ldap-Authentifzierung scheitert


#21

Hallo Rüdiger,

die Ausgabe von sophomorix-dump-pg2ldap sieht eigentlich gut aus.
(OK der ldap kann nicht gestoppt werden, weil er garnicht läuft, nehme
ich an?)

ldap läuft: das hat Christian geprüft.


service slapd restart

Stopping OpenLDAP slapd [ OK ]
Starting OpenLDAP slapd [ OK ]

service slapd status

slapd is running

Was tut denn nicht?

er kann ishc nicht anmelden: weder Nextcloud noch moodle, mrbs oder an
Clients.

Läuft der ldap?

ja.

das seltsame: er kann ein Passort mittels
sophomorix-passwd -u nutzer --passwd=geheim
setzen: dann geht die Anmeldung (überall getestet, außer Client)

LG

Holger


#22

Hallo,

es ist wie, Holger sagt.

Leider nein. ich kann mich noch immer mit dem geänderten Paswort anmelden. Das ist seltsam.
Immer wenn ich den Status des ldap prüfe. läuft er. Im Moment:

11:27/0 server ~ # service slapd status
 * slapd is running
11:27/0 server ~ #

Der Inhalt von /usr/share/sophomorix/config-templates/ldap/local-gen.ldif

dn: dc=paedml-linux,dc=lokal
objectClass: dcObject
objectclass: organization
o: linuxmuster
dc: paedml-linux

dn: ou=accounts,dc=paedml-linux,dc=lokal
objectClass: organizationalUnit
ou: accounts

dn: ou=groups,dc=paedml-linux,dc=lokal
objectClass: organizationalUnit
ou: groups

dn: ou=machines,dc=paedml-linux,dc=lokal
objectClass: organizationalUnit
ou: machines

dn: sambaDomainName=SCHULE,dc=paedml-linux,dc=lokal
objectClass: sambaDomain
objectClass: sambaUnixIdPool
sambaDomainName: SCHULE
sambaSID: S-1-5-21-3439935181-3630571775-2585900985
uidNumber: 1000
gidNumber: 1000

Das sieht in meinen Augen richtig aus. Da ich ursprünglich mal von paedml 5.1 auf einen neuen Server mit lmn 6.0 (im Moment 6.2) umgezogen bin, steht da noch der alte Name “paedml”.

Gruß ch


#23

Hallo Christian,

Passwortänderung ging, nicht mehr. Stimmts?

Leider nein. ich kann mich noch immer mit dem geänderten Paswort
anmelden. Das ist seltsam.
Immer wenn ich den Status des ldap prüfe. läuft er. Im Moment:

11:27/0 server ~ # service slapd status * slapd is running 11:27/0
server ~ # |

Vorsicht: slapd ist nicht gleich ldap.
Also prüf auch, ob der ldap läuft.

LG

Holger


#24

Könnte auch sein, dass im postgres andere Passwörter stehen wie erwartet:
z. B.

  1. Passwortänderung im ldap (Moodle, …) -> greift nur im ldap
  2. sophomorix-dump-pg2ldap: Passwörter aus postgres sind wieder im ldap

Nur wenn mit sophomorix-paswd das passwort geändert wird übersteht es den dump


#25

Hallo,

Oh danke für den Hinweis:
Ein ldapsearch -x -H ldaps://10.16.1.1
bringt einiges: Hier nur der Beginn. Ich gehe also davon, dass der ldap läuf:

# extended LDIF
#
# LDAPv3
# base <dc=paedml-linux,dc=lokal> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# paedml-linux.lokal
dn: dc=paedml-linux,dc=lokal
objectClass: dcObject
objectClass: organization
o: linuxmuster
dc: paedml-linux

# accounts, paedml-linux.lokal
dn: ou=accounts,dc=paedml-linux,dc=lokal
objectClass: organizationalUnit
ou: accounts

# groups, paedml-linux.lokal
dn: ou=groups,dc=paedml-linux,dc=lokal
objectClass: organizationalUnit
ou: groups

# machines, paedml-linux.lokal
dn: ou=machines,dc=paedml-linux,dc=lokal
objectClass: organizationalUnit
ou: machines

# SCHULE, paedml-linux.lokal
dn: sambaDomainName=SCHULE,dc=paedml-linux,dc=lokal
objectClass: sambaDomain
objectClass: sambaUnixIdPool
sambaDomainName:: U0NIVUxFIA==
sambaSID: S-1-5-21-3439935181-3630571775-2585900985
uidNumber: 1000
gidNumber: 1000

# administrator, accounts, paedml-linux.lokal
dn: uid=administrator,ou=accounts,dc=paedml-linux,dc=lokal
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sophomorixData
objectClass: top
objectClass: sambaSamAccount

… und die Einträge vom Dummy-User:

hu, accounts, paedml-linux.lokal
dn: uid=hu,ou=accounts,dc=paedml-linux,dc=lokal
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sophomorixData
objectClass: top
objectClass: sambaSamAccount
sambaSID: S-1-5-21-3439935181-3630571775-2585900985-26854
cn: chris hu
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: chris hu
sambaHomePath: \\server\hu
sambaHomeDrive: H:
description: chris hu
description: chris hu
sambaPrimaryGroupSID: S-1-5-21-3439935181-3630571775-2585900985-21001
uidNumber: 12927
uid: hu
gidNumber: 10000
givenName: chris
sn: hu
homeDirectory: /home/teachers/hu
gecos: chris hu
loginShell: /bin/bash
sophomorixstatus: R
mail: hu@paedml-linux.lokal

ein netstat -a bringt z.B. :

tcp        0      0 *:ldaps                 *:*                     LISTEN
tcp        0      0 server.paedml-linu:ldap b1r218-pc20.paedm:52408 VERBUNDEN 

Das Passwort des Dummy-Users wurde mit sophomorix-paswd geändert. Ansonsten wurden keine PWs, die ich getestet habe, geändert.

Gruß ch


#26

Ist vielleicht eine Partition zu 100% belegt?

df -h

sollte Aufschluss geben.

Gruß

Alois


#27

Hallo Alois,

Platz gibt es genug :smile:


#28

Hallo zusammen,

ich denke gerade ein paar Optionen durch:
Kann ich ein linuxmuster-migration-restore machen und dabei alles außer den Home-Verzeichnissen zurückspielen. Beim Migration-Backup kann man ja per exclude.conf Dateien etc. ausschließen. Geht das beim Restore auch? Das würde viel Zeit sparen…

Gruß ch


#29

Hallo Christian,

merkwürdig ist, dass beim Dump der Ldap-Server nicht gestoppt werden
kann, obwohl vorher der Status “running” ergab.

Wenn Du “service slapd stop” sagst - ist dann unter /var/run/slapd noch
was zu sehen? Falls ja, einfach mal löschen, slapd starten und den Dump
nochmal versuchen.

Zu Deinem Vorgehen: Du solltest noch die Ordner mit den Mails ausnehmen
(natürlich nur, falls Ihr das verwendet): Im Ordner /var/spool die
Ordner sieve, postfix und cyrus.

Viele Grüße

Jörg


#30

Hallo zusammen,

ich hab noch ein wenig rumprobiert, bin aber auf keine weiteren Fehlermeldungen gestoßen (evt. ändere ich das loglevel in der slapd.conf noch mal, aber der wird dann seeeehr gesprächig).

Wenn Du “service slapd stop” sagst - ist dann unter /var/run/slapd noch
was zu sehen? Falls ja, einfach mal löschen, slapd starten und den Dump
nochmal versuchen.

In /var/run ist nix, sobald der slapd gestoppt ist. Ein weiterer Dump hat nix gebracht.

Allerdings habe ich mal versucht, mich mit meinem Dummy-Schüler-Account an der Cloud anzumelden.
Das hat funktioniert. Das heißt, dass scheinbar nur die Passwörter der Lehrer betroffen sind.
Wenn ich in der Schulkonsole ein Lehrerpasswort auf das Erstpasswort zurücksetze, dann klappt der Login wieder.
Das werde ich, wenn mir nix mehr einfällt, für alle Lehrer machen. Ich habe mir mal die Passwortliste der Lehrer angeschaut. Bei den meisten sieht es so aus, als hätten sie ihr Erstpasswort ohnehin nie geändert (obwohl ich das immer wieder anmerke). Die werden dann wahrscheinlich gar nix merken. Alle andern bekommen dann am Montag halt das Zettelchen mit Login und PW.

Vielen, vielen Dank für die Unterstützung.

Viele Grüße

christian


#31

Hallo Christian,

Allerdings habe ich mal versucht, mich mit meinem Dummy-Schüler-Account
an der Cloud anzumelden.
Das hat funktioniert. Das heißt, dass scheinbar nur die Passwörter der
Lehrer betroffen sind.

… ist das der dummy user, dessen Passwort du per sophomorix-passwd
geändert hattest?
Dann bringt das leider nichts, weil sophomorix-passwd das Passwort im
ldap und in der postgress DB ändert: deswegen “überlebt” das den dump.

Genau das selbe passiert, wenn du jetzt einen neuen user anlegst.
Rückschlüsse sind so nicht möglich.

LG

Holger


#32

Hallo Holger,

nein, das war ein ganz anderer Account. Das war ein Schüler-Account, den ich vor einiger Zeit mal angelegt hatte, um was auszuprobieren. An dem hab ich nichts geändert.

Gruß ch


#33

Hallo zusammen,

nach ein wenig Hektik heute morgen wegen des Verteilens der zurückgesetzten Passwörter der Lehrer (über die Hälfte hat tatsächlich gar nix gemerkt) bleibt eigentlich nur noch eine Merkwürdigkeit zu erwähnen. Die Schüler konnten sich problemlos anmelden. Hier hatte ich die PWs nicht zurück gesetzt. Offenbar waren wirklich nur die Lehrerpasswörter betroffen. Ansonsten sind bislang keine Unregelmäßigkeiten im Betrieb aufgefallen.
Glück im Unglück.

Dank allen für’s die Unterstützung

Viele Grüße

christian


#34

Hallo Christian,

nach ein wenig Hektik heute morgen wegen des Verteilens der
zurückgesetzten Passwörter der Lehrer (über die Hälfte hat tatsächlich
gar nix gemerkt) bleibt eigentlich nur noch eine Merkwürdigkeit zu
erwähnen. Die Schüler konnten sich problemlos anmelden. Hier hatte ich
die PWs nicht zurück gesetzt. Offenbar waren wirklich nur die
Lehrerpasswörter betroffen. Ansonsten sind bislang keine
Unregelmäßigkeiten im Betrieb aufgefallen.

das hätte ich so nicht erwartet …
Ich freu mich für dich :slight_smile:

LG

Holger


#35

Hallo Christian @chuber ,

sorry daß ich mich erst jetzt melde.
Wie ich weiß hast du Windows-Clients.
Frag mal das Kollegium wie Sie das Passwort geändert haben.
Ich bin vor kurzen drauf gekommen, wenn das Passwort in Windows mit dem Affengriff
geändert wurde geht das sehr lange gut, warum auch immer.
Plötzlich (eventuell nach einem sophomorix-check usw.) sind die Passwörter die mit dem
Affengriff geändert wurden wieder auf dem Erstpasswort.
Seit ich für das Kollegium eine Anleitung geschrieben habe wie Sie über die Schulkonsole die Änderung machen müssen, gibt es keine Probleme mehr.
Viele Grüße
Manfred


#36

Hallo Manfred,

deshalb muss man das Ändern via “Affengriff” abschalten.

Gruß

Alois


#37

Hallo,

Wie ich weiß hast du Windows-Clients.
Frag mal das Kollegium wie Sie das Passwort geändert haben.
Ich bin vor kurzen drauf gekommen, wenn das Passwort in Windows mit dem
Affengriff
geändert wurde geht das sehr lange gut, warum auch immer.
Plötzlich (eventuell nach einem sophomorix-check usw.) sind die
Passwörter die mit dem
Affengriff geändert wurden wieder auf dem Erstpasswort.

… nicht zwingend das Erstpasswort sondern das letzte, das man mit der
SchuKo geändert hat.
Grund ist: es wird nur im ldap geändert, nicht in der pg.
Sobald ein dump gelaufen ist, ist das Passwort “falsch”.

sophomorix ändert es in beiden Datenbanken.

LG

Holger


#38

Hallo Manfred,

Auf den meisten Rechnern läuft mittlerweile Ubuntu, das alte XP lass ich noch laufen, bis ich den Leo2-Client fertig aufgesetzt habe (das wollte ich eigentlich in den Ferien machen, wäre mir da der Stromausfall nicht in die Quere gekommen).

Danke für den Hinweis zur Passwortänderung. Eigentlich habe ich meine Kollegen darauf hingewiesen, das PW nur in der Schulkonsole zu ändern und das in meiner Anleitung auch explizit so angegeben. Aber es kann sicher nicht schaden, hier noch mal auf deutlich darauf hinzuweisen, keine PW-Änderung per “Affengriff” zu machen.

Gruß ch


#39

Hallo zusammen,

so langsam tauchen doch noch Probleme auf:
Nach der Anmeldung fehlen die Dateien der Lehrer (in den Serverhomes sind sie aber vorhanden). Ich dachte zuerst an falsch gesetzte Berechtigungen und habe mal via Schulkonsole die Home des Lehrer reparieren lassen: ohne Effekt.
Testweise habe ich mal versucht, per Horde auf die Daten zuzugreifen und bekomme die Fehlermeldung:
“Anmeldung beim SMB-Server fehlgeschlagen.”

In den Logs konnte ich dazu auf die Schnelle keine Infos finden.

Der smbd läuft. Den habe ich mal neu gestartet. Keine Veränderung.

Ach ja, Die Homes der Schüler werden ohne Probleme gemountet.

Hat jemand ne Idee??

Viele Grüße

Christian

Bei den Schülern dagegen werden die Homes gemountet.


#40

Ich antworte mir mal selbst. Ich glaube, ich habe den Fehler gefunden.
Habe mal sophomorix-check laufen lassen und da wurden mir alle Lehrer als removable/killable angezeigt. d.h.: Die lehrer.txt ist leer!
Also hab ich aus dem Backup die lehrert.txt. wieder hergestellt und sophomorix drüberlaufen lassen und jetzt werden die Lehrerhomes wieder ordentlich eingebunden.

Damit ist auch geklärt, warum das Problem nur die Lehrer betroffen hat.

200w

Viele Grüße

ch