Thinclient RDP

Hallo,

Client bootet das Image, fährt hoch…

Nun möchte ich, dass er automatisch eine RDP Session startet, wie gehe ich da vor?

Hallo,

1.)
habe bereits gefunden:

lightdm/autologin=yes lightdm/autologin/session=RDP

Habe diese Werte via Policy dem UCC zugeordnet, nur bootet dieser trotzdem nicht die vordefinierte Session.

2.) Muss der DHCP Dienst auf dem Server laufen, auf welchem die UCC Images liegen?? Läuft der DHCP auf einer anderen Maschine, erhalte ich immer folgenden Fehler:


Die Images liegen auf 192.168.0.2, nicht auf 192.168.0.1!!

Installiere ich den DHCP auf dem Server, auf welchem die Images liegen, funktioniert der Boot- Vorgang.

Hallo,
1)
Haben Sie entsprechenden Einstellungen (Windows Terminal Server, Domain, etc.) aus dem UCC Handuch, Kapitel 9.2. RDP terminal services bereits vorgenommen?

Das ist korrekt. Sofern Sie einen alternativen DHCP-Server verwenden möchten, müssten Sie dort lediglich den entsprechenden Boot-Server in der DHCP-Boot Richtlinie eintragen.

Mit freundlichen Grüßen,
Tim Petersen

Gibt es logfiles oder ähnliches am Client, an dem ich feststellen kann, welche Richtlinien auf dem UCC übernommen worden, und warum?

Folgende UCR Richtlinien habe ich gesetzt:

lightdm/autologin=yes lightdm/autologin/session=RDP rdp/server=192.168.0.100

Es wird der normale Desktop gebootet, Benutzeranmeldung erscheint keine…

Verwendet sonst keiner UCC?

Hallo,
einige Rückfragen:

Welches Image wird verwendet, das Thin Client-Image oder das Desktop-Image?

Könnten Sie den Inhalt der /etc/lightdm/lightdm.conf posten?

Außerdem bitte die Ausgabe von univention-policy-result auf die DN des Benutzers, die sich anzumelden versucht.

Mit freundlichen Grüßen,
Moritz Mühlenhoff

Hallo,

gebootet wird: ucc-1.0-thinclient-image.img

ich komme nicht mal zu einem Benutzer- Login, es wird sofort der Desktop gestartet.
Muss das System eigentlich auch noch gejoint werden?

Ja, UCC-Systeme müssen generell immer der Domäne beitreten. Ein ungejointer UCC-Client startet nur eine Gast-Sitzung mit einem temporären Benutzer.

Wir werden das im UCC-Handbuch kurzfristig noch besser hervorheben:
forge.univention.org/bugzilla/s … i?id=30703

Mit freundlichen Grüßen,
Moritz Mühlenhoff

Join Informationen wurden angegeben, wenn ich den Thinclient boote, ist wieder der Gast aktiv…

root@ucsslave:/var/lib/univention-client-boot# ucc-image-set-join-information -i ucc-1.0-thinclient-image.img Username:Administrator Password: Verify password: Domain:TOM.LOCAL

Join Informationen existieren am Thinclient…

Wo finde ich Log- Files, warum nicht gejoint wird…??

Warum kann der Thin- Client überhaupt mit

cat /etc/ucc_join_password

das Passwort des Administrators auslesen??? ALS GAST!!!
Könnte es doch gleich auf jedem Bildschirm pinnen?

Hallo,

Richtlinien (z.B. für die Vorgaben der Benutzersitzung) funktionieren nur bei gejointen UCC Clients. Es gibt mehrere Möglichkeiten einen UCC Client zu joinen.

(a) händisches joinen mit nach der Installation:

univention-join

(b) Joinen während der Installation:
Die Join-Informationen werden hier entweder interaktive abgefragt, oder es wird ein automatischer Join durchgeführt. Dafür muss das Image mit “ucc-image-set-join-information” entsprechend vorbereitet werden. Nach dem Join des Systems werden die Join-Informationen (/etc/ucc_join_password etc.) gelöscht.

Das automatische Joinen wird nur während einer Erstinstallation oder einer Neuinstallation (Startvariante “Image-Boot mit Update-Prüfung/Erstinstallation” plus Neupartitionierung für installierte Systeme) durchgeführt.

In ihrem Fall sollte also ein “univention-join” reichen.

Danke für die Information. Die Berechtigungen der Join-Informationen im Image sind nicht korrekt. Dies wird kurzfristig über forge.univention.org/bugzilla/s … i?id=30819 behoben.

Trotzdem die frage, wo finde ich logdateien, wenn der join nicht klappt bzw. welche richtlinien angewendet wurden?

Was ist, wenn aus einem Grund der join beim rollout nicht klappt, sollte es beim nächsten boot wieder probiert werden?

Der Join-Vorgang wird in /var/log/univention/join.log protokolliert. Die Richtlinien werden auf dem Client in /var/cache/ucc/client-policy-$HOSTNAME}.txt, über Richtlinien vorgegebene UCR Variablen in /etc/univention/base-ldap.conf gespeichert.

Nein, sollte der Domänen-Join bei der Installation nicht klappen, muss er später händisch nachgeholt werden.

steckt hinter UCC auch ein Konzept? Oder wie kann man nur das passwort für den join in das image legen? Es kann ja jeder über tftp das image herunterladen, entpacken und admin passwort auslesen?

Der Punkt Security ist wohl in der Projektplanung untergegangen?

Hallo,

in der Planung wurde natürlich auch auf den Punkt Security geachtet, daher wird in der UCC Dokumentation zum automatischen Join auch darauf eingegangen, dass für den Join-Vorgang ein spezieller Benutzer mit den entsprechenden Berechtigungen angelegt und nach dem Join-Vorgang deaktiviert werden sollte.

docs.univention.de/ucc-manual-1. … :automatic

Der automatische Join ist ja auch optional, das Standardverhalten sieht die Abfrage der Join-Informationen während der Erstinstallation vor . Bei Image-Updates ist übrigens kein erneuter Join nötig, da die benötigen Informationen unabhängig vom Image auf dem Client gespeichert werden.

Der Join-Vorgang wird in /var/log/univention/join.log protokolliert. Die Richtlinien werden auf dem Client in /var/cache/ucc/client-policy-$HOSTNAME}.txt, über Richtlinien vorgegebene UCR Variablen in /etc/univention/base-ldap.conf gespeichert.

Nein, sollte der Domänen-Join bei der Installation nicht klappen, muss er später händisch nachgeholt werden.[/quote]

/var/log/univention/join.log existiert nicht.
In der Datei “etc/univention/base-ldap.conf” am Thinclient werden auch nicht meine gesetzten Variablen angezeigt!

Eine neupartitionierung hat aber über das UDM funktioniert!

Klappt bei Ihnen der “händischen” Join mit “univention-join” auf dem installierten System?

(a) Join während der Installation

Für UCC Clients können in der UMC Boot-Optionen gesetzt werden. Mit der Boot-Option “debugshell=y” am Client wird bei Fehlern während der Installation oder des Join-Vorgang am Ende, vor dem Neustart, eine Shell geöffnet (aus Sicherheitsgründen bietet der UCC Client beim Installations-Problemen standardmäßig nur den Neustart an). Dort sollten in /tmp/ucclog Informationen zu finden.

Zusätzlich verwendet der UCC Client seinen Boot-Server als Syslog-Server. Unter /var/log/syslog auf dem Boot-Server sollten also ebenfalls Informationen zu finden sein:

-> cat /var/log/syslog | grep ucc1 Mar 20 10:19:00 ucc1 (none) logger: Joining the UCC client Mar 20 10:19:24 ucc1 (none) logger: Check DC Master: Mar 20 10:19:32 ucc1 logger: last message repeated 6 times Mar 20 10:19:32 ucc1 (none) logger: Search DC Master: #033[60Gdone Mar 20 10:19:32 ucc1 (none) logger: Check DC Master: * Join failed! * Mar 20 10:19:32 ucc1 (none) logger: ************************************************************************** Mar 20 10:19:32 ucc1 (none) logger: * Message: ssh-login for Administrator@master.w2k12.test failed. Maybe you entered a wrong password. Mar 20 10:19:32 ucc1 (none) logger: ************************************************************************** Mar 20 10:19:32 ucc1 (none) logger: ERROR: Failed to join. ( ssh-login for Administrator@master.w2k12.test failed. Maybe you entered a wrong password.)
(b) Join eines installierten Systems

-> univention-join

Beim händischen Join eines installierten Systems werden weitere Informationen nach /var/log/univention/join.log protokolliert.

Nächster Fehler:


Join per Hand hat aber funktioniert!

ein kinit am ucc client funktioniert auch…

client policies scheinen auch übernommen worden zu sein…

was nun tun?

Was genau ist denn nun der Fehler (autologin nach dem erfolgreichem händischen Join, das die Auto-Join Informationen noch vorhanden sind)?
Könnten Sie noch einmal den Ablauf bis zum Fehler kurz beschreiben (z.B UCC Client angelegt, Image zugewiesen, Auto-Join im Image konfiguriert, …, XYZ funktioniert nicht).

Zur Info:
Beim Join wird lightdm/autologin auf no gesetzt. Nach einem einem Neustart des lightdm (oder des System) sollte dann kein Autologin stattfinden.

[quote=“botner”]Zur Info:
Beim Join wird lightdm/autologin auf no gesetzt. Nach einem einem Neustart des lightdm (oder des System) sollte dann kein Autologin stattfinden.[/quote]

Bei mir ist der Wert immer noch auf “yes”, auch nach dem Join:

Was ich gemacht habe:
Ich habe einen UCC Client im UMC mit den oben im Bild sehenden Einstellungen angelegt.
Neupartitionierung wurde ausgewählt, sowie das ThinClient Image.

Thinclient fährt hoch, bootet via pxe und partitioniert:

Client ist nun hochgefahren, und wird der Domäne gejoint:

Client neu gestartet, nun sollte wie in den Policies am UCC konfiguriert, eine RDP Sitzung starten, aber ich erhalte nur folgenden Fehler:

Mastodon