habe gerade festgestellt, dass man sich an einem geklonten Linuxclient nicht mehr anmelden kann, sondern nur am Client, von dem das Image gemacht wurde…der Klon ist offensichtlich nicht mehr in der Domäne. Wenn man am geklonten Client der Domäne beitritt klappt wider alles. Da muss offensichtlich noch irgendwas generalisiert werden…bei Windows wird das ja über regpatches und Linbo erledigt…wie funktioniert das beim Linuxclient?
…oder ist das nur bei mir ein Problem und bei allen anderen Betatestern tut es?
das Problem war letztlich trivial zu lösen hat aber drei Tage bis zur Erkenntnis gebraucht! Ich habe meinen lmn6 Client in die lmn7 eingebunden,in die Domäne aufgenommen und geimaged. Am Masterclient hat dann alles funktioniert. Sobald ich das Image auf einen anderen Client ausgerollt habe war dieser nicht mehr in der Domäne. Letztlich habe ich herausgefunden, dass es an der macct-Datei von Linbo lag. Diese musste ich nach dem Domänenbeitritt und dem anschließenden Image löschen, damit sie neu erzeugt wird. Jetzt sieht es so aus, als würde alles klappen.
…dann seid ihr von diesem Problem gar nicht betroffen! Das Problem entstand dadurch, das die unter lmn6 erzeugte macct-Datei nicht unter der lmn6 neu erzeugt wurde, was aber wegen der neuen Domäne erforderlich gewesen wäre.
ich habe hier auch ein Image (frisch aufgesetzt und dann addsso setup ausgeführt), auf dem ich mich bei verschiedenen Clienten anmelden konnte.
Nun habe ich sonst allerlei installiert und ich kann mich nun nicht mehr neuen Nutzern aus der Domäne auf dem Clienten anmelden. Nun fällt mir auf Beim Erstellen des Images wurde gar keine macct Datei erzeugt. Wofür wird diese Datei benötigt? Ich habe noch ein 32bit Ubuntu genauso aufgesetzt, das funktioniert, hat aber auch keine macct-Datei
Was könnte da falsch sein?
ich habe hier auch ein Image (frisch aufgesetzt und dann addsso setup
ausgeführt), auf dem ich mich bei verschiedenen Clienten anmelden konnte.
Nun habe ich sonst allerlei installiert und ich kann mich nun nicht mehr
neuen Nutzern aus der Domäne auf dem Clienten anmelden. Nun fällt mir
auf Beim Erstellen des Images wurde gar keine macct Datei erzeugt. Wofür
wird diese Datei benötigt? Ich habe noch ein 32bit Ubuntu genauso
aufgesetzt, das funktioniert, hat aber auch keine macct-Datei
Was könnte da falsch sein?
soweit ich weiß wird in der macct Datei das Zertifikat des Servers vom
Cleint gesichert und beim Imageen auch zurück gespielt.
Ich würde empfehlen: nochmal linuxmuster-client-adsso
ausführen und der Domäne beitreten: dann neues Image erstellen.
Hallo Holger,
es ist 18.04.
Ich habe noch ein weiteres altes Image, das nur so läuft(ohne Domänenaufname), das hat komischerweise diese Datei.
Gruß
Johannes
unter srv/linbo/log ist nichts seltsames zu finden. Ich meinte allerdings auch logs auf dem Clienten:
Da kommt z.B.:
ug 23 17:31:50 test-pc lightdm: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=lustkai
Aug 23 17:31:50 test-pc lightdm: pam_sss(lightdm:auth): received for user lustkai: 10 (User not known to the underlying authentication module)
Sieht so aus, als ob der PC gar nicht mit dem ad-server ordentlich verbunden ist.
Enabling services:
Synchronizing state of chrony.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable chrony
Synchronizing state of smbd.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable smbd
Synchronizing state of nmbd.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable nmbd
Synchronizing state of sssd.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable sssd
Restarting services:
Joining domain LENDER.
Note that you have to input the password of the global-admin.
Passwort für global-admin@LENDER.SCHULE:
Using short domain name – LENDER
Joined ‚TEST-PC‘ to dns domain ‚lender.schule‘
Installing server certificate … Success!
All done! Now reboot the client, please.
Sieht alles gut aus, oder?
Es ging auch dann am Anfang (erstes Image) mit einem andren Nutzer. Der ist jetzt allerdings schon im Client gespeichert, das war mir nicht so bewußt, das einmal erfolgreiches Anmelden reicht. Dadurch merkt man dann nicht, wenn später etwas schief läuft.
Viele Grüße
Johannes
ich würde den Client nochmal neu installieren:
iso von ubuntu 18.04 64bit herunterladen
installieren
updaten
und Paket installieren, wie hier beschrieben:
das heruntergeladene Ubuntu 18.04 geht. Das Ubuntu Mate 18.04 ist selber installiert mit allerlei Sachen für unsere Schule (Es steckt halt schon alles drin, was gebraucht wird, einschließlich Drucker). Es läuft lightdm statt gdm. Mit linuxmuster-client-adsso-setup ging auch anfangs die Anmeldung. Mittlerweile aber gehen nur die Nutzer, die schon mal angemeldet waren, also gecached sind. Ab und zu geht es wieder, wie so ein Wackelkontakt.
systemctl status linuxmuster-client-adsso.service gibt das gleiche aus wie in eurem Ubuntu, also mit dem ad-server verbunden.
getent passwd gibt keine Domänen-User aus.
Übrigens wird beim Image-Schreiben nie eine macct geschrieben (auch bei eurem Image)
Hallo zusammen,
kann es sein, dass der Client nach ein paar Tagen kein neues krb5-Ticket bekommt?
Er hat
systemctl status sssd.service zeigt
Aug 31 23:12:37 kvm-pc [sssd[ldap_child[3513]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unab
Aug 31 23:13:55 kvm-pc sssd[be[1235]: Backend is online
Aug 31 23:13:55 kvm-pc sssd[1140]: response to SOA query was unsuccessful
Aug 31 23:13:55 kvm-pc sssd[1140]: response to SOA query was unsuccessful
Aug 31 23:13:55 kvm-pc sssd[1140]: response to SOA query was unsuccessful
Aug 31 23:13:55 kvm-pc sssd[1140]: tkey query failed: GSSAPI error: Major = Unspecified GSS failure. Minor code may provide more information, Minor =
Aug 31 23:13:55 kvm-pc sssd[1140]: tkey query failed: GSSAPI error: Major = Unspecified GSS failure. Minor code may provide more information, Minor =
Aug 31 23:13:55 kvm-pc sssd[1140]: tkey query failed: GSSAPI error: Major = Unspecified GSS failure. Minor code may provide more information, Minor =
Aug 31 23:13:55 kvm-pc sssd[1140]: tkey query failed: GSSAPI error: Major = Unspecified GSS failure. Minor code may provide more information, Minor =
Aug 31 23:14:08 kvm-pc sssd[1258]: Enumeration requested but not enabled
Nachdem ich mal linuxmuster-client-adsso-setup laufen lasse, geht es alles wieder (sssd.service ohne Fehler und die Anmeldung geht)
klist gibt dann aktuelle Tickets aus.
Valid starting Expires Service principal
31.08.2019 23:35:54 01.09.2019 09:35:54 krbtgt/LENDER.SCHULE@LENDER.SCHULE
erneuern bis 07.09.2019 23:35:49
31.08.2019 23:35:54 01.09.2019 09:35:54 cifs/hlserver.lender.schule@LENDER.SCHULE
31.08.2019 23:35:55 01.09.2019 09:35:54 ldap/hlserver.lender.schule@LENDER.SCHULE
Wann und wo werden denn neue außer beim Setup neue Tickets angefordert?
Macht das ein Service? Oder schreibt linbo da was rein?
Das erklärt auch, warum man sich am Client plötzlich nicht mehr anmelden konnte, das Ticket ist dann einfach abgelaufen.
bei mir funktioniert die Anmeldung seit einem Monat ohne Probleme. Die o.g. Meldungen von Kerberos habe ich auch und trotzdem gehts. Das ist meiner Meinung nach auch nicht das Problem, da die Geschichte nur für das SSO ist und nicht für die Domänenanmeldung.
Euer Problem liegt in der fehlenden macct Datei bei Linbo. Da werden Domäneninfos gespeichert, die nötig sind damit die Anmeldung dauerhaft klappt.
Wird die Datei bei euch nicht erzeugt? Wenn es eine zu der Hardwareklasse gibt dann lösche diese Mal (Server und Client) und scheibe ein neues Image. Das hat bei mir geholfen.
Hallo Dominic,
die macct-Datei wird überhaupt nicht erzeugt.
Wieso das denn nicht?
Bei unserem test mit LMN6 wurde sie immer mit erzeugt.
Viele Grüße
Johannes
erstelle mal ein Image und schau dann in die logs von linbo…vielleicht liefert das irgendwas brauchbares. Die Datei muss auch in der lmn7 erzeugt werden. Wo genau der Fehler liegt kann ich nicht sagen…vielleicht kennen andere hier das Problem!?