Fakt ist, dass Kerberos recht empfindlich bei zu großen Zeitunterschieden reagiert (default ist glaube ich bei ca. 5 min).
Bei mir stimmen die Zeiten überein, trotzdem kein Erfolg.
Doch ich fühle mit Johannes (Wackelkontakt), denn gestern hatte ich auch kurz EINE erfolgreiche Anmeldung nach einem Durchgang von linuxmuster-client-adsso.setup.
Ich denke momentan in Richtung der macct-Datei. Bei mir ist dort immer der gleiche Inhalt. Ich hätte erwartet nach neuem Domänenbeitritt (mit linuxmuster-client-adsso.setup) ein anderes Passwort darin zu finden. Das ist bei mir immer gleich.
Wie sieht das bei anderen aus? @foer ?
Gruß - Rainer
Hallo zusammen,
chrony wird doch in linuxmuster-client-adsso-setup aktiviert.
Das soll das doch übernehmen und darf nicht gleichzeitg mit ntpd laufen.
Viele Grüße
Johannes
Hallo,
Ich denke momentan in Richtung der macct-Datei. Bei mir ist dort immer
der gleiche Inhalt. Ich hätte erwartet nach neuem Domänenbeitritt (mit
linuxmuster-client-adsso.setup) ein anderes Passwort darin zu finden.
Das ist bei mir immer gleich.
Wie sieht das bei anderen aus? @foer https://ask.linuxmuster.net/u/foer ?
er sagte mir Heute Mittag, dass die bei ihm auch immer gleich ist.
In deinem Fall würde ich mal die macct Datei auf dem client im Cache und
auf dem server löschen (wegschieben) und dann nochmal
linuxmuster-client-adsso machen und dann gleich ein Image erzeugen.
Ist die macct dann wieder da?
Auf Cleint?
Auf Server?
LG
Holger
Hallo zusammen,
jetzt habe ich es mal auf die harte Tour probiert und das ganze krb5-Zeug rausgeworfen, auch wenn’s jetzt nicht mehr so sicher ist (Ist , glaube ich, für die PCs in den Klassen- und Computerräumen auch nicht so wichtig)
dyndns hat auch immer Fehler gemeldet in sssd.service, wozu braucht man das?
3 Zeilen in sssd.conf dazu:
[domain/LENDER.SCHULE]
id_provider = ad
access_provider = ad
krb5_store_password_if_offline = False
krb5_validate = False
dyndns_update = false
In /etc/pam.d/lightdm habe ich die krb5-Sachen auskommentiert
#%PAM-1.0 auth requisite pam_nologin.so auth sufficient pam_succeed_if.so user ingroup nopasswdlogin @include common-auth #auth optional pam_gnome_keyring.so #auth optional pam_kwallet.so #auth optional pam_kwallet5.so @include common-account session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close #session required pam_loginuid.so session required pam_limits.so @include common-session session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open #session optional pam_gnome_keyring.so auto_start #session optional pam_kwallet.so auto_start #session optional pam_kwallet5.so auto_start session required pam_env.so readenv=1 session required pam_env.so readenv=1 user_readenv=1 envfile=/etc/default/locale @include common-password
und in /etc/pam.d/lightdm-greeter genauso
#%PAM-1.0 auth required pam_permit.so #auth optional pam_gnome_keyring.so #auth optional pam_kwallet.so #auth optional pam_kwallet5.so @include common-account session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close session required pam_limits.so @include common-session session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open #session optional pam_gnome_keyring.so auto_start #session optional pam_kwallet.so auto_start #session optional pam_kwallet5.so auto_start session required pam_env.so readenv=1 session required pam_env.so readenv=1 user_readenv=1 envfile=/etc/default/locale
So geht es, mal sehen wie es morgen ist (man weiss ja nie)
Falls ihr euch fragt, wie ich darauf komme - unser Ubuntu-Client hing auch am logodidact-adserver und es war genauso ein Wackelkontakt beim Anmelden. Das fiel mir jetzt wieder ein (ist 3 1/2 Jahre her), vor allem wo es steht. Wie ich damals drauf kam, weiß ich nicht mehr.
Vielleicht bekommen wir das noch ordentlich hin, aber ich brauche jetzt eine Anmeldung, sonst werde ich nächste Woche gesteinigt.
Ein linuxmuster-client-adsso-setup darf ich jetzt nicht mehr laufen lassen, sonst ist alles wieder weg.
Viele Grüße
Johannes
Hi Johannes,
so wie ich das verstehe, hast du die Wallets rausgeschmissen, d.h. dass man sich zwar anmelden kann, aber dass man nicht mehr automatisch geöffnete Wallets hat.
Das ganze Kerberos erscheint mir deshalb so komplex, weil es schon auf der consolenebene nicht so durchsichtig ist, wie was wann funktioniert. Da ist der login-vorgang sicher das komplizierteste.
viel Erfolg,Tobias
Hallo Holger!
Ich hatte schon alle Image-Dateien entfernt und ein neues Image vom client erstellt. Danach war alles wieder da und die macct-Datei unverändert.
Auf dem Client habe ich noch keine macct-Datei gefunden. Ich gehe daher davon aus, dass diese irgendwie aus dem Image erstellt wird, wenn das Image auf den Server gebracht wird. Wie und was da genau passiert hoffe ich von Thomas zu erfahren.
Jedenfalls ist heute wieder der ganze Tag hier hinein geflossen - ohne Ergebnis.
An zwei Rechnern hat die Anmeldung jeweils einmal kurz funktioniert nach folgender Befehlsfolge:
http_proxy="" apt install winbind net ads join -Uglobal-admin kinit gast01 kinit global-admin su gast01
→ per ssh als gast01 angemeldet
danach ging grafische Anmeldung
→ nach reboot NICHT mehr
Gruß - Rainer
Hi Johannes,
damit hast du die aber auch das SSO zerschossen und deine User müssen sich zum Surfen nochmal am Proxy anmelden…hast du getestet ob das klappt?
Ansonsten erst mal ein gangbarer Weg. Ich habe mir Stunden den Kopf zerbrochen und finde einfach keinen Grund, warum es bei mir seit ca. 1 Monat funktioniert und bei euch nicht…ich habe auch nichts anderes versucht außer eben nach dem joinen der Donäne die macct auf dem Server zu löschen.
Ich habe gerade jeden Tag bei einer Testanmeldung muffe das es wieder vorbei ist…
VG
Dominik
Hallo Dominik,
momentan geht das Surfen noch mit dem Proxy. Ich nehme an, wenn die 7 Tage vorbei sind (lifetime Ticket) geht das nicht mehr.
Ich brauche halt jetzt eine verlässliche Anmeldung und kann dann später das wieder einstellen.
Wir scheinen ja nicht die einzigen mit dem Problem zu sein.
Viele Grüße
Johannes
Hallo,
momentan geht das Surfen noch mit dem Proxy. Ich nehme an, wenn die 7
Tage vorbei sind (lifetime Ticket) geht das nicht mehr.Ich brauche halt jetzt eine verlässliche Anmeldung und kann dann später
das wieder einstellen.
Wir scheinen ja nicht die einzigen mit dem Problem zu sein.
im Notfall aktiviert man die Regel: ganzes netz darf surfen: ohne auth
in der opnsense.
Dann darf am Cleint aber nicht der Proxy eingetragen sein.
LG
Holger
Hi,
jetzt ist es passiert. Ich habe rein überhaupt nicht am Server oder den Clients verändert und nach ca. 1 Monat, bei dem der Login immer funktioniert hat geht bei mir seit gerade eben auch keine Anmeldung mehr…was ist das für ein Mist!
Gruß
Dominik
Hi, nur noch mal kurz zur Bestätigung:
wie oben schon kurz erläutert, hatten (haben?) wir (@kstenzel) das gleiche Problem und haben gegenwärtig nur den unbefriedigenden Workaround mit „NEUMACHEN“ und geht erst mal wieder…
Was natürlich kein Zustand ist…
Grüße,
gerd
Hallo Dominik,
jetzt ist es passiert. Ich habe rein überhaupt nicht am Server oder den
Clients verändert und nach ca. 1 Monat, bei dem der Login immer
funktioniert hat geht bei mir seit gerade eben auch keine Anmeldung
mehr…was ist das für ein Mist!
schafft ein neubeitritt Abhilfe?
LG
Holger
…nein…
Hallo Gerd,
wie oben schon kurz erläutert, hatten (haben?) wir (@kstenzel
https://ask.linuxmuster.net/u/kstenzel) das gleiche Problem und haben
gegenwärtig nur den unbefriedigenden Workaround mit „NEUMACHEN“ und geht
erst mal wieder…
was meinst du mit Neumachen?
Nochmal domjoin und Image erstellen?
LG
Holger
Hallo Dominik
hast du mal geprüft, ob alle Dienste laufen?
Ich habe ja das merkwürdige Phänomen, dass nach dem Reboot der Firewall nicht immer alle Dienste starten … evtl gibt es so was auch auf dem Server?
Grüße Rainer
Ok,
ich habe jetzt mal meine Erfahrungen in einem Mindmap zusammengeschrieben und dabei habe ich neue Erkenntnisse gewonnen. Ich habe zwei Hardwareklassen. Eine Klasse bionic-testing und eine Klasse bionic. Änderungen mache ich immer zuerst in bionic-testing und kopiere dann das Image in bionic, wenn alles ok ist. Meine Gruppe bionic funktioniert ca. seit einem Monat und so lange habe ich auch nichts gemacht. Ich habe heute morgen allerdings von meiner Testinggruppe ein neues Image gemacht, bei dem ich nochmal der Domäne beigetreten bin, weil die Anmeldung in dieser Gruppe nicht ging. Rückblickend konnte ich mich genau seit dem Zeitpunkt nicht mehr an Rechnern der Gruppe bionic anmelden, d.h. ein Domänenbeitritt bei der Gruppe bionic-testing schmeißt alle Clients der Gruppe bionic aus der Domäne. Habe das gerade nochmal nachvollzogen und so ist es. Vielleicht erklärt das auch bei anderen von euch den „Wackelkontakt“.
Leider hatte vorhin ein Domänenbeitritt in der Gruppe bionic nun nur sehr kurzen Erfolg und auch nur am Masterclient hat die Anmeldung ein paar mal geklappt, bei keinem anderen Client auf den ich das Image ausgerollt habe.
Weil mir das mit Anmelden, Domänenbeitritt, Image, usw. alles zu lange dauert habe ich jetzt mal eine Abkürzung genommen und plötzlich funktioniert wieder alles (wie lange sei dahingestellt). Außerdem habe ich nur den Domänenbeitritt gemacht, weil das linuxmuster-client-adsso noch vieles andere anfasst, was ja funktioniert. Folgendermaßen bin ich vorgegangen:
- macct-Datei auf dem Server gelöscht
- Masterclient mit neu+start gebootet
- vom Server aus per ssh auf den Client verbunden
- kinit global-admin
- net ads join --no-dns-updates -k (das -k ist übrigends elementar!)
- Neustart und sofort Image geschrieben
- Image verteilt und überall im Schulhaus geht die Anmeldung wieder.
Ob alle Schritte nötig sind weiß ich nicht aber das ist doch jetzt mal eine Basis, bei der vielleicht einige von euch mal schauen können, ob das auch bei ihnen hilft.
Ich schaue jetzt mal, ob das ganze Bestand hat.
Gruß
Dominik
Hallo Dominik,
zusammengeschrieben und dabei habe ich neue Erkenntnisse gewonnen. Ich
habe zwei Hardwareklassen. Eine Klasse bionic-testing und eine Klasse
bionic. Änderungen mache ich immer zuerst in bionic-testing und kopiere
dann das Image in bionic, wenn alles ok ist.
läuft bionic-testing auf einem eigenen client, oder auf dem gleichen,
auf dem auch bionic läuft?
Das würde erklären, warum bionic aus der Domäne fliegt: zwei
unterschiedliche Domänenbeitritte auf dem gleichen Cleint geht (noch)
nicht: siehe Windows ubuntu dualboot mit lmn 7
LG
Holger
Hi Holger,
es sind verschiedene Clients.
LG Dominik
Hallo Dominik!
Die Aufteilung mit bionic und bionic-testing habe ich auch so.
Hast du dein Vorgehen mit einem bionic-testing-Rechner gemacht und dann
das bionic-testing-Image nach bionic kopiert? Oder ist das nur auf
bionic-testing beschränkt und bionic ist noch außen vor?
Gruß - Rainer