openML

Bei „Tux trifft Tuffi 2011“ fand folgendes statt:
Wir haben uns mit dem openML Schulserver, der freien Version der Linux-Musterlösung von Baden-Württemberg
http://de.wikipedia.org/wiki/Linux-Musterl%C3%B6sung beschäftigt.
Entlanggehangelt haben wir uns an http://lml.support-netz.de/handbuch50/toc.html
Weiterer Ausgangspunkt um Dokumentation zu finden ist z. b. die linke Linkspalte auf
http://lehrerfortbildung-bw.de/netz/muster/linux/
Wir sind dabei gar nicht zum Programmieren gekommen,
sondern haben uns die Administration angesehen und dabei bei der
(unsupporteten Version der freien Lösung der )Schulkonsole doch etwas Zweifel bekommen,
wieweit sie lehrertauglich ist bzw. sie ist eindeutig verbesserungswürdig.
Aber der Eindruck der supporteten Version im kostenpflichtigen paedML
läßt einen auch nicht gerade jubeln:
http://www.support-netz.de/aus-der-praxis/tutorials.html
.
Bei meiner mitgebrachten Erstinstallation war sowohl
das root login in kdm als auch auf tty1 nicht mehr möglich,
weshalb wir ihn neu aufsetzten.
Angepaßter IPCop (also nicht der originale!) als dedizierte Firewall
mit geringen Hardwareanforderungen, aber 2 Netzwerkkarten,
die „rote“ zum Internet, die „grüne“ zum internen Schulswitch,
an dem dann auch noch sowohl die Schüler-Client-PCs als auch der OpenML-Server (kurz Sv) hängen.
Letzterer verwaltet im LDAP alle User und Räume und
bietet darüber hinaus eine mir bisher in der Gesamtheit
noch nicht voll erfasste Fülle sonstiger Funktionen
(u.a. quota,Druck-Server,Samba,Backup,PXE-Imagen mit linbo).
.

Neuer Download Bei der Installation des Sv muß er mit dem laufenden IPCop verbunden sein.
Zuerst macht der IPCop den DHCP-Sv,
was ihm dann aber vom Sv bei dessen Installation abgenommen wird,
wobei der Sv sich mit dem IPCop verbindet und ihn rebooten lässt.
Danach ist also der OpenML der DHCP-Server.
(Allerdings übernahm er nicht genau den Leasebereich:
im IPCop hatte ich 20-120 vorgegeben und der OpenML
machte nachher im Bereich 100-200.)

Installation des kdm haben wir unterlassen ohne darüber zu sprechen
(deshalb auch keine Möglichkeit, auf ihm selber das Schulkonsolen-Webinterface aufzurufen ).
Als ich bei der Erstinstallation den kdm installiert hatte,
gelang es mir nicht mich dort in irgendeiner Weise grafisch einzuloggen.
Nachdem ich dem kdm versucht habe, klarzumachen,
das sich auch root graf. einloggen dürfen soll,
hatte ich das System runtergefahren und kam wie schon oben beschrieben
weder auf der GUI noch auf tty1 als root rein.
Es schien so, als wenn root kein home-Verzeichnis mehr besitzt.
Dabei hatten wir festgestellt, dass die Authentifizierung gegen das/aus dem Ldap zu laufen schien.
Bisher waren Thorstens ergeizige Versuche, das root-login wieder zu ermöglichen
letzlich nicht wirklich von Erfolg gekrönt, nachdem es erst so aussah,
als hätte er auch dies geschafft. Aber der Zugriff auf ne Shell auf tty8 gelang ihm.

1. Grub menu Zeile wählen and press ‘e’
2. Select the kernel … line and press ‘e’
3. change ‘ro’ to ‘rw’ and append ‘init=/bin/bash’ at the end of line
4. Press ‘b’ to boot
5. nur wenn Schritt 3a vergessen wurde: (mount -n -o remount,rw /)

# /etc/inittab

"8:23:respawn:/bin/getty -n -l /bin/sh 38400 tty8"

Administration erfolgt über webinterfaces, aber erstmaliger Aufruf der
Sv-Schulkonsole auf Port 242 klappt erst nach iptables -F, dann login als vorher angelegter „administrator“ und unter hosts die Angaben wie hostname,MAC-Adresse und IP des eigenen PCs eintragen.
(Vom Bauchgefühl her hatte ich auch wenn das jetzt ketzerhaft klingt, den Eindruck, dass 1 Reboot beider Geräte zu diesem Zeitpunkt ,wenn es vorher nach dem

apt-get update
apt-get dist-upgrade

auf dem Sv noch nicht durchgeführt wurde, durchaus Sinn macht.)

auf „Kerlen“ PC mit 1xSATA-1TB-RAID hdd, vorher Modem neben Grafik und daneben TV karte sowie die 200 GB IDE hdd entnommen, defekte onboard LAN deaktiviert und MAC wieder auf Etiketten notiert u. auf der NIC plaziert.
(Wäre trotzdem schade drum).Beim Start von hdd nach der Autoinstallation die CD mal drin lassen,weil er fatalen Fehler meldete, daß er sie nicht mounten könne.
Hatte jetzt nicht so auf die Installation geachtet ob er sich mit dem IPcop connectet,
hat aber ohne JEGLICHE Nachfrage (nix Standort usw.! Komisch!) jetzt die 10.16.1.1/12 mit Broadcast 10.31.255.255
Und er kann sowohl 8.8.8.8 als auch fd0.org direkt über den IPCop anpingen, ohne irgendwelche Nacharbeiten!
(oder kommt das alles jetzt erst noch ?)

apt-get update

meldet GPG error NO_PUBKEY …..
http://pkg.lml.support-netz.de/
Das hier sollte helfen:

apt-key add - | wget -O - "http://pkg.lml.support-netz.de/paedml-release.asc"
# zu wahrscheinlich älterer Version:http://www.linuxmuster.net/trac/wiki/OpenLML-Repo
# http://lml.support-netz.de/trac/wiki/Installation5.0 hier steht's auch noch mal neben der
# Möglichkeit auf Minimal lenny als Basis aufzusetzen.

.
Jetzt haben wir die Probleme ja wieder: nach linuxmuster-setup -first geht nix mehr

Es tauchten mal wieder weitere Probleme bezüglich der Anmeldung an der Konsole auf. Das System meldete dabei, dass ein Modul fehle (pam_ldap.so fehlte). Aus diesem Grunde wurde oben beschriebene Methode angewendet, um ein nutzbares System im Timesharing-Modus zu bekommen und ein wenig am PAM herumgeforscht, was rasch zum Fund des Problemes führte. Es lag an dem LDAP-Authentifizierungsmodul, das auf dem System fehlte. Dieses ließ sich durch eine Umkonfiguration von PAM beheben. Dabei stießen wir auf eine etwas seltsame Konfiguration, die keine Anmeldung mit der /etc/passwd (Modul pam_unix) zuließ, sondern nur LDAP erlaubte. Somit fixten wir das Problem durch ein wiedereinkommentieren der entsprechenden UNIX- und auskommentieren der LDAP-Zeilen, die teilweise nicht nur als „sufficient“ für ein Login markiert waren, sondern als „required“, also als unbedingt für eine Anmeldung nötig konfiguriert waren.
Die entsprechenden Dateien unter /etc/pam.d/ waren: common-auth,-account,-password u. -session. Um die Fehlkonfiguration zu finden, haben wir einfach geschaut, in welchen Dateien „unix“ und „ldap“ vorkommen um entsprechende Konfigurationen zweifelsfrei und schnell zu finden. Das lässt sich auch mit anderen Modulen bewerkstelligen.
1.6.2011 ungeeignete Hardware u. falscher Slot
Slot: NWkarte in PCI neben AGP ist ungünstig,
aber ursprünglich/als die NIC einsteckte, waren alle Slots belegt.
Mainboard: Meine Wahl war fatalerweise auf den „Kerlen PC“ gefallen,
weil das gerade der Einzige mit SATA onboard war und
ich eine von der Schule gekaufte 1TB einsetzen wollte.
lt. Christian:Hardware hat Nvidia-Chipsatz und die dafür benötigten Treiber unter Linux
sind immer noch rudimentär,
wenn nicht der Zusammensteller der Distribution besonderen Wert auf Anpassungen legt.
Unter Windows/als Desktopsystem - super, aber hier nich!
ER empfiehlt Intel 915,645 oder Serverworks 868 Chipsatz u. rät zu Intel-Gigabit-Nwkarte
(Ich wollte eigentlich nuuur nen Testsystem aufstellen können)
Nächsten Mi wollen wir wahrscheinlich schon am frühen Nachmittag, evtl. ab 15:00 im MZW
mit einem Sv, der bei ihm in der Ecke steht, nochmal ne Installation machen.
Vielleicht nehme ich schon vorher nen alten Proliant ML350 G3, nur wann nehme ich mir die Zeit ?!

Ziel:aufs System abgestimmte u. verläßliche Hardware zu benutzen
um hierdurch hervorgerufene potentielle Fehler auszuschließen.
Neuinstallation mit Christian:IPcop auf Compustar und openML auf (leider lauter) HP-Server-Hardware
Die Benennung der Festplatten in der Hilfe führten in die Irre,
die grafische Autoinstallation brachte auch noch mehr Verwirrung und US-Tastaturbelegung,
weshalb wieder der Automodus gewählt wurde.
Dies behob Siggi durch Nachschlagen auf anderer tty. Evtl. machte der 2. IDE Kanal Probleme.
Nach http://lml.support-netz.de/handbuch50/ch05s07.html
Remoteadmin angelegt, aber wie greift der zu ?
Der Routerport hatte sich wahrscheinlich einmal verschluckt,
weil irrtümlich mein Laptop im Uplink-Port steckte und
nach umstecken Proleme hatte (ping klappte nur teilweise).
IPcop-configs gesichert auf Floppy per Webinterface,dauerte etwas.
T42 als AdministrationsPC mit seiner MAC im IPCop eingetragen.

updatedb    ;#schafft Basis für locate 

/etc/init.d/linuxmuster-base ist die Firewall @openML-Sv. \\

Installation: wenn man sich vor der Installation die genaue Bezeichnung
für die Netzwerkkartentreiber anhand einer *ux-Live-CD besorgt,
kann man die bei mir nicht funktionierende automatische Erkennung
(Gerät fror incl. Tastatur kompl. ein - Reset) ersparen.
(Am 25.5.11 erlebte Nico mal automat. Erkennung ohne einfrieren - die aber nichts fand,
als wir das Problem hatten, den Treiber der RTL 8139 einzubinden.)
In unserem Gerät hatten wir ne onboard Nvidia=grün/Schülernetz und ne gesteckte RTL8139=rot/Internet/Router.
.
Der IPCop sollte, wenn er hochfährt, funktionierende Verbindung zum Internet haben
(checkbar anhand der ipconfig Meldungen auf der Port 222 ssh-Konsole),
denn er scheint mir keine hotplugin-Erkennung des
evtl. dann erst später eingesteckten RJ45-Steckers zu haben.
Auch ACPI, also Herunterfahren auslösbar durch kurzes Drücken des Einschalters,
schien er im Gegensatz zum OpenML Sv NICHT zu beherrschen
(ohne dessen „Enabled“ jetzt im BIOS kontrolliert zu haben).
Default Partitionierung (bei ner 40 GB hdd):

25.5.2011:Problem das keine der beiden IPcops mehr eth1 anzeigte
Bisherige Ursache unbekannt. Im Hinterkopf habe ich , das RJ45 vorm booten drin stecken sollte,
weil nachträgliches Einstecken nicht detektiert/verarbeitet wird.(Situation nach dem Setup)
25.5.2011:Problem der RTL 8139=RED den Treiber zuzuweisen:
Trotz # vor RED…= in /var/ipcop/ethernet/settings zeigte Setup an
daß keine nicht zugeordneten Karten mehr verfügbar seinen.
Irgendwann war es mir aber doch mögl., „Auszuwählen“ und es ging weiter.
Bauchgefühl:Möglichst ohne gestecktes NW-Kabel(Situation vor dem Setup)
! Erfahrungswerte: Thomas hat mal bei ner Installation von PaedML bei nem Kunden kurz zugesehen.
Er durfte jetzt aber den Kundennamen nicht nennen (1 Schule außerhalb Wuppertals).
Den könnte uns evtl. sein Ausbildungsleiter Sebastian nennen,
der unseren Stammtisch auch schon mal sporadisch besucht.
28.5.2011:partimage Sicherung des frischen IPcop auf Stick:
sfdisk -d
Stelle mir gerade die Frage ob Sicherung mit dd über die gesamte Platte nicht einfacher
a)zu erstellen b)rückzuspielen ist ?
analog zu http://freetux.wordpress.com/2007/12/23/systembackup-mit-dd/
Evtl. wäre ne 1 zu 1 auf ne 40GB (sind ja genug da!) das einfachste
auch um dann später zu testen, wenn man sie in anderem PC mit anderen MACs betreibt
(den Typ der NIC erstmal beibehalten, das wäre noch ne Stufe härter)
29.5.2011:CR2032 erneuert:
Nächstesmal an boot-Reihenfolge (1.=CD-Lw) und Bios-DATUM denken!
1 zu 1 Kopie auf WD400 IDE-hdd, allerdings ist die jetzt noch als Secondary Slave gejumpert.
Beim abgebrochenen Versuch (erschien mir nicht mehr sinnvoll u. zu langwierig) mit dd zu kopieren wurde
wahrscheinlich auch der hexadez. „disk identifier“ kopiert
(zumindest fielen mir dann die identischen auf).
Nach sfdisk -d /dev/sda | sfdisk /dev/sdb war es am einfachsten Knoppix neu zu booten,
alles zu mounten. Zuvor:

vim /etc/fstab :set number    :3-17 s/no// 

u. im mc von der jeweiligen sda-Partition auf die sdb-Partition zu kopieren.
! vor Auslieferung: im BIOS Bootreihenfolge ändern und BIOS-Paßwort setzen bei beiden Systemen.

HIER MUSS ICH GENAUE FILENAMEN noch KONTROLLIEREN.

upgradedb           ;#aktualisiert DB für locate 

Leases erschienen nicht in der [Leases] sondern waren erkennbar in der
in die /etc/dhcp3/dhcp.conf includeten /etc/dhcp3/dhcp.conf.linuxmuster
mit der festen Zuordung MAC - IP, welche in der Schulkonsole im Menü hosts vorgenommen wurde.
Unbekannte MAC-Adressen bekamen keine IP.
Dafür verantworlich war wohl der Eintrag …..in /etc/dhcp3/dhcp.conf

Diesmal war der selbst verursachte Fehler der Proxy-Eintrag im spontan gegriffenen Schülerclient
PC hinzufügen https://openml5:242/schulkonsole/hosts
00:19:99:a8:36:13 ID032101 trotz Webfilter aus ist sex.de gesperrt.
wir bekommen unter anderem facebook nicht gesperrt.

IM IPCop firewall - externer Zugang habe ich UDP port 1194 für OpenVPN aktiviert,
weiß jetzt aber noch nicht wie ich ihn einrichte.
Mal umgesehen unter /var/ipcop/ovpn, wahrscheinlich muß ich einfach noch
nen key und ne conf anlegen u. Dienst neu starten.
Thorsten hält OpenVPN hier für nicht so gut/sinnvoll nutzbar und empfiehlt
eher ne Kombination aus ssh und FreeNX (oder das kommerzielle NoMachine NX).
Mit dem mc des OpenML-Sv versuchte ich vergeblich auf den IPCop zu kommen:

/#sh:root@10.16.1.254:222/
bash: /#sh:root@10.16.1.254:222/: Datei oder Verzeichnis nicht gefunden
Drücken Sie eine Taste zum Fortfahren...

Schreibweise: beim ssh fkt. ja auch nicht :[port] sondern -p: [port]

# Versuch von 240.101 ausgehend, wobei dann ja evtl. erschwerend
# hinzukommt, daß man dann auf dem openML-Sv landen würde
root@mzw:~# cd /#sh:root@192.168.240.220 -p 2222 

liefert schon mal

fish: Warte auf erste Zeile...
Nach einiger Zeit:
Kann nicht in Verzeichnis "/#sh:root@192.168.240.220 -p 2222" wechseln 
Eingabe-/Ausgabefehler (5)

.

# @openML-Sv:
apt-get update
apt-get install nmap

Zertifikate
Frage:

Wie verlängert man die Gültigkeitsdauer/verringert die Häufigkeit
der Zustimmungen im Firefox
für nicht verifizierte Zertifikate (da dem Aussteller nicht vertraut wird),
z.B. beim Zugriff auf`s Webinterface des IPcop ?

Antwort:

"Extras>Einstellungen>Erweitert>Verschlüsselung" und da
Häkchen bei "Wenn Webseite....>Automatisch eins wählen

Die DNS-Auflösung funktionierte nicht auf den Clients, hier deren resolv.conf:

domain paedml-linux.lokal   bzw. mein Laptop hatte       nameserver 127.0.0.1
search paedml-linux.lokal                                search paedml-linux.lokal
nameserver 10.16.1.1

Die Firewall des OpenML war schuld.

iptables -F

und gefiltertes Internet, bei Sperre ist die Kategorie oben klein erkennbar, fkt.
Allerdings geht das Nagetier durch!
!

1. F:Ändert Update etwas daran A:Letztes erfolgreiches Blacklist-Update war vor 0 Tagennach aktivierung Autoamt.Updates ändert sich nicht nach jetzt updaten und speichern u. neustart
2. F:wie kann ich's manuell pflegen A:https://10.16.1.254:445/cgi-bin/urlfilter.cgi =Dienste,URL-Filter Nagetier rein; angepasste blacklist aktiviert, speichern u. neustart; ist gesperrt mit Kategorie custom-blocked
3. F:der Liste update-info zukommen lassen A: ????

Wieso brauchen wir hier ne Firewall ist die von Jens und Siggi
nicht nur philosophisch, sondern ernstgemeinte Frage.

Als Client die Compustar ID 009225 mit Knoppix gebootet und ins
Webinterface 10.16.1.1:242 eingetragen, login als administrator:
https://openml5.paedml-linux.lokal:242/schulkonsole/hosts

! als nächstes wäre dann die Usereinrichtung dran sowie die Erreichbarkeit des Test-Systems von außen
Die Portweiterleitung des IPcop kopieren mit anderem Port, der auf Port 22 des Clients landet.
Bei der Suche danach wie Port-Weiterleitung funktioniert, sties ich auf
http://www.ipcop-forum.de/manuals/online/ipcop-admin-chunk-de-1.4.x/section-firewall.html
wo erklärt wird, das init.d teilweise ersetzt ist durch z.B. /etc/rc.d/rc.firewall.local

Noch nicht ganz kapiert, wie es fkt. unter Firewall; Externer Zugang
Anregung zu Port-Weiterleitung http://www.linuxhelp.net/guides/iptables/ siehe prerouting

Die Daten auf der USB-hdd ließen sich erst mal nicht auf den openML rüberkopieren,
weil mount bzw. das System mit ext4 nicht klarkam.
Meine andere USB-Platte war in Fat32 u. NTFS formatiert.

Wie man's macht, macht man's falsch!

Überlegung war, wie man das System unter Beibehaltg. von
a)Dateirechten als auch b)Sym-Links rüberkopieren kann.
a)hätte man wahrscheinlich mit tar –preserve hinbekommen, aber die Links wären weg.
Dann die Platte an mein mit grml gebooteten Laptop dran und
mit cp-a… per nfs auf den openML rüber - funktionierte erst nach iptables -F.
Thorsten hat 1 per nfs verteilbares System in den Anfängen erstellt.
Am Beeindruckensten fand ich(=Arno),daß Änderungen im chroot System dann ohne reboot
auf dem Client gültig waren.
Durch das ro bei exportfs (jetzt in /etc/exports) ist z.B.
kein geordnetes runterfahren nötig/Manipulationen mögl..
So kommt man ins System:

cd /home/nfsroot/pxe
chroot ./ /bin/bash
# damit DNS fkt., mußte der openML=10.16.1.1 in resolv.conf rein, getestet mit apt-get update

Im Client-BIOS wurde LAN an erster Stelle der Bootreihenfolge gesetzt.
Danach bekam ich auch das erste Mal etwas von Linbo zu sehen.

/etc/dhcp3/dhcpd.conf.linuxmuster zeigte den in der Schulkonsole eingerichteten Host.
# Hier hat Thorsten editiert: "clientnet" war der Gruppenname.

asdf als root-Paßwort.
Und ratz-fatz hatte Thorsten icewm am laufen.
Hierbei gestaltete sich die X11-Konfiguration etwas komplizierter, da /root nicht beschreibbar war.
X -configure hätte aber die xorg.conf.new (die später sofort funktionierte! Ein Wunder!) in /root
abgelegt. Folglich: Mount mit tmpfs und aufs auf /root, zack! Lief. xorg.conf rüber, xinit, lief!
Installation slim (schlanker Desktop-Manager) … wäre fast gelaufen, jedoch wollte er unbedingt¹⁾ die .Xauthority-Datei in /home/<user>
erstellen, was zu der Anwendung der gleichen Methode wie oben führte, diesmal wurde aber gleich
die /etc/fstab mitbearbeitet. Lief, und wenn es nicht formatiert wurde, läuft es auch noch heute.

Weiteres hier: Netzwerk-bootfähiger Client zur Integration ins Schulsystem