Veyon per GPO mit LDAP-Anbindung

Clientpflege Windowsclient
1

Hallo zusammen,

ich hab Veyon mit Hilfe von GPOs und einer LDAP Anbindung zum laufen gebracht und wollte hier kurz beschreiben wie (vielleicht interessiert es ja jemanden :slight_smile:).

Für die Installation habe ich zwei verschiedenen Windowsskripte erstellt und über GPOs an die Clients (Schülerrechner) und die Masterrechner (Lehrer-PCs) verteilt:

Clients:

if not exist "C:\Program Files\Veyon\veyon-worker.exe" (
  \\server\netlogon\default-school\lmn\windows\software\veyon-4.7.0.0-win64-setup.exe /S /NoMaster /NoStartMenuFolder /ApplyConfig=\\server\netlogon\default-school\lmn\windows\software\hbg.json
)

Master

if not exist "C:\Program Files\Veyon\veyon-master.exe" (
  \\server\netlogon\default-school\lmn\windows\software\veyon-4.7.0.0-win64-setup.exe /S /ApplyConfig=\\server\netlogon\default-school\lmn\windows\software\hbg.json
)

In dem netlogon Verzeichnis liegt bei mir die Veyon-Installationsdatei und die mit Hilfe des Veyon Configurator erstellte Konfigurationsdatei. Bei mir heißt die Datei hbg.json und im Bereich LDAP, NetworkObjectDirectory und AccessControl habe ich folgende Einstellungen:

{
    "LDAP": {
        "BaseDN": "ou=default-school,ou=schools,dc=linuxmuster,dc=lan",
        "BindDN": "CN=global-binduser,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=lan",
        "BindPassword": ".....",
        "ComputerContainersFilter": "(objectClass=organizationalUnit)",
        "ComputerDisplayNameAttribute": "name",
        "ComputerGroupTree": "",
        "ComputerGroupsFilter": "(sophomorixType=room)",
        "ComputerHostNameAsFQDN": "true",
        "ComputerHostNameAttribute": "dNSHostName",
        "ComputerLocationAttribute": "",
        "ComputerLocationsByAttribute": "false",
        "ComputerLocationsByContainer": "false",
        "ComputerMacAddressAttribute": "sophomorixComputerMAC",
        "ComputerTree": "OU=Devices",
        "ComputersFilter": "(objectClass=computer)",
        "ConnectionSecurity": 0,
        "GroupMemberAttribute": "member",
        "GroupTree": "",
        "IdentifyGroupMembersByNameAttribute": "false",
        "LocationNameAttribute": "",
        "QueryNestedUserGroups": "true",
        "RecursiveSearchOperations": "true",
        "ServerHost": "10.0.0.1",
        "TLSVerifyMode": 0,
        "UseBindCredentials": "true",
        "UserGroupsFilter": "(objectClass=group)",
        "UserLoginNameAttribute": "cn",
        "UserTree": "",
        "UsersFilter": "(objectClass=person)"
    },
    "NetworkObjectDirectory": {
        "Plugin": "6f0a491e-c1c6-4338-8244-f823b0bf8670"
    },
    "AccessControl": {
        "AccessControlRulesProcessingEnabled": "false",
        "AccessRestrictedToUserGroups": "true",
        "AuthorizedUserGroups": [
            "CN=teachers,OU=Teachers"
        ],
        "DomainGroupsEnabled": "false",
        "UserGroupsBackend": "6f0a491e-c1c6-4338-8244-f823b0bf8670"
    },
}

Durch die Einstellungen in AccessControl muss man sich beim Start von Veyon Master anmelden. Dies ist bei diesen Einstellungen nur Lehrern möglich.

Vielleicht hilft das ganze jemanden.

Gruß
Veit

10 „Gefällt mir“
2

Hallo Veit,

Danke für deine Beschreibung. Ich nutze meinen Beitrag um deinen Post als Lösung kenntlich zu machen. (Geht leider bei dem ersten Post - deinem - nicht)

Beste Grüße

Thorsten

3

Hallo Veit,
genau diese Thematik hatte ich letzte Woche aus einer Oberschule die wir betreuen mit genommen.

Dein Beitrag hat mir dabei sehr geholfen, vielen Dank das du deine Erkenntnis mit uns geteilt hast. :slight_smile:

Gruß

Jonas

1 „Gefällt mir“
4

Hi,
ich versuche, das gerade hier auch einzustellen. Könntest du mal einen Screenshot posten, wie diese LDAP Einstellungen in Veyon-configurator aussehen, das würde mir sehr helfen!

Dank + Gruß,
Andreas

5

Hallo,

hier sind meine Einstellungen, Bind-DN, Passwort, Base-DN muss angepasst werden.

osolb.zip (3,5 KB)

Viele Grüße

Steffen

1 „Gefällt mir“
6

1000 Dank, ich hoffe, ich kann das einfach importieren. Bind usw. hatte ich heute schon am Laufen. Probiere ich morgen in der Schule gleich aus!

7

Ja, klappt, vielen Dank Steffen!
Ich musste noch auf der allgemeinen Seite LDAP grundsätzlich aktivieren (die anderen Werte von dir habe ich abgetippt, weil ich meine BIND Einstellungen nicht überschreiben wollte).
Was jetzt noch genial wäre, wenn es entweder eine Whitelist oder eine Blacklist gäbe, mit der nur bestimmte Räume überhaupt angezeigt werden. Wir haben in jedem Raum eine digitale Tafel mit Tafelpc stehen, die müssten da überhaupt nicht auftauchen. Aber das ist kein Showstopper, wäre nur schön.

8

Es klappt leider doch nicht. Ldap wohl schon, aber es werden erstens nicht alle PCs angezeigt, und zweitens kann ich die PCs, die ich sehe (u.a. den, an dem ich selbst sitze) nicht beobachten.

Wenn ich direkt IP Adressen eintippe geht es, einen Zusammenhang mit LDAP muss es wohl schon geben, aber grundsätzlich geht es ja mit den Räumen und den Geräten.

Veyon ist ja eine tolle Software, aber bis es erst mal läuft, ist es immer ein Kampf.

@steff66 : Läuft das bei dir mit Linux Clients, wenn ja, welche Veyon - Version?
Dank + Gruß, Andreas

9

Keine Ahnung, wir setzten leider kein Linux ein. Hast du mal bei Intergrationstests versucht, die fehlenden Computer aufzurufen? Sind die fehlenden Computer als

Schüler-Pc im Klassenzimmer

eingerichtet?

Viele Grüße

Steffen

10

Ich bin gestern etwas weitergekommen, andere PCs lassen sich beobachten (stichprobenartig getestet). Das ist ein guter Hinweis mit den Schüler-PCs im Klassenzimmer, ich hatte bisher nur geschaut, ob die Rechner überhaupt als Geräte eingetragen sind.

11

Hallo zusammen,

ich kann mich erinnern, dass ich das Problem hatte, dass die Computer in LDAP nicht in dem Raum waren in den ich sie per Schulkonsole zugewiesen hatte. Das lag daran, dass ich die Räume irgendwann mal umbenannt hatte. Das Problem wurde hier (https://ask.linuxmuster.net/t/computer-werden-nicht-verschoben-wenn-man-diesen-einen-neuen-raum-zuweist) schon besprochen, aber ich glaube noch nicht gelöst.

Ich habe die Computer dann mit LDAP Apache Directory Studio verschoben und dann waren sie zu finden.

Gruß Veit

2 „Gefällt mir“
12

Daran könnte es liegen.
Ich habe es jetzt in einem anderen Raum getestet. Dort habe ich folgende Probleme:

  • der angezeigte Benutzername ist root
  • irgendwann stürzt der veyon-Dienst ab
  • wenn man ihn dann neu startet (dafür braucht man root-Rechte) geht es wieder, dann erscheint auch der richtige angemeldete Benutzername

Ich müsste also, um das kurzfristig (ich brauche das Dienstag) zu reparieren, den Veyon-Dienst mit root Rechten automatisch jede Minute neu starten.

Insgesamt läuft das aber eher schlecht, ich habe da kein gutes Gefühl.

Alternativ könnte ich noch versuchen, die neuste Veyon Version auf unserem System zum Laufen zu bekommen, dazu müsste ich sie aber selbst kompilieren, weil wir KDE NEON verwenden, nicht standard Ubuntu, und da heißen ein paar Pakete (qt zeugs) anders, sodass Abhängigkeiten des herunterladbaren Veyon Paketes nicht erfüllt sind, seufz …

Läuft das unter Windows stabil?

Gruß, Andreas

13

Ok, ich habe

  • dev packages installiert
  • veyon source runtergeladen und kompiliert
  • deb package gebaut
  • das package testweise auf ein paar Rechnern installiert - läuft deutlich besser als die ältere Version, service stürtzt immer noch ab
  • einen cronjob eingerichtet, der mit root rechten den Service alle 2 min neustartet
  • läuft gut
  • das ganze auf dem Masterrechner wiederholt (nur das deb package installiert, nicht die dev-packages)
  • Image wird gerade erstellt
    … bitte Daumen drücken!
14

Weiteres Problem, das müsste für alle relevant sein (auch Windows): Die Voreinstellung für LDAP ist, dass alle 60 Sekunden (!) die LDAP Datenbank erneut abgefragt wird. Bei einer großen Installation legt das den Veyon-Master für mehr als 10 Sekunden lahm.
Der Höchstwert sind 999 Sekunden, was das Problem erheblich entschärft, aber m.E. würde es reichen, wenn die Datenbank beim Programmstart abgefragt wird.