Dieser Bericht wurde 2022 in Auftrag gegeben und wurde jetzt übermittelt.
# DebianEdu Client für LinuxMuster
Der ursprüngliche Auftrag umfasste die Entwicklung eines LinuxMuster Clients auf Basis von DebianEdu.
Dazu wurde zunächst eine virtualisierte Testumgebung aufgesetzt, auf der sowohl der LinuxMuster 7.1 Server als auch einige LinuxMuster Client-Installationen getestet werden sollten. Bereits bei der Installation des Servers kam es zu Problemen beim grafischen Installationsprozess, die jedoch durch eine alternative Installationsmethode noch umgangen werden konnten. Die Installation eines Muster-Clients über PXE gestaltete sich jedoch aufgrund weiterer Fehler in der Installationsumgebung trotz erheblichen Aufwands bei der Fehlersuche als unmöglich. Ein entsprechender Fehlerbericht wurde wegen vorgeblich fehlender Reproduzierbarkeit geschlossen, auf erneutes Feedback Anfang diesen Jahre erfolgte keine weitere Antwort.
# LinuxMuster Server 7.1
LinuxMuster 7.1 Server verwendet Ubuntu 18.04 als Grundlage. Für diese Version von Ubuntu wurde der kostenlose Standard-Support am 31. Mai 2023 [eingestellt][1], um im Rahmen des Extended Security Maintenance (ESM) die für den Produktiveinsatz nötigen Sicherheitsupdates zu erhalten, ist ein kostenpflichtiges Abonnement für [Ubuntu Pro notwendig][2].
Erst die Version 7.2 wird [auf Ubuntu 22.04 umsteigen][3], allerdings befindet sich diese zur Zeit noch im [Beta-Stadium][4] und ist von den Entwicklern ausdrücklich „nicht für den produktiven Einsatz freigegeben“[^1].
Die Installation des Servers erfolgt in drei Schritten, zunächst wird Ubuntu nach bestimmten Vorgaben auf dem Zielsystem installiert. Danach müssen zunächst eine [Basis-Konfiguration][4] und [Installationsvorbereitung][5] vorgenommen werden, beides ist im wesentliche eine lange Abfolge von Kommandos, die von Nutzer jeweils abgetippt und ggf. angepasst werden müssen, sowie Instruktionen Konfigurationsdateien zu editieren. Die Ausführung des Skripts `lmn-prepare` im nicht-interaktiven Modus (mit der Option `-u`) schlug zunächst fehl, weil `pvcreate` versucht den Benutzer zu fragen, ob gefundene Signaturen überschrieben werden sollen. Für einen nicht-interaktiven Aufruf wäre ein Aufruf von `pvcreate -y` nötig. Dies musste zum erfolgreichen Beenden des Skripts erst behoben werden.
Die manuelle Konfiguration des Zielsystems ist sowohl zeitaufwändig als auch fehleranfällig, zu möglichen Fehlern beim Abtippen kommen noch fehlerhafte Kommandos in der Dokumentation hinzu[^2]. Zudem ist Konfiguration damit auch nicht reproduzierbar und das Skript `lmn-prepare` ist nicht idempotent. Fehler können im Nachhinein schwer feststellbar und schwer zu beheben sein. Vergleichbare Systeme wie z.B. DebianEdu vermeiden diese Probleme durch eine Kombination von Installationsskripten, Paket-Skripten, Konfigurationsmanagement und der Verwendung von Versionskontrollsystemen für Konfigurationsdateien, so dass Installationen halb- oder voll automatisiert und reproduzierbar durchgeführt werden können.
Schließlich gibt es für das Aufsetzen des Servers zwei Möglichkeiten, zum einen über die Weboberfläche „Schulkonsole“ und zum anderen in der Konsole. Ersteres erfordert das Einloggen auf der Weboberfläche von einem externen Rechner, um danach eine Reihe von Fragen zu beantworten und den Server entsprechend zu konfigurieren. Dies war jedoch nicht möglich, nach Eingabe von Benutzernamen und Passwort reagiert der Server nicht mehr, alle weiteren Anfragen führen zu einem Timeout. Nach einer Fehlersuche ließ sich dies auf eine unbehandelte Ausnahme zurückführen, die von einem Fehler beim Aufruf von `samba-tool` herrührt. Im Support-Forum finden sich zahlreiche Berichte über dieses Problem[^3], jedoch ohne eine Lösung.
Ein Ausführen der alternativen Setup-Skripts `linuxmuster-setup` an der Konsole im nicht-interaktiven Modus (mit der Option `--unattended`) verlief nicht korrekt[^4], es wurde trotz Angabe eines Passworts mit der `--adminpw=` Option interaktiv nach einem Passwort gefragt, der Setup-Prozess konnte jedoch nach der Eingabe des Passworts erfolgreich abgeschlossen werden.
# LinuxMuster Client 7.1
Um LinuxMuster Clients zu installieren wird zunächst auf dem Server eine entsprechende Hardwareklasse angelegt und konfiguriert und ein Client aufgenommen, auf dem der Muster-Client installiert werden soll. Dann wird dieser zur Partitionierung mit der Linux-basierten Imaging-System LINBO 4.0.44 via PXE gebootet, ein Betriebssystem installiert und im Anschluss mit Hilfe von LINBO den Inhalt der Festplatte auf den Server überträgt, der daraus ein Erstimage erstellt. Weitere Clients können dann wieder mit LINBO dieses Image installieren.
Zur Datenübertragung läuft auf dem LinuxMuster Server ein rsync-Dienst auf Port 873/tcp. Dieser Dienst wird sowohl zur Auslieferung von Dateien an die LINBO-Umgebung als auch zum Transfer des Images auf den Server verwendet. Da dafür keinerlei Transportverschlüsselung verfügbar ist, besteht hier das Risiko eines Angriffs aus dem internen Netzwerk.
Beim Bootvorgang der Client-Rechners kommt es zu einem Fehler in LINBO der das Herunterladen von Konfigurationsdateien via rsync verhindert, so dass weder am Anfang die Partitionierung vorgenommen noch am Ende das Image auf den Server kopiert werden kann. Es wurde ein entsprechender [Fehlerbericht][6] übermittelt, der aufgrund vorgeblich fehlender Reproduzierbarkeit geschlossen wurde. Auf eine spätere Ergänzung mit einer genauen Fehlerdiagnose erfolgte bislang keine Reaktion. Dieser Fehler verhinderte eine weiter Arbeit mit LinuxMuster.
[3]: https://docs.linuxmuster.net/de/v7.2/about/what-is-new.html#what-is-new-label
[6]: https://github.com/linuxmuster/linuxmuster-linbo7/issues/93
[^1]: <https://docs.linuxmuster.net/de/v7.2/about/what-is-new.html>; (abgerufen am 12.2.2023)
[^2]: so schlägt z.B. auf <https://docs.linuxmuster.net/de/v7.1/installation/install-from-scratch/lmn_pre_install.html#server-auf-lmn7-1-vorbereiten>; das Kommando `sudo wget -qO- "https://deb.linuxmuster.net/pub.gpg" | gpg --dearmour -o /usr/share/keyrings/linuxmuster.net.gpg` fehl, weil das `sudo` falsch platziert ist
[^3]: <https://ask.linuxmuster.net/t/authentication-failed-webui-server/9671>;
<https://ask.linuxmuster.net/t/timeout-bei-anmeldung-im-webui/10277>;
<https://ask.linuxmuster.net/t/einloggen-in-schulkonsole-nach-update-nicht-mehr-moeglich/10070>;
[^4]: verwendetes Kommando: `linuxmuster-setup --unattended --servername="server" --domainname="linuxmuster.lan" --dhcprange="10.0.0.100 10.0.0.200" --schoolname="Musterschule" --location="Musterstadt" --country="de" --state="SH" --adminpw="linuxmuster" --skip-fw`
(Geändert von Ralf Krause - Originaleintrag Dienstag, 20. August 2024, 10:54)