Tipps und Tricks zur Verwendung der paedML Linux. Alles ohne Gewähr! von Johannes Albani
Donnerstag, 2. September 2021
PrintNightmare in der paedML
Montag, 19. Juli 2021
Windows Updates kastrieren
In einem Gastbeitrag auf meinem Blog wurde vor 2 Jahren vorgeschlagen, dass man Windows-PCs jeden Zugang zu Updates abdrehen kann. Ich selbst bin von dieser Methode nicht begeistert und werde sie an meiner Schule auch nicht einsetzen, ich hatte aber bezüglich der Einstellung mehrere Rückfragen. Daher möchte ich Ihnen hier die Überarbeitete Richtlinie vorstellen, die mit von Herrn Hadouchi der TesKa Karlsruhe zur Verfügung gestellt wurde.
Die folgenden Einstellungen sollten Windows-Clients jeden Zugang zu Updates verwehren, da sie als Update-Pfad nur sich selbst fragen dürfen (127.0.0.1). Updates können zwar weiterhin über Opsi verteilt werden, aber die volle Verantwortung liegt nun beim Netzwerkbetreuer/Dienstleister. Setzen Sie diese Richtlinie von daher nur in vollem Bewusstsein der Konsequenzen ein.
Durch die Folgende Richtlinie ist auch nicht speziell für die paedML Linux/GS sondern beschränkt generell Windows in den folgenden Bereichen, auch wenn teilweise die Einstellungen in der paedML L/GS z.B. schon mit configW10 oder Gruppenrichtlinien eingeschränkt war. Dies betrifft:
- Windows Telemetrie
- Insider Preview
- Microsoft Store
- Windows Defender Antivirus, bzw. dessen Definitionsupdates
- Windows Update
Folgende Gruppenrichtlinien unterbinden die oben genannten Verbindungen zu Microsoft:
Donnerstag, 15. Juli 2021
WebUntis per LDAP mit paedML Linux/GS-7.2 verbinden
WARNUNG: Dieses Dokument beschreibt nur die Verbindung über LDAP, nicht LDAPS, daher ist die Kommunikation NICHT gesichert. Hier scheint ein Lösungsansatz beschrieben zu sein, aber ich konnte diesen noch nicht verifizieren.
https://help.univention.com/t/ldaps-mit-lets-encrypt/18452
Klarstellung: Es wird hier nur die Synchronisation der Schülerkonten beschrieben! Lehrerkonten sind zwar denkbar, wird aber in untenstehender Lösung nicht beschrieben, da ich die Verwaltung der Lehrer-Konten der Schulleitung überlasse und das Risiko nicht auf die Netzwerkbetreuung verlagern möchte.
Schritt 1: Firewall
Firewall per Browser öffnen (10.1.0.11) und als Administrator anmelden.
Klick auf Firewall --> NAT
Auf Hinzufügen (Pfeil nach unten) klicken um eine neue Regel zu erstellen.
Protokoll auf TCP/UDP umstellen,
Bei Quelle auf "Zeige Erweiterte",
dann bei Quelle "Einzelner Host oder Alias" mit der IP 213.208.138.146 eintragen.
Bei Ziel auf INTERNET adress mit Zielportbereich LDAP einstellen.
Umleitungsziel "Einzelner Host" auf 10.1.0.1, als Umleitungsport "Anderer" mit "7389" wählen.
Beschreibung ergänzen, z.B. "LDAP-Weiterleitung für WebUntis"
Unten auf Speichern klicken und die Regel anwenden lassen.
Schritt 2: WebUntis Konfigurieren
In WebUntis als Admin auf "Administration" --> "Integration" klicken und LDAP auswählen.
Den Haken "aktiv" erst NACH Fertigstellung setzen!
Bei "LDAP Server URL" ist "ldap://8.8.8.8" ist die IP oder URL der Schule anstelle der 8.8.8.8 einzutragen.
Für "LDAP Benutzer" verwenden Sie den LDAPSuche-Account mit "uid=ldapsuche,cn=users,dc=paedml-linux,dc=lokal",
das LDAP Passwort zu diesem ist auf dem Server unter /etc/ldapsuche.secret zu finden.
Der "Userfilter" mit (&(objectclass=ucsschoolStudent)(uid={0})) fragt in dieser Konfiguration nur Schüler ab, falls auch Lehrer gefunden werden sollen muss die Konfiguration angepasst werden.
BaseDn für Benutzersuche: ou=schule,dc=paedml-linux,dc=lokal
LDAP Mail Attribut: mailPrimaryAddress
Haken bei "Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen" und
"Anmeldung für nicht identifizierten Benutzer verbieten" setzen.
LDAP Personenrolle Attribut: ucsschoolSourceUID
Bei den weiteren Einträgen habe ich keine Lehrer importiert, daherist bei "Lehrkraft" auch die "Standard-Benutzergruppe" auf "<Auswahl>".
In der Kategorie Schüler:
Personenrolle: schule-student
Personenidentifzierung: Einzelattribut
LDAP ID Attribute: ucsschoolRecordUID
Elementdaten ID Feld: externKey
Einen Klick auf speichern sollte die Konfiguration hinterlegen. Klicken Sie auf Test und geben Sie Benutzer und Passwort eines SchülerInnen Accounts ein, die Abfrage sollte "ldap connection ist ok" und etwas wie "found uid=maxi.muster,cn=schueler..." ausgeben.
Nach erfolgreichem Test den Haken "aktiv" ganz oben setzen und speichern.
Ich werde die Vorhandenen Schüler Accounts meiner Schule zum Schuljahreswechsel löschen, dann können sich unsere Schüler mit ihren Computerraum-Anmeldedaten bei WebUntis anmelden. Durch die erstmalige Anmeldung wird jeweils ein neuer Account erschaffen und über den Schlüsselvergleich direkt mit dem Stammdaten/Stundenplänen der Schülerinnen und Schüler verknüpft.
Dienstag, 22. Juni 2021
Windows 10 Update 2004
Hallo!
Mich erreichten ein paar Zuschriften bezüglich des Zwangsupdates von Windows 10 auf Version 2004. Ich äußere mich an dieser Stelle aber nur als Netzwerkberater meiner Schule, keine offizielle Empfehlung.
Um das Update besser beherrschen zu können bin ich wie folgt vorgegangen:
- Per Opsi auf allen Clients das Paket "config-win10" mit der Property "config_updates" "LocalPeerToPeer" erneut ausrollen. Updates werden dann unter den Clients selbst verteilt ohne die Internetleitung zu sehr zu belasten.
- Das Laufwerk K (Programme) wird unter 2004 nicht mehr korrekt installiert. Dazu gibt es eine Standard-Lösung, die man bei der Hotline erfragen kann. Hier eine Zusammenfassung (ohne Gewähr):
Die Datei \\server\netlogon\programme.bat bearbeiten und die Zeile
@net use K: /DELETE
durch
rem @net use K: /DELETE
ersetzen.
Eine neue Gruppenrichtlinie anlegen und unter Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Laufwerkszuordnungen auf Neu -> Zugeordnetes Laufwerk auswählen
Aktion: Aktualisieren
Speicherort: \\server\programme
Beschriften als: Programme
Laufwerkbuchstabe: K
Danach noch auf dem Opsi mit Putty ein "samba-tool ntacl sysvolreset" ausführen.
- Das Opsi-Paket paedml-login NACH dem Updatevorgang ausrollen. Dadurch wird unter anderem der Desktophintergrund wieder richtig dargestellt.
Montag, 7. Juni 2021
W10AdminVM: RSAT Tools ab 2004
Aktuell rollt Microsoft die Zwangsupdates auf Windows 10 2004 aus, wovon auch die W10AdminVM betroffen ist.
Nach dem Update funktionieren die RSAT Tools zur Verwaltung der Serverkomponenten (Gruppenrichtlinien, Druckverwaltung, etc.) nicht mehr, da Microsoft die Implementierung geändert hat.
Die (Re-)Installation der RSAT Tools geschieht über PowerShell:
1) Befehl für die Abfrage des aktuellen Installationsstatus der einzelnen Tools:
Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property DisplayName, State
IdR. ist die Ausgabe in der Spalte State "Not Present"
2) Befehl für die Installation aller RSAT Tools:
Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability –Online
Die Installation dauert je nach System 5 bis 10 Minuten. Danach sind alle Verwaltungskomponenten wieder verfügbar.
Eine Übersicht für die granulare Installation einzelner Tools findet man auf Windows-FAQ.de
Dienstag, 13. April 2021
App-Repository auf Nextcloud-VM erweitern
Das App-Repository auf der Nextcloud-VM ist per Whitelist eingeschränkt, somit können außer Let's Encrypt und Admin-Diary keine weiteren Apps aus dem Univention Repository installiert werden.
Für die Anpassung/Erweiterung des lokalen App-Centers muss man sich per Administrator auf der Nextcloud-VM einloggen, über "System" in die Univention Configuration Registry wechseln und als Suchwort "repository" eingeben
Montag, 12. April 2021
Homeoffice-Tweak Opsi-Client-Agent
Wenn man Notebooks, die in der paedML integriert und installiert sind, zum Arbeiten im Homeoffice mitnehmen möchte, kann der Opsi-Client-Agent außerhalb des paedML-Netzwerks durchaus nerven.
Der Timeout lässt sich mit zwei Hostparametern unabhängig voneinander anpassen.
Zuerst geht man im Opsi Config Editor in die Server-Konfiguration und hier in den Baum "opsiclientd"







