Ahaaaa! @thomas kann es sein, dass LINBO die extended attributes (xattrs) beim Sync unterschlägt?
Auf dem funktionierenden master-client:
root@server-test01:/home/linuxadmin# getcap /usr/libexec/sssd/krb5_child
/usr/libexec/sssd/krb5_child cap_dac_read_search,cap_setgid,cap_setuid=p
Auf dem geclonten client:
root@server-test03:/var/log/sssd# getcap /usr/libexec/sssd/krb5_child
(leerer Output)
Das würde die Problematik erklären!
Edit: Jawoll, das ist das Problem! Ich habe eben auf meinem Masterclient einen rotstart gemacht und jetzt fehlen dort die caps auch.
Also: das Problem ist, dass LINBO die extended file attributes beim Sync liegen lässt und sie so im Image fehlen. Dadurch hat das sssd krb5_child nicht die nötigen capabilities, um unter den erhöhten Sicherheitsvorkehrungen in systemd zu starten. Mit kerberos oder KVNO hat das Ganze nichts zutun.
@thomas du musst also in LINBO einbauen, dass die xattrs auch synchronisiert werden
VG,
Dorian