Wie habt ihr die Anbindung an die Domäne gemacht?

Ich hatte mir gedacht, es wäre schön es wie unter Windows zu haben, d.h. die User können sich am Client mit ihrem Windows-Login einloggen. Da hakt es gerade noch bei der Umsetzung.

@theo 

LDAP unter Linux ist nun auch kein Hexenwerk. Die RDP Anmeldung läuft ohne nicht ohne erneute Anmeldung, SSO halte ich persönlich in diesem Szenario für eine Sicherheitslücke.

@einmalnoch SSO war (noch) nicht in Planung, ich wollte dass die User sich am Client mit Ihrem Login aus der Domäne am Linux anmelden können. Wie dem auch sein, ich bin definitiv in der Domäne, der erste Anmeldeversuch mit Remmina ist aber gescheitert.

Ich werde heute/morgen Abend einmal eine aktuelle Version des "Wasta Linux" hochladen und eine kurze Anleitung schreiben. An sich hab ich OS bei relativ vielen Installationen bisher verwendet. Ich werde der Ubersichtlichkeit halber dann einen neuen Post öffentlich stellen...

Eine Domänen-Anmeldung hab ich nicht bedacht, war mir auch egal. Ich lasse die PCs oft komplett ohne "Personalisierung". Ich benne den User am Client 1 einfach TU1, am Client 2 dann TU2 (TU=Terminal-User).

Die Einwahl mittels Remmina unterscheidet dann die "Einwahl" zum Terminal-Server. Hier kann ja entsprechend eine ganze Tabelle von Usern angelegt werden und das Kennwort per Abfrage realisiert werden.

Dem Client gebe ich einfach ein "Gruppen-Kennwort" für alle User "gleich".

Ich nutze diese Clients auch teils für HomeOffice, per OpenVPN-Client. Hier sollte einem nur bewusst sein, dass die Anbindung von Druckern halt nicht in der Vielfalt wie in der Windows-Welt möglich ist.

Habe div. RDP-Clients versucht. Tadellos ist Remmina, Platz 2 "Parallels". Aber Remmina gefällt mir am besten.

Mint und WastaLinux sind im Prinzip super ähnlich. Warum habe ich mich für WastaLinux entschieden? Weil es eine einfache Möglichkeit gibt, sein individuelles Installations-ISO zu remastern.

Linux auch als RDP-Client mit DATEV-SmartCard

Dank "winWasta", einem angepassten „Respin“ von Wasta Linux (Ubuntu-Based), dessen Desktop auf einem optimiertem Cinnamon beruht (Windows 7 Optik), lässt sich auch auf schwächerer Hardware richtig „flott“ arbeiten.

Reichlich vorinstallierte Software, ein komplett vorkonfiguriertes Benutzerprofil, hohe Performance und maximale Stabilität zeichnen Wasta-Linux aus.

winWasta ist zur Nutzung als RDP-Client mittels Remmina inkl. Unterstützung von (DATEV) SmartCards und Multi-Monitor-Betrieb vorkonfiguriert. Die Nutzung von Remmina inkl. Multimonitor Nutzung: Displays waagerecht / hochkant / Mischbetrieb und Skalierungsmöglichkeit ist möglich. Ein Durchreichen von SmartCards (z.B. DATEV mIDentity), lokaler Drucker, lokaler USB-Sticks funktioniert von haus.

Mail & Groupware Lösung „Evolution“, LibreOffice und alles, was man so benötigt ist vorinstalliert.

Installation:

• ISO Datei auf USB-Stick "brennen"
• SecureBoot im BIOS des Gerätes ggf. deaktivieren
• Vom USB-Stick booten, Auf dem gestarteten Desktop "installieren" klicken

Die Installation ist selbsterklärend.

Nach erfolgreicher Installation einmalig eine Konsole (Terminal) öffnen und eingeben:
" sh /opt/windmannIT/Skript/Remmina-Config.sh" OHNE " " und ohne sudo. Damit wird Remmina als RDP-Client für den User beispielhaft konfiguriert

Im Ordner /opt/windmannIT/Skript/ befinden sich noch weitere spezielle Skripte auf die ich hier allerdings nicht eingehen möchte... Wer meint, schaut sie sich selber an.

Als Fernwartungssoftware dieser Clients verwende ich DWAgent...

Wer sich einen Fernwartungs-PC, einen Satteliten im Netzwerk im Headless-Modus (ohne Display) vorstellen kann oder seine Eigene Distro remastern will, wird hier auch einen Einblick erhalten.

Remmina: Tastenkürzel festgelegt auf: (Weils diese weder in DATEV noch in Estos etc. so gibt)

=> PAUSE + F4 Fenster trennen
=> PAUSE + F9 Fenster minimieren

Der Link zum ISO: https://drive.google.com/file/d/1PH_dxEUZZJzXgp3cEGad1et8RyvmLGTM/view?usp=sharing Oder über meine Website.

@LS4B Danke. Probier ich nächste Woche gleich mal aus. 

@LS4B ,

wow ! toll !

Ich habe die ISO mal 'spaßeshalber' heruntergeladen und habe Wasta-Linux auf einem 'unproduktiven' PC installiert, also auf einem PC, der nicht für den 'produktiven' Einsatz benötigt wird ...

... und die Installation hat tatsächlich auf Anhieb funktioniert ... selbsterklärend ...

das bedeutet:

wenn ich das schaffe, kann das jeder schaffen !

... gut möglich, dass ich so viel Spaß mit dieser Linux-Edition haben werde, dass ich so nach und nach und mehr und mehr auch 'produktive' Arbeiten damit erledige  

Wenn dieses Angebot nicht so 'niedrigschwellig' und 'barrierefrei' gewesen wäre, hätte ich es momentan wahrscheinlich gar nicht erst versucht 

Danke, @LS4B  !

@LS4B 

Wir sind ebenfalls begeistert, lief out-of-the-box mit Smartcard 👌

Vielen Dank, @LS4B ! 👍

Da eine Ubuntu-Pro-Registrierung (ESM bis 2034; Kernel Livepatch...) in Wasta (und auch Mint) grundsätzlich möglich sein soll:  Halten Sie das für sinnvoll / empfehlenswert oder raten Sie davon ab? 

Erstell den Stick mit "Balena Etcher" oder einem geeigneten Tool "Etcher" funktioniert tadellos!

@LS4B Vielen Dank, die ersten Tests liefen ganz hervorragend. 3 PCS vor der geplanten Obsoleszenz gerettet.

Typo durch @Dirk_Jendritzki auf Wunsch des Autors geändert.

Nachtrag: Beim Dualschirm-Betrieb taucht manchmal ein kleiner Grafikfehler in Form eines hellen Strichen an einem Bildschirmrand auf.

=> Taste: Pause + S behebt dieses Problem (Skalierung)

@LS4B Vielen Dank, die ersten Tests liefen ganz hervorragend. 3 PCS vor der geplanten Obsoleszenz gerettet.

4 PCs. 

Es ist an sich eine Schande, was da im Rahmen der Windows 10 Abkündigung so passiert. Im gewerblichen Umfeld "ok" - Du bist halt auf deine Branchen-Software angewiesen, die unter Windows läuft - aber für @home, für Surfen, Mailen & Co... Schlimm! -Eine Produktion von Elektroschrott.

Schade das Linux in der Nische bleibt...

Schade das Linux in der Nische bleibt...

Aber auch nur auf dem Desktop. Bei Servern, Embedded, Supercomputern und Handys ist es die pure Dominanz. 

Deine Distri ist auf jeden Fall der Game Changer. Viel leichter loslegen kann man gar nicht. Für unsere Zwecke fehlte nur noch der Telefon Client und ggf. fürs Home Office das VPN. 

Ich hab die Tage ein paar neue Windows 11 PCs mit vorinstalliertem OS im Betrieb genommen. Das hat ungleich länger gedauert und dabei viel weniger Spaß gemacht. 

VPN ist an sich auch inbegriffen... Also IPSec und OpenVPN und div andere. Telefonie bin ich leider "raus"... Da hab ich wenig Ahnung von.

An Windows 11 nervt mich als Dienstleister so ungemein, dass ganze Update-Verhalten..., die Vielzahl an "Klicks" bei der Einrichtung und Co...

Zumindest für meinen Part, was ich täglich brauche: Fernwartung zum Kunden, Mail und Groupware, Rechnungsschreibung und Warenwirtschaft kann ich alles zu 100% unter Linux abdecken. Klar, es dauert halt und hat viel Zeit benötigt um sich selber zurecht zu finden (komme ja auch aus der Windows-Welt) - aber inzwischen arbeite ich hiermit sogar echt lieber 😉 

Man könnte versuchen, so etwas auf ein RollingRelease-Linux drauf zu "kleben". Auf ein Arch etc.. Dann gäbe es gar keinen Versionssprung mehr, der nicht "inplace" funktioniert.

Das Problem ist die Kombination aus "Distro" + "Cinnamon" + "Remastern" und EINFACH für mich / den User...

Ich versuche mal uas Spass ein Arch Linux mit Cinnamon Desktop aufzusetzen (was anderes kommt für mich leider in Frage) und die Remaster-Fähigkeit zu implementieren.

SmartCard blah blah, wird man bestimmt wieder zusammenfummeln können. Ich hab ja inzwischen mehr Plan, was ich so an Software brauche. Es wird schneller der Punkt finden => Macht es Sinn das weiter zu verfolgen oder nicht.

---

@LS4B  schrieb:

Man könnte versuchen, so etwas auf ein RollingRelease-Linux drauf zu "kleben". Auf ein Arch etc.. Dann gäbe es gar keinen Versionssprung mehr, der nicht "inplace" funktioniert.

Ich hatte nicht an Upgrades, die je nach Konfig bei Ubuntu & Mint wenig Probleme machen sollen, sondern an lfd. Inkonsistenzen bei den Paketen gedacht. Da Anpassungen doch sehr weitreichend sind (z.B. Snap-Abschaltung👍 in Mint), hätte mich interessiert, welche Erfahrungen es mit der Freischaltung von Ubuntu-Pro in anderen Distros gibt.

Ich versuche mal uas Spass ein Arch Linux mit Cinnamon Desktop aufzusetzen (was anderes kommt für mich leider in Frage) und die Remaster-Fähigkeit zu implementieren.

Cinnamon ist optisch schon cool, übersichtlich, intuitiver als Gnome und nicht so überladen wie KDE (das offenbar einen Boom erlebt -> Cachy / Tuxedo). Mein Favorit ist Xfce, da sehr schnell, Menü gut anpassbar und Startparameter für Programme (z.B. Browser, Email) einfach & schnell hinzugefügt werden können.

Ich verstehe, warum Arch eine große Fangemeinde hat, würde das für den Linux-Einstieg jedoch nicht empfehlen, da nach meinem persönlichen Eindruck dazu mehr Wissen & Beschäftigung erforderlich und auch das Fehlerpotential erhöht ist. Die Beliebtheit von bspw. Manjaro und EndeavourOS scheint eine größere Schwankungsbreite zu haben, was vielleicht daran liegt, dass Anwender bei Problemen schneller überfordert sind. Das Rolling-Modell ist sehr in Mode; für den geschäftlichen Einsatz sollte LTS die bessere Wahl sein.

----

Eigene Notizen aus einer Vortragsveranstaltung: 

> Viele PPAs unter Ubuntu führen recht schnell zu einer Instabilität des Systems. 

> Unter Debian soll es spezielle Probleme mit Nvidia-Treibern geben (selten, aber herausfordernd), die sogar sehr erfahrene Anwender in die Flucht schlagen.

> Das Arch User Repository (AUR) sollte man möglichst meiden, da dort Schadsoftware keine Seltenheit ist. 

Ich wurde gefragt, warum wir eigentlich überhaupt Linux und nicht thinclient nutzen, da hatte ich keine konstruktive Antwort außer "Erfahrung" drauf. Hat jemand ThinClients in der Kanzlei im Einsatz? Ich hatte 2017 mal einen gekauft, da ich das von der DATEV gewöhnt war, bin dann aber an der SmartCard gescheitert. Das scheint aber ein lösbares Problem gewesen zu sein...? 

• Zur Freischaltung "Ubuntu-Pro" hab ich keinerlei Erfahrungen.
• Gnome kann ich einfach nicht leiden, KDE ist mir auch einfach zu "dick". XFCE wäre mein "Platz 2". Ich hatte mal Probleme in der Vergangenheit mit dem Betrieb bei Dualbildschirmen. Das fing schon im kleinen an (Festlegen auf welchem Display das Anmeldefenster "stehen" soll. Weil bei Cinnamon fast alles auf Anhieb ging und mir die Optik gefällt, ist mein Liebling geworden.
• Das Arch hab ich gestern verworfen. Im Prinzip geht es einen Respin einer Distro zu machen - aber zu viele "Buggy-Baustellen", die mich genervt haben. Aber es würde funktionieren. SmartCard geht auch hier.
• Weitere PPAs habe ich nicht eingebunden und ich versuche möglichst jede Anwendung mittels Synatic als DEB zu installieren. Erst wenn es nichts gibt, weiche ich auf Flatpak aus.

Was auch gut "funzt": MX-Linux als Basis zu verwenden. Du kannst es dir zusammenbauen wie du willst und dort von Hause auch ein ISO bauen. Die Distro hat ja alles dazu sowieso schon an Board. Aber wie gesagt "XFCE", muss man halt mögen...

Ob man einen ThinClient (neu) kauft oder einen Windows (Fat) Client macht dann preislich auch nix mehr aus. Vorteile beim ThinClient wären (idealerweise) ein zentrales Management und ggfs. ein "Abschließen" in einen read-only Mode.

Solange ich nicht zentral managen möchte, ist es eigentlich egal, ob Windows / Linux / ThinClient. Ob ich zur Verwaltung jetzt für das hier genutzte Linux Ansible oder ähnlich in Betrieb nehme, für Windows ein Active Directory und/oder Entra Id inkl. Intune oder einen fertigen ThinClient mit Managementlösung vom Hersteller, ist am Ende egal. Am einfachsten dürfte in diesem Fall der ThinClient mit Verwaltung per Herstellerlösung sein. Bei den anderen Lösungen hängt es halt vom Know How ab. Für Linux / Windows könnte man dann auch noch auf "RMM Lösungen" / "fertige Endpointverwaltungen" gehen, die eine Verwaltung wieder einfacher machen. Dann hängt es wieder am Preis.

Letztlich hat halt alles Vor- und Nachteile. Kommt halt drauf an was man möchte.

Securitytechnisch wäre der Linux Client (der ThinClient oder Windows Entra Id Client) hier natürlich total simpel in ein eigenes Client (V)LAN zu verbannen und nur tcp 443 zu einem RD Gateway (oder tcp/udp 3389 zum Broker + Worker(n)) zu erlauben.