Guten Tag,
wie bereits hier berichtet, habe ich nach meinem Linbo 4.2.16-Problem nun ein Problem mit der Vertrauensstellung zwischen meinen Clients (die eigentlich seit über einem Jahr sauber liefen) und dem Server.
Zunächst ging es los, dass linuxmuster-linuxclient7 status
sagte, dass der Domain Join „FAILED“ wäre. Eine Anmeldung mit Domain-Usern ging entsprechend nicht. Was ich dann gemacht habe: linuxmuster-linuxclient7 setup
ausgeführt. Läuft mit Erfolg durch. Anschließend unmittelbar
- Neustart
- Image erstellt und hochgeladen
- Neustart
- Image synchronisiert und Linux Mint gestartet
Anschließend sagt linuxmuster-linuxclient7 status
folgendes:
root@213pc02:~# linuxmuster-linuxclient7 status
[INFO] #### linuxmuster-linuxclient7 status ####
[INFO] Linuxmuster-linuxclient7 is setup!
[INFO] Testing if domain is joined...
[INFO] Checking joined domains
[INFO] Joined domains:
[INFO] * lmn7.meine-schule.de
[INFO] Testing if the domain join actually works
[INFO] * Checking if the group "domain users" exists
[INFO] * Trying to get a kerberos ticket for the Computer Account
[INFO] The domain join is working!
[INFO] #### linuxmuster-linuxclient7 is fully setup and working! ####
So weit, so gut. Leider funktioniert die Anmeldung an der Mint GUI dann noch immer nicht. Versuche ich mich mit einem Domänen-Nutzer am Cinnamon-Desktop anzumelden, bekomme ich folgende Fehlermeldung:
Vorweg: die Zeit auf Client und Server ist identisch incl. Zeitzone. Der Client bekommt die Zeit per systemd-timesyncd (timedatectl).
Ich habe nun schon diverse alte Threads zu diesem und ähnlichen Themen durch und finde bisher die Lösung nicht. Wie gesagt: bis zu meinem linbo 4.2.16-Problem liefen dieselben Clients (seit dem nur mal ein apt update && apt dist-upgrade
gemacht, aber auch das alte Image läuft nicht mehr) seit über einem Jahr problemlos.
Weitere Infos: systemctl status sssd
gibt Fehler aus:
root@213pc02:~# systemctl status sssd
● sssd.service - System Security Services Daemon
Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; preset: enabled)
Drop-In: /etc/systemd/system/sssd.service.d
└─override.conf
Active: active (running) since Mon 2025-06-30 17:57:48 CEST; 17min ago
Main PID: 1364 (sssd)
Tasks: 5 (limit: 18644)
Memory: 74.4M (peak: 79.3M)
CPU: 1.346s
CGroup: /system.slice/sssd.service
├─1364 /usr/sbin/sssd -i --logger=files
├─1365 /usr/libexec/sssd/sssd_be --domain lmn7.meine-schule.de --uid 0 --gid 0 --logger=files
├─1366 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files
├─1367 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files
└─1368 /usr/libexec/sssd/sssd_pac --uid 0 --gid 0 --logger=files
Jun 30 17:58:45 213pc02 sssd[2129]: ; TSIG error with server: tsig verify failure
Jun 30 17:58:45 213pc02 sssd[2129]: update failed: SERVFAIL
Jun 30 17:58:45 213pc02 sssd[2129]: ; TSIG error with server: tsig verify failure
Jun 30 17:58:45 213pc02 sssd[2129]: update failed: SERVFAIL
Jun 30 17:58:45 213pc02 sssd[2134]: ; TSIG error with server: tsig verify failure
Jun 30 17:58:45 213pc02 sssd[2134]: update failed: SERVFAIL
Jun 30 17:58:45 213pc02 sssd[2134]: ; TSIG error with server: tsig verify failure
Jun 30 17:58:45 213pc02 sssd[2134]: update failed: SERVFAIL
Jun 30 17:58:46 213pc02 sssd[2139]: ; TSIG error with server: tsig verify failure
Jun 30 17:58:46 213pc02 sssd[2139]: update failed: SERVFAIL
Auch linuxmuster-linuxclient7 print-logs
ist unglücklich:
2025-06-30T17:58:31.773397+02:00 213pc02 linuxmuster-linuxclient7: [INFO] ====== onLogin started ======
2025-06-30T17:58:31.790390+02:00 213pc02 linuxmuster-linuxclient7: [INFO] Cleaning linuxadmin gtk bookmarks
2025-06-30T17:58:31.852788+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:31.856414+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:31.860014+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:31.863381+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:31.867119+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:31.938341+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:31.941948+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:31.945698+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:31.948699+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:31.952255+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:31.956702+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] Calculating mountpoint of //server.lmn7.meine-schule.de/sysvol
2025-06-30T17:58:31.974549+02:00 213pc02 systemd[1]: sssd-pam-priv.socket: Start request repeated too quickly.
2025-06-30T17:58:31.974699+02:00 213pc02 systemd[1]: sssd-pam-priv.socket: Failed with result 'exit-code'.
2025-06-30T17:58:31.974773+02:00 213pc02 systemd[1]: Failed to listen on sssd-pam-priv.socket - SSSD PAM Service responder private socket.
2025-06-30T17:58:31.974866+02:00 213pc02 systemd[1]: Dependency failed for sssd-pam.socket - SSSD PAM Service responder socket.
2025-06-30T17:58:31.974940+02:00 213pc02 systemd[1]: sssd-pam.socket: Job sssd-pam.socket/start failed with result 'dependency'.
2025-06-30T17:58:31.992419+02:00 213pc02 systemd[1]: Starting sssd-sudo.service - SSSD Sudo Service responder...
2025-06-30T17:58:31.996961+02:00 213pc02 systemd[1]: Started sssd-sudo.service - SSSD Sudo Service responder.
2025-06-30T17:58:32.032954+02:00 213pc02 sssd_sudo[1997]: Starting up
2025-06-30T17:58:32.137763+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] Calculating mountpoint of //server.lmn7.meine-schule.de/sysvol
2025-06-30T17:58:32.139905+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] Trying to mount //server.lmn7.meine-schule.de/sysvol to /srv/samba/jhe/sysvol
2025-06-30T17:58:32.141142+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] * Creating directory...
2025-06-30T17:58:32.142515+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] * Executing /usr/sbin/mount.cifs -o file_mode=0700,dir_mode=0700,sec=krb5,nodev,nosuid,mfsymlinks,nobrl,vers=3.0,user=jhe,domain=LMN7.meine-schule.de,gid=692600513,uid=692601178,cruid=692601178 //server.lmn7.meine-schule.de/sysvol /srv/samba/jhe/sysvol
2025-06-30T17:58:32.143641+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] * Trying to mount...
2025-06-30T17:58:32.153846+02:00 213pc02 kernel: CIFS: enabling forceuid mount option implicitly because uid= option is specified
2025-06-30T17:58:32.153854+02:00 213pc02 kernel: CIFS: enabling forcegid mount option implicitly because gid= option is specified
2025-06-30T17:58:32.153855+02:00 213pc02 kernel: CIFS: Attempting to mount //server.lmn7.meine-schule.de/sysvol
2025-06-30T17:58:32.155245+02:00 213pc02 cifs.upcall: key description: cifs.spnego;0;0;39010000;ver=0x2;host=server.lmn7.meine-schule.de;ip4=10.32.1.1;sec=krb5;uid=0x2948415a;creduid=0x2948415a;user=jhe;pid=0x7d4;upcall_target=app
2025-06-30T17:58:32.155333+02:00 213pc02 cifs.upcall: ver=2
2025-06-30T17:58:32.155351+02:00 213pc02 cifs.upcall: host=server.lmn7.meine-schule.de
2025-06-30T17:58:32.155363+02:00 213pc02 cifs.upcall: ip=10.32.1.1
2025-06-30T17:58:32.155374+02:00 213pc02 cifs.upcall: sec=1
2025-06-30T17:58:32.155385+02:00 213pc02 cifs.upcall: uid=692601178
2025-06-30T17:58:32.155398+02:00 213pc02 cifs.upcall: creduid=692601178
2025-06-30T17:58:32.155416+02:00 213pc02 cifs.upcall: user=jhe
2025-06-30T17:58:32.155429+02:00 213pc02 cifs.upcall: pid=2004
2025-06-30T17:58:32.155442+02:00 213pc02 cifs.upcall: upcall_target=app
2025-06-30T17:58:32.155468+02:00 213pc02 cifs.upcall: upcall_target=app, switching namespaces to application thread
2025-06-30T17:58:32.156187+02:00 213pc02 cifs.upcall: get_cachename_from_process_env: pathname=/proc/2004/environ
2025-06-30T17:58:32.156204+02:00 213pc02 cifs.upcall: get_cachename_from_process_env: cachename = FILE:/tmp/krb5cc_692601178_78l8Ol
2025-06-30T17:58:32.156252+02:00 213pc02 cifs.upcall: get_existing_cc: default ccache is FILE:/tmp/krb5cc_692601178_78l8Ol
2025-06-30T17:58:32.156270+02:00 213pc02 cifs.upcall: handle_krb5_mech: getting service ticket for server.lmn7.meine-schule.de
2025-06-30T17:58:32.156282+02:00 213pc02 cifs.upcall: handle_krb5_mech: using native krb5
2025-06-30T17:58:32.177711+02:00 213pc02 cifs.upcall: handle_krb5_mech: obtained service ticket
2025-06-30T17:58:32.177818+02:00 213pc02 cifs.upcall: Exit status 0
2025-06-30T17:58:32.227982+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] * Success!
2025-06-30T17:58:32.256905+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] Calculating mountpoint of //server.lmn7.meine-schule.de/sysvol
2025-06-30T17:58:32.258365+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] Saving export SYSVOL=/srv/samba/jhe/sysvol to tmp file
2025-06-30T17:58:32.352227+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:32.355985+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:32.359533+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:32.363383+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:32.366402+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:32.370217+02:00 213pc02 linuxmuster-linuxclient7: [FATAL] * Error when loading applicable GPOs! Shares and printers will not work.
2025-06-30T17:58:32.373653+02:00 213pc02 linuxmuster-linuxclient7: [INFO] === Running local hook onLogin ===
2025-06-30T17:58:32.456144+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:32.459615+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:32.463147+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:32.466625+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:32.470153+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:32.520681+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:32.524350+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:32.527256+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:32.530311+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:32.533760+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:32.539337+02:00 213pc02 linuxmuster-linuxclient7: [INFO] == Executing script /etc/linuxmuster-linuxclient7/onLogin.d/00_example.sh ==
2025-06-30T17:58:32.553753+02:00 213pc02 linuxmuster-linuxclient7: [INFO] ==> Script /etc/linuxmuster-linuxclient7/onLogin.d/00_example.sh finished with exit code 0 ==
2025-06-30T17:58:32.557237+02:00 213pc02 linuxmuster-linuxclient7: [INFO] ===> Finished running local hook onLogin ===
2025-06-30T17:58:32.560549+02:00 213pc02 linuxmuster-linuxclient7: [INFO] === Running remote hook onLogin ===
2025-06-30T17:58:32.634639+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:32.637914+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:32.641422+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:32.645069+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:32.648383+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:32.651879+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Could not execute server hooks because the user config could not be read
2025-06-30T17:58:32.655337+02:00 213pc02 linuxmuster-linuxclient7: [INFO] ===> Finished running remote hook onLogin ===
2025-06-30T17:58:32.658267+02:00 213pc02 linuxmuster-linuxclient7: [INFO] ======> onLogin end ======
klist -k
gibt folgendes aus:
root@213pc02:~# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 213PC02$@LMN7.MEINE-SCHULE.DE
3 213PC02$@LMN7.MEINE-SCHULE.DE
3 213PC02$@LMN7.MEINE-SCHULE.DE
3 213PC02$@LMN7.MEINE-SCHULE.DE
3 host/213PC02@LMN7.MEINE-SCHULE.DE
3 host/213PC02@LMN7.MEINE-SCHULE.DE
3 host/213PC02@LMN7.MEINE-SCHULE.DE
3 host/213PC02@LMN7.MEINE-SCHULE.DE
3 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
3 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
3 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
3 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
3 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE
3 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE
3 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE
3 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE
3 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
3 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
3 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
3 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
(Echte Domain gegen MEINE-SCHULE.DE getauscht.)
Weitere Infos:
- Ein
kinit global-admin
funktioniert. - In der /etc/resolv.conf steht nur der LMN-Server mit der richtigen Search-Domain (lmn7.meine-schule.de) drin.
- Was ich auch schon ausprobiert habe: alle Recher des Computerraums aus der devices.csv auskommentiert > linuxmuster-import-devices > LDAP mit Apache Directory Studio angesehen (alle PC’s weg) > Clients wieder einkommentiert > linuxmuster-import-devices > Domain join neu > Image erstellen > Upload > Sync > Start. Ohne Erfolg
- Hangele ich mich auf dem Mint Client in der Gui über den Datei-Browser Netzwerk > Server > … durch, kann ich mich mit demselben Nutzer wie bei der Desktop-Anmeldung anmelden und sehe auch alle Server-Verzeichnisse.
Mein Problem könnte dasselbe sein, dass @Cosmicos vor einem halben Jahr hier berichtete.
Hat jemand eine Lösungsidee? Das SSO mit dem Proxy auf der OpnSense funktioniert so nämlich natürlich auch nicht.
Besten Dank!
Jens