Re: [lmn] linbo 2.3.3 - Probleme

[Stefan Leßmann]

Hallo,

Am 31.07.2016 um 00:06 schrieb Holger Baumhof:

Hallo,

wenn du keine Baugleichen HP Kisten hast, die funktionieren, wird es
wohl an der Hardware liegen.


15 baugleiche Kisten im gleichen Raum am gleichen Switch funktionieren.


Falls du Baugleiche hast, die funktionieren, liegt es an BIOS
Einstellungen (vielelicht)


Sind identisch. Wie gesagt, die HPs haben da nicht viele 
Einstellmöglichkeiten, die man vergleichen müsste.



oder an Netzwerkproblemen (wahrscheinlich).


Netzwerkkabel vom funktionierenden Rechner abgezogen und am nicht 
funktionierenden Rechner eingesteckt - ohne Erfolg.




Also: nimm die Rechner, stell sie topologisch "näher" an den Server und
teste noch einmal.


Näher am Server ginge nur über den Core-Switch, aber der hat nur LWL... 
Klar, ich könnte mir einen Switch suchen, der an einer weniger langen 
LWL-Leitung hängt, aber was hätte ich davon, wenn es dort funktionieren 
würde?


Ich tippe eher auf einen Hardwaredefekt der Rechner. Fragt sich nur, 
warum die Rechner vorher mit dem alten Linbo noch liefen...


Grüße,
Stefan
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] linbo 2.3.3 - Probleme

[Holger Baumhof]

Hallo Stefan,

>> wenn du keine Baugleichen HP Kisten hast, die funktionieren, wird es
>> wohl an der Hardware liegen.
> 
> 15 baugleiche Kisten im gleichen Raum am gleichen Switch funktionieren.

na: das ist doch mal eine Aussage :-)

>> Falls du Baugleiche hast, die funktionieren, liegt es an BIOS
>> Einstellungen (vielelicht)
> 
> Sind identisch. Wie gesagt, die HPs haben da nicht viele
> Einstellmöglichkeiten, die man vergleichen müsste.

.. ja: das müßte man halt machen.. und gleich die BIOS Version
vergleichen, wenn man schon dabei ist :-)

Also: Netzwerkprobleme haben wir ausgeschlossen.
Wenn du eine schnelle Lösung probieren willst: nimm eine Festplatte,
lösch alle Partitionen drauf, steck sie in den Rechner und versuch es
nochmal.

Viele Grüße

Holger
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] linbo 2.3.3 - Probleme

[Stefan Leßmann]

Hallo Holger,

Am 31.07.2016 um 09:55 schrieb Holger Baumhof:

Hallo Stefan,


wenn du keine Baugleichen HP Kisten hast, die funktionieren, wird es
wohl an der Hardware liegen.


15 baugleiche Kisten im gleichen Raum am gleichen Switch funktionieren.


na: das ist doch mal eine Aussage :-)


Falls du Baugleiche hast, die funktionieren, liegt es an BIOS
Einstellungen (vielelicht)


Sind identisch. Wie gesagt, die HPs haben da nicht viele
Einstellmöglichkeiten, die man vergleichen müsste.


.. ja: das müßte man halt machen.. und gleich die BIOS Version
vergleichen, wenn man schon dabei ist :-)


Sorry, Missverständnis. Hab ich schon gemacht (so ziemlich als erstes), 
alles identisch.




Also: Netzwerkprobleme haben wir ausgeschlossen.
Wenn du eine schnelle Lösung probieren willst: nimm eine Festplatte,
lösch alle Partitionen drauf, steck sie in den Rechner und versuch es
nochmal.


Naja, ich vermeide gerne unter dem Tisch rumkriechen, 
kabelbinderzerschneiden und rumschrauben in einem Raum, in dem in den 
Ferien der Sonnenschutz nicht runtergelassen wird, aber wenn das 
Live-System nichts bringt, probiere ich das. Nächste Woche.


Grüße,
Stefan
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

[lmn] UEFI: Win und Linux nebeneinander?

[Michael Hagedorn]

Hi.

Ein Kollege möchte auf seinem
Laptop (MIT UEFI von Dell) neben dem bestehenden Windows ein Kubuntu
installieren. Ich habe mich glücklicherweise (?) bisher nie mit UEFI
beschäftigen müssen ... daher die Frage: Läuft die Installation in so
einem Fall genauso stressfrei wie normal oder gibt's da Stolpersteine,
die man (vor allem als Linux-Anfänger) umschiffen muss?

Am einfachsten scheint mir zu sein, im BIOS einfach nachzusehen, ob man
das dämliche UEFI deaktivieren kann, oder? Oder bootet dann Windows
nicht mehr wie gehabt??

Michael


P.S.: Diese Seite habe ich mir (kurz) angesehen:
https://wiki.ubuntuusers.de/EFI_Installieren/
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Anmeldeverhalten Ubuntu 16.04

[T . Küchel]

Hallo Rainer, Sebastian, Gregor,

ich habe meine Images vom 4.Juli und vom 21.Juli verglichen.
Am 4.Juli-image gab es scheinbar keine Probleme, während ich bei 21.
Juli-Image ab und zu kein Home-Verzeichnis habe. Meine frühere
Einschätzung: beim ersten Mal nach lightdm-(re)starten würde
Home_auf_Server eingebunden kann ich nicht reproduzieren.

Deinen Tipp nss_initgroups_ignoreusers zu setzen kann ich auch nicht
verifizieren (weil es bei mir schon aktiviert war, auch mit "noch mehr"
gruppen daring)

Bei mir hilft momentan als Workaround: nscd abschalten - funktioniert,
nscd anschalten  - kein home_auf_server

zur nicht funktionierenden Version wurde gemacht:

* Allgemeine updates, inkl. lightdm, systemd, fusermount, kernel
* installation von gnome-ssh-askpass
* PAM wurde nicht angerührt, außer
/lib/x86_64-linux-gnu/security/pam_systemd.so

Fazit: Wenn es kein dämlicher Fehler meinerseits ist, kann es ein ubuntu
mate spezifisches Problem sein, oder es könnte alle ubuntu 16.04
betreffen, dann rate ich zum Workaround ins postsync:

sed -i "1 a exit 0" /mnt/etc/init.d/nscd

@Rainer: kann man die nscd Abhängigkeit der liunxmuster-client-Pakete
nicht entfernen? Wer braucht schon nscd?
Zweiter Grund: wer in ein Projekt aufgenommen wurde, dem rate ich am
besten den linux-pc neuzustarten, weil ein nscd -i ... nötig wäre, damit
es gleich beim neu-anmelden klappt.

Grüße, Tobias

Am 31.07.2016 um 00:02 schrieb T. Küchel:
> Hallo Rainer,
> 
> danke, das werde ich testen.
> Könnte dann auch ein nscd-Problem sein?
> vG, Tobias
> 
> Am 30.07.2016 um 22:52 schrieb rai...@linuxmuster.net:
>>
>> Hallo!
>>
>> Ich hatte das Problem mit dem teilweise nicht verbundenen home vom
>> Server auch und festgestellt, dass immer nur der erste Eintrag in
>> /etc/security/pam_mount.conf.xml
>> betroffen war.
>>
>> Mit folgender Änderung in /etc/ldap.conf (ganz am Ende. letzter Eintrag
>> ersetzen):
>> 
>> (...)
>> #nss_initgroups_ignoreusers
>> avahi,avahi-autoipd,backup,bin,daemon,games,gdm,gnats,haldaemon,hplip,irc,klog,libuuid,list,lp,mail,man,messagebus,news,polkituser,proxy,pulse,root,saned,sshd,sync,sys,syslog,uucp,vboxadd,www-data
>>
>>  
>> nss_initgroups_ignoreusers
>> avahi,avahi-autoipd,backup,bin,clamav,clickpkg,colord,daemon,dnsmasq,games,gdm,gnats,haldaemon,hplip,irc,kernoops,klog,libuuid,lightdm,list,lp,mail,man,messagebus,mysql,news,ntpd,oident,polkituser,proxy,pulse,root,rtkit,saned,speech-dispatcher,sshd,sync,sys,syslog,usbmux,uucp,vboxadd,whoopsie,www-data
>> 
>> konnte ich das Problem lösen.
>>
>> Gruß - Rainer
>>
>>
>> Am 29.07.2016 um 15:46 schrieb Sebastian Funke:
>>> Hallo Gregor,
>>
>>> vielen Dank für die Hinweise.
>>
>>> Das werde ich probieren und mich dann melden.
>>
>>> Schönen Gruß,
>>
>>> Sebastian
>>
 Am 29.07.2016 um 11:23 schrieb list-linuxmuster-u...@kopka.net
>> :

 Sebastian,

 - Homelaufwerk nicht eingebunden:
 abmelden
 +
 anmelden und root werden
 /mount/ ausführen und schauen ob noch irgendwelche Sachen vom Server
>> gemounted sind, da war mal ein Bug der hat den letzten User nicht
>> richtig abgeräumt und dann schlägt die erneute Verbindung zum Server
>> fehl da das Script denkt es wäre schon alles erledigt.

 - Zum checken ob 2. DHCP dazwischenfunkt:
 Sobald Du einen Rechner hast der aktuell von dem Problem (hängt)
>> betroffen ist:
 +
 anmelden und root werden
 /ifconfig/ ausführen und die IP auf dem Netzwerkinterface anschauen

 - Shutdown klemmt:
 Ein 2. DHCP im Netz kommt vor (wlan Access Points die beschließen auf
>> Default-Konfiguration zu gehen sind da gerne genommen), würde aber nicht
>> erklären warum /shutdown now/ als root nicht funktioniert.
 Sollte das terminal/ssh nach sowas noch reagieren als root /dmesg/
>> ausführen und schauen was passiert, auch mal in syslog schauen.

 Schönes Wochenende,

 Gregor


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Temporärer Einsatz von WLAN

[T . Küchel]

Hallo Jürgen,

Am 30.07.2016 um 08:08 schrieb J. Gaisser:
> Hallo Holger,
> 
> danke für die Rückmeldung!
> 
> Da wir uns erst jetzt mit der Thematik beschäftigen, bin ich auf
> professionelle Tipps angewiesen :-).
> Ich hatte mich eigentlich orientiert an
> http://lehrerfortbildung-bw.de/netz/muster/linux/material/sicherheit/doc/wlan/index.html
> Da wird für schuleigene mobile Geräte (unsere Tablets) das grüne Netz
> erwähnt.
> 
>> das geht schon, aber das Konzept der lml sieht das so nicht vor.
>> Wir haben einen WLAN Zugangsserver um sicher zu stellen, dass interne
>> Netz nicht gefährdet wird.
>> Ein Accesspoint in Grün gibt den Server von innen mannigfaltigen
>> Angriffen preis: mach das so nicht.
> Welches Szenario ist dann bei unseren Wünschen
> - "mobiles" WLAN temporär in einzelnen Räumen (AP + Tablet-Koffer)

Das schlagen manche (unser Schulträger) auch über das grüne Netz vor.
Auch da wäre es besser, es ginge im blauen Netz (siehe unten)

> - WLAN im Lehrerzimmer 

ins blaue Netz

> (- evtl. in Zukunft WLAN für private mobile Geräte im Klassenzimmer)

auf alle Fälle ins blaue Netz

> 
> und Gegebenheiten
> - nur ein LAN-Kabel in jedem Raum

wie wäre es mit VLANs?

Die einzelnen LAN-Kabel bekommen GRÜN und BLAU ab.
Der WLAN-Accesspoint muss VLAN-fähig sein *und* WLAN ins blaue Netz
nehmen sowie die LAN-Ports ins grüne Netz.
Können das die unifi AP ? Weiß das jemand? Alois?

> sinnvoll?

Viele Grüße,
Tobias


> 
> Viele Grüße
> Jürgen
> 
> 
> 
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
> 

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Temporärer Einsatz von WLAN

[Alois Raunheimer]

Hallo Tobias,

Der WLAN-Accesspoint muss VLAN-fähig sein *und* WLAN ins blaue Netz
> nehmen sowie die LAN-Ports ins grüne Netz.
> Können das die unifi AP ? Weiß das jemand? Alois?


Prinzipiell sollten sie das können. Wir hatten bis vor kurzem einen solchen
Konstrukt (rot;grün;blau über Glasfaser in die Ebenen verteilt und dort
wieder auf einzelne Switches im jeweiligen VLAN). Dann haben wir neue
Unifi-Switches gekauft. Nach dem Austausch gegen die alten (ebenfalls
Unifi-Switches) war unser gesamtes Netz nicht mehr funktionsfähig. Warum
das so ist konnte ich bislang nicht ergründen (Switches machen bei uns
andere Kollegen). Ich habe behelfsmäßig das blaue Netz über Kupfer verteilt
damit es weiter funktioniert. Wenn die Kollegen die sich mit den Switches
befassen Zeit haben, dann schauen wir nach der Ursache für das Nicht
funktionieren des Netzes.

Gruß

Alois

Am 31. Juli 2016 um 11:10 schrieb T. Küchel :

> Hallo Jürgen,
>
> Am 30.07.2016 um 08:08 schrieb J. Gaisser:
> > Hallo Holger,
> >
> > danke für die Rückmeldung!
> >
> > Da wir uns erst jetzt mit der Thematik beschäftigen, bin ich auf
> > professionelle Tipps angewiesen :-).
> > Ich hatte mich eigentlich orientiert an
> >
> http://lehrerfortbildung-bw.de/netz/muster/linux/material/sicherheit/doc/wlan/index.html
> > Da wird für schuleigene mobile Geräte (unsere Tablets) das grüne Netz
> > erwähnt.
> >
> >> das geht schon, aber das Konzept der lml sieht das so nicht vor.
> >> Wir haben einen WLAN Zugangsserver um sicher zu stellen, dass interne
> >> Netz nicht gefährdet wird.
> >> Ein Accesspoint in Grün gibt den Server von innen mannigfaltigen
> >> Angriffen preis: mach das so nicht.
> > Welches Szenario ist dann bei unseren Wünschen
> > - "mobiles" WLAN temporär in einzelnen Räumen (AP + Tablet-Koffer)
>
> Das schlagen manche (unser Schulträger) auch über das grüne Netz vor.
> Auch da wäre es besser, es ginge im blauen Netz (siehe unten)
>
> > - WLAN im Lehrerzimmer
>
> ins blaue Netz
>
> > (- evtl. in Zukunft WLAN für private mobile Geräte im Klassenzimmer)
>
> auf alle Fälle ins blaue Netz
>
> >
> > und Gegebenheiten
> > - nur ein LAN-Kabel in jedem Raum
>
> wie wäre es mit VLANs?
>
> Die einzelnen LAN-Kabel bekommen GRÜN und BLAU ab.
> Der WLAN-Accesspoint muss VLAN-fähig sein *und* WLAN ins blaue Netz
> nehmen sowie die LAN-Ports ins grüne Netz.
> Können das die unifi AP ? Weiß das jemand? Alois?
>
> > sinnvoll?
>
> Viele Grüße,
> Tobias
>
>
> >
> > Viele Grüße
> > Jürgen
> >
> >
> >
> > ___
> > linuxmuster-user mailing list
> > linuxmuster-user@lists.linuxmuster.net
> > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
> >
>
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Kein anonymes Surfen

[Stefan Senft]

 
   
   
Hallo, 
 
ich versuche identd-Authentifizierung einzuschalten, aber irgendwas 
mache ich da wohl falsch - könnte Hilfe brauchen. 
 
Stand der Dinge: 
- Ipfire Grundzustand verändert 
   1. Webproxy: Transparente Proxies abgeschaltet 
   2. Port 443 und 21 aus allowedports in Dienstgruppen in 
Firewallgruppen entfernt (Port 80 war nie drin) 
- LinuxMint-Clients (habe nur diese) 
   1. Surfen (Firefox) ist jetzt nur noch möglich mit Angabe des 
Proxies 10.16.1.254:800 
   2. Auf den Clients läuft noch kein oidentd 
Soweit so gut. 
 
Probleme gibt's erst ab dem Einschalten der identd-Authentifizierung 
und Einstellungen setzen, wie hier beschrieben: 
http://www.linuxmuster.net/wiki/anwenderwiki:ipcop:identd_logging 
In der positiven Zugriffskontrolle trage ich nur pgmadmin und 
administrator ein, aber andere Benutzer können trotzdem surfen!? 
Im Anhang sende ich einen Screenshot der Einstellungen. 
 
Gruß 
Stefan 
 
 
Am 30.07.2016 12:06, schrieb Steffen Auer: 
 
  -BEGIN PGP SIGNED MESSAGE- 
Hash: SHA1 
 
Hallo Jürgen, 
 
Am 14.07.2016 um 19:24 schrieb Juergen Engeland: 
 
   
Hallo Stefan, 
 
ich weiß nicht ob ipfire mit identd funktioniert und wenn ja, ob 
auch mit Linuxclients. 
 
   
  läuft ;-) 
 
Viele Grüße 
Steffen 
 
- --  
Wir sind nicht nur nett, wir sind sogar linuxmuster.net 
 
Mein System: 
- - virtualisiert mit Proxmox 3.4 
- - linuxmuster.net 6.1 
- - IPFire 2.17 Core 99 
- - Linbo 2.2.16-0 
- - Ubuntu 12.04-Client 
- - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio 
- - Moodle extern (Belwue) per ldaps angebunden 
 
Note: 
No Microsoft programs were used in the creation or distribution of 
this message. If you are using a Microsoft program to view this 
message, be forewarned that I am not responsible for any harm you may 
encounter as a result. 
-  
Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur 
Überprüfung der Signatur ist hier hinterlegt: 
pool.sks-keyservers.net 
-  
-BEGIN PGP SIGNATURE- 
Version: GnuPG v2.0.22 (GNU/Linux) 
 
iQEcBAEBAgAGBQJXnHwOAAoJEBhc6lDKYVtJbEwIAKAENn4Xzr5AVmyiNO9pSQkd 
h1UDf3ej0+ez3t1Z7n/S9VQzaQ4EYJ/2GvcEEyDao9eS5XX2SMMD8DTpVHy1CtGb 
j37m85PM66Day9GNh9nj9NSTNp2eVpmO/hHaJZbP8ERF7+JYTnzcVTJMEjWlwj8+ 
04tYhKlI8r+us2As+EC3Uzbu+W9oOsSpIRXBcAlY8JEnNPfb6fQc8nXN5yhIreLC 
j9BMdTmx/8MVBHKv4qk5xcAc3iux0HVYV+WumEBCOkhalD61A8LV9YM68Xz8NU1I 
/a5f2Y2APzxsuVp4PFhm1R9j3Vf6CAi9Hym+nnsvtHSHTlBfUApPF7i9wS0Qeyk= 
=w1fv 
-END PGP SIGNATURE- 
___ 
linuxmuster-user mailing list 
linuxmuster-user@lists.linuxmuster.net 
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user 
 
 
 
   
 

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Temporärer Einsatz von WLAN

[Dirk L]

Hallo Holger,

Am 30.07.2016 um 01:09 schrieb Holger Baumhof:
> [...] 
> Ein Accesspoint in Grün gibt den Server von innen mannigfaltigen
> Angriffen preis: mach das so nicht.
> 

Warum?

Btw: Das selbe gilt auch für die normalen Clients (also die vorhandenen
Computer) im grünen Netz, diese haben die gleichen Möglichkeiten. Denn
das WLAN ersetzt nur das Netzwerkkabel.

Was spricht gegen das Szenario "Access Point mit WPA Enterprise Radius
Authentifizierung im internen Netz" (in Kurz: grün+AP+RADIUS)? Sowie es
beispielsweise unter [1] beschrieben wird.

Wenn man WLAN eigentlich am sichersten betreiben möchte, bleibt
eigentlich nur eine RADIUS-Authentifikation mit entsprechendem
Zertifikat, siehe zum Beispiel die Konfiguration wie sie unter [2]
angegeben ist.

Zum Schluss: Eigentlich dachte ich, dass die Musterlösung einen Weg, der
möglichst einfach und entsprechend sicher ist, bereitstellt.
Dies scheint mir bei WLAN im blauen (also einem zweiten) Netz, auch wenn
es mit RADIUS kombiniert ist (siehe [3]), nicht gegeben.
Da durch die FW-Regel von Blau => Grün ein Zugriff auf das grüne Netz
vorhanden ist.
Dann kann ich mir auch gleich das blaue Netz sparen (in meinen Augen).

Gruss

Dirk

Referenzen:
[1] https://www.myshn.com/ldd/pdf/logodidact.pdf - S. 486 f.
[2] https://www.myshn.com/ldd/pdf/logodidact.pdf - S. 495 ff.
[3]
https://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:radius-accesspoint-blau
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Temporärer Einsatz von WLAN

[Holger Baumhof]

Hallo Dirk,

>> Ein Accesspoint in Grün gibt den Server von innen mannigfaltigen
>> Angriffen preis: mach das so nicht.
>>
> 
> Warum?
> 
> Btw: Das selbe gilt auch für die normalen Clients (also die vorhandenen
> Computer) im grünen Netz, diese haben die gleichen Möglichkeiten. Denn
> das WLAN ersetzt nur das Netzwerkkabel.

nein: nicht nur.
Erstmal hängen am grünen Netz nur "meine" Rechner.
Wenn jemand ein anderen anschließt, so könnte das auffallen.
Die Nutzerrechte an "meinen" Rechnern kann ich beschränken: da hab ich
mehr Kontrolle.
Fremde Rechner können alles mögliche.
Mir ist klar, dass ich auch einen Schulrechner vom Grünen NEtz trenen,
meinen eigenen hin stellen und die IP des Schulrechners nehmen kann:
dann bin ich auch drin: das ist aber nochmal eine ganz andere Nummer,
als wenn ich "ganz legal" mit meinem eigenen Laptop im Grünen Netz bin
und ganz gemütlich das Netz scanne und Schwachstellen am Server abklopfe.
Hinzu kommt, dass, wenn man die APs nicht extra konfiguriert, sich mein
Netz über die Grenzen des Schulgebäudes ausbreitet: da kann also auch
jemand der z.B. Nachts vor der Schule sitzt ins interne Netz: und sei es
nur, dass er die IPs meiner Drucker raus bekommt und irgendeinen Mist
druckt, bis das Papier alle ist.. Dann muss ich alle Drucker
umkonfigurieren, damit die nur noch vom server Aufträge annehmen ..

> Was spricht gegen das Szenario "Access Point mit WPA Enterprise Radius
> Authentifizierung im internen Netz" (in Kurz: grün+AP+RADIUS)? Sowie es
> beispielsweise unter [1] beschrieben wird.

dagegen spricht nichts: das kann man schon so machen: das Schutzlevel
ist da meines Erachtens hoch genug.
Aber darum ging es hier nicht, sondern um APs in Grün die per
öffentlichem WPA2 Schlüssel Zugang gewähren: wenn ich den WPA2 Key auf
irgendwelchen Kisten, die nicht Linux sind, hinterlege, oder ihn den
Kollegen Nenne, dann ist der öffentlich: alles andere widerspricht
meiner Erfahrung.

> Wenn man WLAN eigentlich am sichersten betreiben möchte, bleibt
> eigentlich nur eine RADIUS-Authentifikation mit entsprechendem
> Zertifikat, siehe zum Beispiel die Konfiguration wie sie unter [2]
> angegeben ist.

ja, das ist schon OK, aber bisher hat noch niemand WPA Enterprise für
uns mal umgesetzt und dokumentiert: von daher steht uns das erstmal
nicht zur Verfügung.

> Zum Schluss: Eigentlich dachte ich, dass die Musterlösung einen Weg, der
> möglichst einfach und entsprechend sicher ist, bereitstellt.
> Dies scheint mir bei WLAN im blauen (also einem zweiten) Netz, auch wenn
> es mit RADIUS kombiniert ist (siehe [3]), nicht gegeben.
> Da durch die FW-Regel von Blau => Grün ein Zugriff auf das grüne Netz
> vorhanden ist.

das ist nicht richtig, da es zwar die Möglichkeit einer Weiterleitung
von Port von Blau nach grün gibt (das kann die Firewall halt) aber außer
dem Port für LDAPs kein Port weitergeleitet wird.
Und der Port wird bei uns ja nicht "aus Blau" weitergeleitet, sondern
aus dem violetten Netz, in dem keine APs sind, sondern nur IPFire und
Coovaserver.

> Dann kann ich mir auch gleich das blaue Netz sparen (in meinen Augen).

.. das sehe ich gar nicht so.
Ich denke was du gerade meinst ist die Weiterleitung von einzelnen Ports
durch den Coova hindurch nach Grün: was manche hier beschrieben haben:
auch die sambaports und die 631 fürs Drucken.
Das ist so in der Doku nirgendwo beschrieben und wird bestimmt nicht
empfohlen.
Das kann man so machen, dann ist es aber eben .. nicht so gut.
Das muss jeder Admin selber wissen: bei mir gibt es keinerlei Ports von
Blau nach Grün: in keiner meiner Einrichtungen.
Wer aus Blau an seine Daten möchte, möge die owncloud bemühen.


Viele Grüße

Holger

PS: ich freu mich immer über deine gut dokumentierten kritischen
Anmerkungen, auch wenn die logodidact Doku dafür herhalten mußte.
Aber so hatte ich nochmal die Gelegenheit zu sagen, was ich von Blau
nach Grün weitergeleiteten Ports halte :-)
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] linbo 2.3.3 - Probleme

[Thorsten Koslowski]

Hallo Stefan!

Ich habe eine Hardware-Gruppe mit einem ebenfalls merkwürdigen Verhalten. Immer 
mal wieder (eher selten) zeigen ein paar Rechner das von dir geschilderte 
Verhalten.

Lösung (Workaround): Rechner stromlos machen für 5 Sek. Danach starten sie 
wieder. Warum? Antwort: Weiß nicht! 

Beste Grüße

Thorsten

 eingesetztes System 
LINUXMUSTER.NET
Die _freie_ Linux Musterlösung 
#

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user