Mir ist aufgefallen, dass ich als Lehrer neben dem Home die üblichen Tauschlaufwerke habe. Die Fehlen dem global-admin auch, sind aber bei uns für vieles wichtig.
Dann werde ich das mit dem Schuladmin suchen und das machen. Denn wir haben leider ein sehr herterogenes System. Da gibt es den einen Musterclient nicht. Darum ist auch mein /linbo so groß.
Was mir auch noch aufgefallen ist: Ich wollte ein Image bauen und musste mich unter linbo mit „Muster!“ anmelden. Bis ich darauf gekommen bin Muster zu probieren. Ufff. Welcher User ist das?
Gruß,
Markus
Hallo Markus,
Was die Sache mit dem global-admin angeht: Das ist dann wirklich „blöd“
gemacht.
ich würde eher sagen: „noch nicht fertig…“
Was mir auch noch aufgefallen ist: Ich wollte ein Image bauen und musste
mich unter linbo mit „Muster!“ anmelden. Bis ich darauf gekommen bin
Muster zu probieren. Ufff. Welcher User ist das?
keiner.
Das ist das rsync Passwort.
Schau mal in die Datei /etc/rsync.secrets
Da steht das „linbopasswort“
LG
Holger
Guten Mittag,
was ist eigentlich der Stand der Dinge zum Theme „Internetsperre/OpenSense“ ? In der Dokumentation steht, das würde derzeit nicht funktionieren (und bei uns lässt sich das Internet tatsächlich nicht sperren). Ist das noch so oder ist es eine Konfigurationsfrage ? Und wenn letzteres, was muss ich konfigurieren ?
Gruß
Sascha
Hallo Sascha,
wenn am Client der Proxy eingetragen ist und dan der OPNsense die Regel „allow entire LAN“ nciht aktiviert ist, dann funktioniert das Internetsperren bei mir in der Einrichtung schon seit immer …
LG
Holger