Linuxclients Anmeldungs-/Domänenproblem

Hallo,

habe gerade festgestellt, dass man sich an einem geklonten Linuxclient nicht mehr anmelden kann, sondern nur am Client, von dem das Image gemacht wurde…der Klon ist offensichtlich nicht mehr in der Domäne. Wenn man am geklonten Client der Domäne beitritt klappt wider alles. Da muss offensichtlich noch irgendwas generalisiert werden…bei Windows wird das ja über regpatches und Linbo erledigt…wie funktioniert das beim Linuxclient?

…oder ist das nur bei mir ein Problem und bei allen anderen Betatestern tut es?

VG

Dominik

push::wink:

Hallo,

das Problem war letztlich trivial zu lösen hat aber drei Tage bis zur Erkenntnis gebraucht! Ich habe meinen lmn6 Client in die lmn7 eingebunden,in die Domäne aufgenommen und geimaged. Am Masterclient hat dann alles funktioniert. Sobald ich das Image auf einen anderen Client ausgerollt habe war dieser nicht mehr in der Domäne. Letztlich habe ich herausgefunden, dass es an der macct-Datei von Linbo lag. Diese musste ich nach dem Domänenbeitritt und dem anschließenden Image löschen, damit sie neu erzeugt wird. Jetzt sieht es so aus, als würde alles klappen.

Gruß

Dominik

1 Like

Hallo,
musstest Du die dann händisch auf jedem geklonten Client löschen? Könnte man das mit einem post-sync Skript automatisieren?

Bei uns steht das Clonen von Linux-Clients demnächst an, allerdings gehen wir nicht von einem “alten” System aus sondern nehmen ein brandneues.

Gruß, Andreas

Hallo Andreas,

…dann seid ihr von diesem Problem gar nicht betroffen! Das Problem entstand dadurch, das die unter lmn6 erzeugte macct-Datei nicht unter der lmn6 neu erzeugt wurde, was aber wegen der neuen Domäne erforderlich gewesen wäre.

VG
Dominik

1 Like

Hallo Dominik,

nur damit ich das richtig im Kopf behalte:

Diese (macct Datei) musste
ich nach dem Domänenbeitritt und dem anschließenden Image löschen, damit
sie neu erzeugt wird.

genauer:
„nach dem Domänenbeitritt und vor dem Image erstellen“, oder?
Dann wird sie beim Image erstellen erzeugt.

LG

Holger

Hi Holger,

ja genau!

LG
Dominik

Hallo zusammen,

ich habe hier auch ein Image (frisch aufgesetzt und dann addsso setup ausgeführt), auf dem ich mich bei verschiedenen Clienten anmelden konnte.
Nun habe ich sonst allerlei installiert und ich kann mich nun nicht mehr neuen Nutzern aus der Domäne auf dem Clienten anmelden. Nun fällt mir auf Beim Erstellen des Images wurde gar keine macct Datei erzeugt. Wofür wird diese Datei benötigt? Ich habe noch ein 32bit Ubuntu genauso aufgesetzt, das funktioniert, hat aber auch keine macct-Datei
Was könnte da falsch sein?

Viele Grüße
Johannes

Hallo,

ich habe hier auch ein Image (frisch aufgesetzt und dann addsso setup
ausgeführt), auf dem ich mich bei verschiedenen Clienten anmelden konnte.
Nun habe ich sonst allerlei installiert und ich kann mich nun nicht mehr
neuen Nutzern aus der Domäne auf dem Clienten anmelden. Nun fällt mir
auf Beim Erstellen des Images wurde gar keine macct Datei erzeugt. Wofür
wird diese Datei benötigt? Ich habe noch ein 32bit Ubuntu genauso
aufgesetzt, das funktioniert, hat aber auch keine macct-Datei
Was könnte da falsch sein?

soweit ich weiß wird in der macct Datei das Zertifikat des Servers vom
Cleint gesichert und beim Imageen auch zurück gespielt.

Ich würde empfehlen: nochmal linuxmuster-client-adsso
ausführen und der Domäne beitreten: dann neues Image erstellen.

Ist das Image den ein ubuntu 18.04?

LG

Holger

Hallo Holger,
es ist 18.04.
Ich habe noch ein weiteres altes Image, das nur so läuft(ohne Domänenaufname), das hat komischerweise diese Datei.
Gruß
Johannes

Hallo Holger,

ich habe noch mal linuxmuster-client-adssoausgefürht, Image geschrieben ->keine macct-Datei
Die Anmeldung geht auch nicht.
Gibt es da log-Dateien?

Viele Grüße
Johannes

Hallo Johannes,

ich habe noch mal linuxmuster-client-adssoausgefürht, Image geschrieben
->keine macct-Datei
Die Anmeldung geht auch nicht.
Gibt es da log-Dateien?

ja: unter /srv/linbo/log/
schätze ich.

Wleche Meldungen kamen den beim Durchlauf des Scripts?

LG

Holger

Hallo Holger,

unter srv/linbo/log ist nichts seltsames zu finden. Ich meinte allerdings auch logs auf dem Clienten:
Da kommt z.B.:
ug 23 17:31:50 test-pc lightdm: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=lustkai
Aug 23 17:31:50 test-pc lightdm: pam_sss(lightdm:auth): received for user lustkai: 10 (User not known to the underlying authentication module)
Sieht so aus, als ob der PC gar nicht mit dem ad-server ordentlich verbunden ist.

Beim nochmaligen Ablaufen von addsso-setup kommt

linuxadmin@test-pc:~/Schreibtisch$ sudo linuxmuster-client-adsso-setup

linuxmuster-client-adsso-setup

Trying to get network information:
Hostname: record.lender.schule
Servername: hlserver.lender.schule
REALM: LENDER.SCHULE

Processing configuration templates:

  • chrony.conf
  • smb.conf
  • lightdm.conf
  • linuxmuster-proxy.sh
  • greeter.dconf-defaults
  • linuxmuster-client-adsso.conf
  • pam_mount.conf.xml
  • sssd.conf
  • cifs.spnego.conf
  • krb5.conf

Setting sssd.conf permissions … Done!
Writing hostname … Done!
Updating pam configuration … Creating sysvol folder … Done!
Enabling login scripts … Sudo for global-admin … Done!

Enabling services:
Synchronizing state of chrony.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable chrony
Synchronizing state of smbd.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable smbd
Synchronizing state of nmbd.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable nmbd
Synchronizing state of sssd.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable sssd

Restarting services:

Joining domain LENDER.

Note that you have to input the password of the global-admin.

Passwort für global-admin@LENDER.SCHULE:
Using short domain name – LENDER
Joined ‚TEST-PC‘ to dns domain ‚lender.schule‘

Installing server certificate … Success!

All done! Now reboot the client, please.

Sieht alles gut aus, oder?
Es ging auch dann am Anfang (erstes Image) mit einem andren Nutzer. Der ist jetzt allerdings schon im Client gespeichert, das war mir nicht so bewußt, das einmal erfolgreiches Anmelden reicht. Dadurch merkt man dann nicht, wenn später etwas schief läuft.
Viele Grüße
Johannes

Hallo Johannes,

ich würde den Client nochmal neu installieren:
iso von ubuntu 18.04 64bit herunterladen
installieren
updaten
und Paket installieren, wie hier beschrieben:

LG

Holger

Hallo Holger,

das heruntergeladene Ubuntu 18.04 geht. Das Ubuntu Mate 18.04 ist selber installiert mit allerlei Sachen für unsere Schule (Es steckt halt schon alles drin, was gebraucht wird, einschließlich Drucker). Es läuft lightdm statt gdm. Mit linuxmuster-client-adsso-setup ging auch anfangs die Anmeldung. Mittlerweile aber gehen nur die Nutzer, die schon mal angemeldet waren, also gecached sind. Ab und zu geht es wieder, wie so ein Wackelkontakt.
systemctl status linuxmuster-client-adsso.service gibt das gleiche aus wie in eurem Ubuntu, also mit dem ad-server verbunden.
getent passwd gibt keine Domänen-User aus.

Übrigens wird beim Image-Schreiben nie eine macct geschrieben (auch bei eurem Image)

Viele Grüße
Johannes

Hallo zusammen,
kann es sein, dass der Client nach ein paar Tagen kein neues krb5-Ticket bekommt?
Er hat
systemctl status sssd.service zeigt

Aug 31 23:12:37 kvm-pc [sssd[ldap_child[3513]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unab
Aug 31 23:13:55 kvm-pc sssd[be[1235]: Backend is online
Aug 31 23:13:55 kvm-pc sssd[1140]: response to SOA query was unsuccessful
Aug 31 23:13:55 kvm-pc sssd[1140]: response to SOA query was unsuccessful
Aug 31 23:13:55 kvm-pc sssd[1140]: response to SOA query was unsuccessful
Aug 31 23:13:55 kvm-pc sssd[1140]: tkey query failed: GSSAPI error: Major = Unspecified GSS failure. Minor code may provide more information, Minor =
Aug 31 23:13:55 kvm-pc sssd[1140]: tkey query failed: GSSAPI error: Major = Unspecified GSS failure. Minor code may provide more information, Minor =
Aug 31 23:13:55 kvm-pc sssd[1140]: tkey query failed: GSSAPI error: Major = Unspecified GSS failure. Minor code may provide more information, Minor =
Aug 31 23:13:55 kvm-pc sssd[1140]: tkey query failed: GSSAPI error: Major = Unspecified GSS failure. Minor code may provide more information, Minor =
Aug 31 23:14:08 kvm-pc sssd[1258]: Enumeration requested but not enabled

Nachdem ich mal linuxmuster-client-adsso-setup laufen lasse, geht es alles wieder (sssd.service ohne Fehler und die Anmeldung geht)
klist gibt dann aktuelle Tickets aus.

root@kvm-pc:~# klist
Ticketzwischenspeicher: FILE:/tmp/krb5cc_0
Standard-Principal: global-admin@LENDER.SCHULE

Valid starting Expires Service principal
31.08.2019 23:35:54 01.09.2019 09:35:54 krbtgt/LENDER.SCHULE@LENDER.SCHULE
erneuern bis 07.09.2019 23:35:49
31.08.2019 23:35:54 01.09.2019 09:35:54 cifs/hlserver.lender.schule@LENDER.SCHULE
31.08.2019 23:35:55 01.09.2019 09:35:54 ldap/hlserver.lender.schule@LENDER.SCHULE

Wann und wo werden denn neue außer beim Setup neue Tickets angefordert?
Macht das ein Service? Oder schreibt linbo da was rein?
Das erklärt auch, warum man sich am Client plötzlich nicht mehr anmelden konnte, das Ticket ist dann einfach abgelaufen.

Nachtrag:
Den gleichen Effekt habe ich jetzt auch beim heruntergeladenem Image.
Gruß
Johannes

Hi Johannes,

bei mir funktioniert die Anmeldung seit einem Monat ohne Probleme. Die o.g. Meldungen von Kerberos habe ich auch und trotzdem gehts. Das ist meiner Meinung nach auch nicht das Problem, da die Geschichte nur für das SSO ist und nicht für die Domänenanmeldung.
Euer Problem liegt in der fehlenden macct Datei bei Linbo. Da werden Domäneninfos gespeichert, die nötig sind damit die Anmeldung dauerhaft klappt.
Wird die Datei bei euch nicht erzeugt? Wenn es eine zu der Hardwareklasse gibt dann lösche diese Mal (Server und Client) und scheibe ein neues Image. Das hat bei mir geholfen.

Dominik

Hallo Dominic,
die macct-Datei wird überhaupt nicht erzeugt.
Wieso das denn nicht?
Bei unserem test mit LMN6 wurde sie immer mit erzeugt.
Viele Grüße
Johannes

Hallo Johannes,

erstelle mal ein Image und schau dann in die logs von linbo…vielleicht liefert das irgendwas brauchbares. Die Datei muss auch in der lmn7 erzeugt werden. Wo genau der Fehler liegt kann ich nicht sagen…vielleicht kennen andere hier das Problem!?

Gruß Dominik