HILFE! Plötzlich keine Domänenanmeldung unter Win und Linux möglich

Hallo zusammen,

ich hab jetzt noch ein paar Versuche gemacht und möchte die Ergebnisse hier schreiben. In meinen Augen ergeben sich hier ein paar neue Fragen.

Vorgehen:

• Ich habe auf dem Linux-Client 1 (lmn-bionic-200507) die Datei /etc/kbr5.keytab und auf dem Server die Datei lmn-bionic-200507.cloop.macct gelöscht.
• Dann linuxmuster-client-adsso-setup ausgeführt, ein neues Image erzeugt und hochgeladen und anschließend die Linux-Clients synchronisiert gestartet.

Die Anmeldung lief auf allen (zwei) Clients

• Jetzt habe ich auf dem Client 1 Windows gestartet. Ich habe mich nicht angemeldet.

Auf dem anderen Client 2 war ich noch unter Linux angemeldet. Plötzlich hat mir Firefox den Proxy-Anmeldedialog gezeigt.
Nach dem Abmelden konnte ich mich nicht mehr anmelden.

Auf dem Client 1, auf dem Windows gestartet wurde lief alles.
Nach einem Neustart mit Linux war auch dort ein Anmelden nicht mehr möglich.
Auch nach einem synchronisierten Start kann man sich in Linux nicht mehr anmelden.

Da stellen sich folgende Fragen:
Wie kann sich ein MACCT, der beim Start von Windows auf Client 1 auf den AD kopiert wird, auf den Client 2 auswirken?
Für welche Clients wird das MACCT auf den AD kopiert?

Was mich interessieren würde:
Bei wem laufen Clients mit Linux und Windows ohne diese Problem? Bitte schreibt, wie ihr das gemacht habt.
Bei wem läufts auch nicht?

Holger, du hast geschrieben, dass bei dir alles läuft. Wie bist du vorgegangen? Weist du das noch oder ist es schon sehr lange her?

Ich möchte mich bereits jetzt für eure Antworten bedanken.

Gruß,
Mathias

Ich hab mir mal die Stelle angeschaut, an der der MACCT auf den AD kopiert wird:
Linux

/usr/bin/ldbmodify --url=/var/lib/samba/private/sam.ldb --nosync --verbose --controls=relax:0 --controls=local_oid:1.3.6.1.4.1.7165.4.3.7:0 --controls=local_oid:1.3.6.1.4.1.7165.4.3.12:0 /var/tmp/lc-r01_macct.2235

Windows

/usr/bin/ldbmodify --url=/var/lib/samba/private/sam.ldb --nosync --verbose --controls=relax:0 --controls=local_oid:1.3.6.1.4.1.7165.4.3.7:0 --controls=local_oid:1.3.6.1.4.1.7165.4.3.12:0 /var/tmp/lc-r01_macct.3263

Die sehen ziemlich gleich aus, was gut ist, da das ja für den Client 1 gelaufen ist.

Die Zuordnung, für welchen Client das MACCT gespeichert werden soll findet man in /var/tmp/lc-r01_macct.3263:

Linuxstart:

root@server:/var/tmp# cat /var/tmp/lc-r01_macct.2243 
dn: CN=LC-R01,CN=Computers,DC=linuxmuster,DC=lan
changetype: modify
replace: unicodePwd
unicodePwd:: 3TbIVPqfahLWjHPs3LY4Gg==
replace: supplementalCredentials
supplementalCredentials:: AAAAALALAAAAAAAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAA

Windowsstart

root@server:/var/tmp# cat /var/tmp/lc-r01_macct.3395 
dn: CN=LC-R01,CN=Computers,DC=linuxmuster,DC=lan
changetype: modify
replace: unicodePwd
unicodePwd:: uruRAaM/QN51EYyZcz3W5A==
replace: supplementalCredentials
supplementalCredentials:: AAAAAHAKAAAAAAAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAI

Interessant wäre also, wie sieht die Datei bei denen aus, bei denen das System läuft.

Gruß,
Mathias

Hallo Matthias,

ich habe heute im Seminar mit meinem Netzwerkerkurs mit meiner
Schulungsumgebung gearbeitet.
Die war vor ein paar MOnaten noch mit 4 Clients bestückt: 2 Windows only
und zwei ubuntu only.
Nach meinen Tests bei der Mitgliederversammlung dieses Jahr hab ich sie
umgestellt: dazu habe ich die beiden ubuntuclients weggeworfen und ide
start.confs der winclients um weitere Parititonen erweitert und das
ubuntu dazu geklont.

Nun weiß ich nicht mehr, ob ich danach mit dem ubuntu nochmal beitreten
musste oder nicht, aber ich kann sagen; das funktioniert seit Monaten so.

Jetzt mach doch mal folgendes:

1. nenn einen Client in der devices.csv um: er soll einen Namen
   bekommen, den es noch ie in deiner lmn gab: nenn ihn karlspc01
2. lösch alle Partitionen auf dem Client, bevor du linbo startest.
3. partitionier ihn mit linbo und spiel windows zurück.
4. Anmelden geht? wenn ja ->
5. spiel das ubuntu Image zurück
6. Anmelden geht? falls ja: andere Clients testen, falls nein->
7. lokal die /etc/kbr5key.tab dingens löschen und nochmal
   linuxmuster-client-adsso laufen lassen
8. auf dem server die linuximage.cloop.macct Datei löschen oder wegbewegen
9. Image erstellen
10. Image auf dem Client zurückspielen
11. an dem Client anmelden: wenns geht: auf anderen clients testen.

LG

Holger

Hallo Holger,

ich habe die Clients von lc-rxx in test-rxx umbenannt habe und die Festplatten gelöscht und durch neue Festplatten resetzt habe bin ich wie folgt vorgegangen:

1. Festplatte mit linbo partitioniert und Neustart.
2. Formatiert partitioniert und windows synchronisiert gestartet.
   Anmeldung hat geklappt.
3. Linux gesynct gestartet
   Anmeldung hat nicht geklappt
4. Als linuxadmin kbr5.keytab gelöscht und linuxmuster-client-adsso laufen gelassen.
5. Auf dem Server die .macct-Datei gelöscht.
6. Image erstellt.
7. Linux synchronisiert gestartet
   Anmeldung ging
8. Windows gestartet.
   Anmeldung ging
9. Linux gestartet.
   Anmeldung ging nicht

Dann habe ich ein ganz neues System aus den ova-Dateien aufgesetzt:

1. Auf einem Client ein Windows aufgesetzt und in die Domäne eingebunden.
   Anmeldung ging,
2. Auf dem Client einen linuxclient aufgespielt.
   Anmeldung ging
3. Windows gestartet.
   Anmeldung ging.
4. Linux gestartet.
   Keine Anmeldung
5. Linux synchronisiert gestartet.
   Keine Anmeldung

Es ist mir ein Rätsel, wie du das mit dem Dualboot gemacht hast.
Hast du an Linbo etwas geändert?
In meinen Augen funktioniert das Übertragen des MACCT auf den AD nicht bei Linux.

Übrigens:
Beim Runterladen des Linux-Clients mit dem linuxmuster-client-servertools musste ich das Volume für /var/cache vergrößern, da sonst /var/cache voll läuft.

Gruß,
Mathias

Bei mir ebenfalls. Ich habe schon zig mal das Linux neu aufgespielt, da ich immer davon ausgegangen bin das ich einen Fehler mache…

Diesen Umstand habe ich bereits gemeldet. Das ist eine unschöne Falle wenn man (wie ich) nicht damit rechnet, dass die Partitionsgröße noch nicht einmal für ein Cloop reicht.

Hallo Mathias,

Es ist mir ein Rätsel, wie du das mit dem Dualboot gemacht hast.
Haus du an Linbo etwas geändert?

nein.
Es ist nur schon eine Weile her, als ich das gemacht hatte.

In meinen Augen funktioniert das Übertragen des MACCT auf den AD nicht
bei Linux.

ich hab mal nachgeschaut: in meiner Umgebung (das ist die, die ich auch
als ova herausgebe) ist linbo 2.3.57 drin.

Ich mach mal ein update auf das aktuelle linbo und teste nochmal.

LG

Holger

Hallo Holger,

Ich bin gespannt …
Gruß,
Mathias

Hallo,

baumhof:

Ich mach mal ein update auf das aktuelle linbo und teste nochmal.

Ich bin gespannt …

ich habe aktualisiert: linbo 2.3.63

Dann habe ich einen vorhandenen Client partitioniert und windows
gesynct: Domanmeldung geht Laufwerke da.
Dann habe ich den gleichen Client rebootet und ubuntu gesynct:
Domanmeldung geht Laufwerke da.

die macct Dateien sind unterschiedlich groß: unicodePW und
supementalCredentials sind unterschiedlich.

Dann habe ich eienn reboot gemacht und windows ungesynct gebootet:
Anmeldung geht, Laufwerke da. (Anderer Nutzer als vorher)
Dann reboot und ubuntu ungesynct gestartet: wieder anderer Nutzer:
Anmeldung geht, Laufwerke da.

einziger Hinweis: meine Rechnernamen haben keine „-“ im Namen, sie
heißen: r100pc01 und r100pc02

Vielleicht mal Rechnernamen ohne „-“ probieren?

Was steht den bei euch in der /etc/krb5.conf auf dem Client?

LG

Holger

Hallo Holger,

Ich hab meine Rechner statt lc-r01 in lcr01 umbenannt.
Geändert hat sich leider nichts.
Aber mir ist aufgefallen, dass bei der Umbenennung eine Warnmeldung kam, die gesagt hat, dass die Rechner lc-r01 und lc-r02 nicht existieren.
Ich hab dann mal in LDAP reingeschaut:

LDAP944×1061 74.3 KB

server;server;nopxe;08:00:27:d0:ac:ab;10.16.1.1;;;;addc;;0;;;;SETUP;
server;firewall;nopxe;08:00:27:2C:F0:23;10.16.1.254;;;;server;;0;;;;SETUP;
info;lcr01;dual;08:00:27:CA:40:0C;10.16.100.1;;;;classroom-studentcomputer;;1;;;;;
info;lcr02;dual;08:00:27:B2:09:FF;10.16.100.2;;;;classroom-studentcomputer;;1;;;;;

Fällt dir da was auf?

Da steht das:

root@lcr01:~# cat /etc/krb5.keytab 
NLINUXMUSTER.LANhostlc-r01.linuxmuster.lan^�s�>�C�p��>LINUXMUSTER.LANhostLC-R01^�s�>�C�p��NLINUXMUSTER.LANhostlc-r01.linuxmuster.lan^�s�>�C�p��>LINUXMUSTER.LANhostLC-R01^�s�>�C�p��VLINUXMUSTER.LANhostlc-r01.linuxmuster.lan^�s)�w+�e�/E#�ą�SFLINUXMUSTER.LANhostLC-R01^�s)�w+�e�/E#�ą�SfLINUXMUSTER.LANhostlc-r01.linuxmuster.lan^�s) �?BJw?\D�k��7oJ����ju���[Fh9VLINUXMUSTER.LANhostLC-R01^�s* �?BJw?\D�k��7oJ����ju���[Fh9VLINUXMUSTER.LANhostlc-r01.linuxmuster.lan^�s*/j���\�^��1/�DFLINUXMUSTER.LANhostLC-R01^�s*/j���\�^��1/�D[LINUXMUSTER.LANrestrictedkrbhostlc-r01.linuxmuster.lan^�s�>�C�p��KLINUXMUSTER.LANrestrictedkrbhostLC-R01^�s�>�C�p��[LINUXMUSTER.LANrestrictedkrbhostlc-r01.linuxmuster.lan^�s�>�C�p��KLINUXMUSTER.LANrestrictedkrbhostLC-R01^�s�>�C�p��cLINUXMUSTER.LANrestrictedkrbhostlc-r01.linuxmuster.lan^�s*�w+�e�/E#�ą�SSLINUXMUSTER.LANrestrictedkrbhostLC-R01^�s*�w+�e�/E#�ą�SsLINUXMUSTER.LANrestrictedkrbhostlc-r01.linuxmuster.lan^�s* �?BJw?\D�k��7oJ����ju���[Fh9cLINUXMUSTER.LANrestrictedkrbhostLC-R01^�s* �?BJw?\D�k��7oJ����ju���[Fh9cLINUXMUSTER.LANrestrictedkrbhostlc-r01.linuxmuster.lan^�s*/j���\�^��1/�DSLINUXMUSTER.LANrestrictedkrbhostLC-R01^�s*/j���\�^��1/�D9LINUXMUSTER.LANLC-R01$^�s�>�C�p��9LINUXMUSTER.LANLC-R01$^�s�>�C�p��ALINUXMUSTER.LANLC-R01$^�s*�w+�e�/E#�ą�SQLINUXMUSTER.LANLC-R01$^�s* �?BJw?\D�k��7oJ����ju���[Fh9ALINUXMUSTER.LANLC-R01$^�s*/j���\�^��1/�D

Gruß,
Mathias

Hallo Mathias,

entferne mal testweise aus der macct-Datei des Linuxcloops die Zeilen

replace: supplementalCredentials
supplementalCredentials:: AAAAA...

Starte Windows und danach Linux.

VG, Thomas

Hallo Matthias,

Was steht den bei euch in der /etc/krb5.conf auf dem Client?

Da steht das:

root@lcr01:~# cat /etc/krb5.keytab
NLINUXMUSTER.LANhostlc-r01.linuxmuster.lan^�s�>�C�p��>LINUXMUSTER.LANhostLC-R01^�s�>�C�p��NLINUXMUSTER.LANhostlc-r01.linuxmuster.lan^�s�>�C�p��>LINUXMUSTER.LANhostLC-R01^�s�>�C�p��VLINUXMUSTER.LANhostlc-r01.linuxmuster.lan^�s)�w+�e�/E#�ą�SFLINUXMUSTER.LANhostLC-R01^�s)�w+�e�/E#�ą�SfLINUXMUSTER.LANhostlc-r01.linuxmuster.lan^�s)
�?BJw?\D�k��7oJ����ju���[Fh9VLINUXMUSTER.LANhostLC-R01^�s*
�?BJw?\D�k��7oJ����ju���[Fh9VLINUXMUSTER.LANhostlc-r01.linuxmuster.lan^�s*/j���\�^��1/�DFLINUXMUSTER.LANhostLC-R01^�s*/j���\�^��1/�D[LINUXMUSTER.LANrestrictedkrbhostlc-r01.linuxmuster.lan^�s�>�C�p��KLINUXMUSTER.LANrestrictedkrbhostLC-R01^�s�>�C�p��[LINUXMUSTER.LANrestrictedkrbhostlc-r01.linuxmuster.lan^�s�>�C�p��KLINUXMUSTER.LANrestrictedkrbhostLC-R01^�s�>�C�p��cLINUXMUSTER.LANrestrictedkrbhostlc-r01.linuxmuster.lan^�s�w+�e�/E#�ą�SSLINUXMUSTER.LANrestrictedkrbhostLC-R01^�s�w+�e�/E#�ą�SsLINUXMUSTER.LANrestrictedkrbhostlc-r01.linuxmuster.lan^�s*
�?BJw?\D�k��7oJ����ju���[Fh9cLINUXMUSTER.LANrestrictedkrbhostLC-R01^�s*
�?BJw?\D�k��7oJ����ju���[Fh9cLINUXMUSTER.LANrestrictedkrbhostlc-r01.linuxmuster.lan^�s*/j���\�^��1/�DSLINUXMUSTER.LANrestrictedkrbhostLC-R01^�s*/j���\�^��1/�D9LINUXMUSTER.LANLC-R01$^�s�>�C�p��9LINUXMUSTER.LANLC-R01$^�s�>�C�p��ALINUXMUSTER.LANLC-R01$^�s�w+�e�/E#�ą�SQLINUXMUSTER.LANLC-R01$^�s
�?BJw?\D�k��7oJ����ju���[Fh9ALINUXMUSTER.LANLC-R01$^�s*/j���\�^��1/�D |

steht da wirklich so viel Kauderwelsch drin?
Wenn ich da ein cat drauf mache, dann stehten da nur 3 oder 4 Zeilen…

LG

Holger

Hallo Thomas,
zunächst mal vielen Dank für deine Antwort.

Hab ich gemacht. Leider war unter Linux die Anmeldung nicht möglich.
Im log /var/log/linuxmuster/linbo/rsync-pre-download.log steht:

### rsync pre download begin: Mo 6. Jul 12:40:40 CEST 2020 ###
HOSTNAME: lcr01.linuxmuster.lan
IP: 10.16.100.1
RSYNC_REQUEST: linbo/lmn-bionic-200507.cloop.macct
FILE: /srv/linbo/lmn-bionic-200507.cloop.macct
PIDFILE: /tmp/rsync.3173
EXT:* .macct
Machine account ldif file: /srv/linbo/lmn-bionic-200507.cloop.macct
Host: lcr01
DN: CN=LCR01,OU=info,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
Modified CN=LCR01,OU=info,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
Modified 1 records successfully
RC: 
### rsync pre download end: Mo 6. Jul 12:40:40 CEST 2020 ###

Im LDAP-Baum unter CN=LCR01,OU=info,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan findet man die Attribute unicodePwd und supplementalCredentials nicht.

Ist das richtig so oder könnte da das Problem liegen?

Gruß,
Mathias

Hallo Holger,

ja, so kams raus …
Gruß,
Mathias

In dem Fall ist es der Account mit $, also lcr01$.

Im Logfile sieht das ja gut aus.
Wichtig ist auf jeden Fall, dass man nach dem Domänenbeitritt als erstes in Linbo bootet und ein Image erstellt und nicht zwischendrin das andere BS startet. Wurde das so gemacht?

VG, Thomas

Ja, ursprünglich habe ich Linux installiert, in der Domäne angemeldet, sofort ein Image gemacht und den Client synchronisiert gestartet. Dann habe ich das Image auf den anderen Client gespielt.
Bis dahin lief alles gut.
Dann habe ich das gleiche mit Windows gemacht. Auch dort lief alles super.
Nach einem unsynchronisierten Start von Linux hat dann aber die Anmeldung nicht mehr funktioniert.
Auch nach einem synchronisierten Start von Linux ging die Anmeldung nicht.

Wo im LDAP-Baum findet man lcr01$? Da müssten doch die Attribute unicodePwd und supplementalCredentials stehen, oder?

Gruß,
Mathias

Hallo Matthias,

tut mir wirklich Leid, dass das so viel Probleme bei euch macht:
hoffentlich finden wir den Grund bald …

steht da wirklich so viel Kauderwelsch drin?

ja, so kams raus …

mach doch mal folgendes (sorry: schon wieder ein test, keien Lösung):

1. ubuntu gesynct booten
2. /etc/kbr5.keytab und kbr5.conf löschen
3. linuxmsuter-client-adsso laufen lassen (Fehlermeldung? Kommt die
   Abfrage des global-admin Passwortes?)
4. macct Datei auf server wegnehmen (löschen/verschieben)
5. direkt nach linuxmuster-client-adsso rebooten und Image erstellen
6. auf anderem Client testen.

LG

Holger

Halle Holger,
ich hab die Punkte 1 bis 6 durch. Anmeldung geht auf beiden Clients.
Nach dem Start von Windows (ohne Anmeldung) und anschließendem Start von Linux geht die Anmeldung unter Linux nicht mehr

Wie kann ich den aktuellen MAccT ( unicodePwd und supplementalCredentials) vom AD auslesen?
Ich vermute, dass da was falsch läuft.

Gruß,
Mathias

Hallo Thomas, hallo Holger,
ich hab mir eben den LDAP-Baum angeschaut. Dabei ist mir aufgefallen, dass der Rechner lcr01 nicht mehr drin ist:

Irgend was läuft da schief…
Gruß,
Mathias

Hallo Mathias,

ich hab die Punkte 1 bis 6 durch. Anmeldung geht auf beiden Clients.
Nach dem Start von Windows (ohne Anmeldung) und anschließendem Start von
Linux geht die Anmeldung unter Linux nicht mehr

auch nach sync start nicht?

LG

Holger

Hallo Mathias,

den DN des Computeraccounts bekommst du mit
ldbsearch --url /var/lib/samba/private/sam.ldb "(&(sAMAccountName=lcr01$))"

Vielleicht hilft Rechner aus devices.csv raus, import-devices, Rechner wieder rein, import-devices.

Ansonsten mal @jeffbeck antriggern.

VG, Thomas