Ich hatte schon alle Image-Dateien entfernt und ein neues Image vom client erstellt. Danach war alles wieder da und die macct-Datei unverändert.
Auf dem Client habe ich noch keine macct-Datei gefunden. Ich gehe daher davon aus, dass diese irgendwie aus dem Image erstellt wird, wenn das Image auf den Server gebracht wird. Wie und was da genau passiert hoffe ich von Thomas zu erfahren.
Jedenfalls ist heute wieder der ganze Tag hier hinein geflossen - ohne Ergebnis.
An zwei Rechnern hat die Anmeldung jeweils einmal kurz funktioniert nach folgender Befehlsfolge:
http_proxy="" apt install winbind
net ads join -Uglobal-admin
kinit gast01
kinit global-admin
su gast01
→ per ssh als gast01 angemeldet
danach ging grafische Anmeldung
→ nach reboot NICHT mehr
damit hast du die aber auch das SSO zerschossen und deine User müssen sich zum Surfen nochmal am Proxy anmelden…hast du getestet ob das klappt?
Ansonsten erst mal ein gangbarer Weg. Ich habe mir Stunden den Kopf zerbrochen und finde einfach keinen Grund, warum es bei mir seit ca. 1 Monat funktioniert und bei euch nicht…ich habe auch nichts anderes versucht außer eben nach dem joinen der Donäne die macct auf dem Server zu löschen.
Ich habe gerade jeden Tag bei einer Testanmeldung muffe das es wieder vorbei ist…
Hallo Dominik,
momentan geht das Surfen noch mit dem Proxy. Ich nehme an, wenn die 7 Tage vorbei sind (lifetime Ticket) geht das nicht mehr.
Ich brauche halt jetzt eine verlässliche Anmeldung und kann dann später das wieder einstellen.
Wir scheinen ja nicht die einzigen mit dem Problem zu sein.
Viele Grüße
Johannes
momentan geht das Surfen noch mit dem Proxy. Ich nehme an, wenn die 7
Tage vorbei sind (lifetime Ticket) geht das nicht mehr.
Ich brauche halt jetzt eine verlässliche Anmeldung und kann dann später
das wieder einstellen.
Wir scheinen ja nicht die einzigen mit dem Problem zu sein.
im Notfall aktiviert man die Regel: ganzes netz darf surfen: ohne auth
in der opnsense.
Dann darf am Cleint aber nicht der Proxy eingetragen sein.
jetzt ist es passiert. Ich habe rein überhaupt nicht am Server oder den Clients verändert und nach ca. 1 Monat, bei dem der Login immer funktioniert hat geht bei mir seit gerade eben auch keine Anmeldung mehr…was ist das für ein Mist!
Hi, nur noch mal kurz zur Bestätigung:
wie oben schon kurz erläutert, hatten (haben?) wir (@kstenzel) das gleiche Problem und haben gegenwärtig nur den unbefriedigenden Workaround mit „NEUMACHEN“ und geht erst mal wieder…
Was natürlich kein Zustand ist…
jetzt ist es passiert. Ich habe rein überhaupt nicht am Server oder den
Clients verändert und nach ca. 1 Monat, bei dem der Login immer
funktioniert hat geht bei mir seit gerade eben auch keine Anmeldung
mehr…was ist das für ein Mist!
wie oben schon kurz erläutert, hatten (haben?) wir (@kstenzel https://ask.linuxmuster.net/u/kstenzel) das gleiche Problem und haben
gegenwärtig nur den unbefriedigenden Workaround mit „NEUMACHEN“ und geht
erst mal wieder…
was meinst du mit Neumachen?
Nochmal domjoin und Image erstellen?
Hallo Dominik
hast du mal geprüft, ob alle Dienste laufen?
Ich habe ja das merkwürdige Phänomen, dass nach dem Reboot der Firewall nicht immer alle Dienste starten … evtl gibt es so was auch auf dem Server?
ich habe jetzt mal meine Erfahrungen in einem Mindmap zusammengeschrieben und dabei habe ich neue Erkenntnisse gewonnen. Ich habe zwei Hardwareklassen. Eine Klasse bionic-testing und eine Klasse bionic. Änderungen mache ich immer zuerst in bionic-testing und kopiere dann das Image in bionic, wenn alles ok ist. Meine Gruppe bionic funktioniert ca. seit einem Monat und so lange habe ich auch nichts gemacht. Ich habe heute morgen allerdings von meiner Testinggruppe ein neues Image gemacht, bei dem ich nochmal der Domäne beigetreten bin, weil die Anmeldung in dieser Gruppe nicht ging. Rückblickend konnte ich mich genau seit dem Zeitpunkt nicht mehr an Rechnern der Gruppe bionic anmelden, d.h. ein Domänenbeitritt bei der Gruppe bionic-testing schmeißt alle Clients der Gruppe bionic aus der Domäne. Habe das gerade nochmal nachvollzogen und so ist es. Vielleicht erklärt das auch bei anderen von euch den „Wackelkontakt“.
Leider hatte vorhin ein Domänenbeitritt in der Gruppe bionic nun nur sehr kurzen Erfolg und auch nur am Masterclient hat die Anmeldung ein paar mal geklappt, bei keinem anderen Client auf den ich das Image ausgerollt habe.
Weil mir das mit Anmelden, Domänenbeitritt, Image, usw. alles zu lange dauert habe ich jetzt mal eine Abkürzung genommen und plötzlich funktioniert wieder alles (wie lange sei dahingestellt). Außerdem habe ich nur den Domänenbeitritt gemacht, weil das linuxmuster-client-adsso noch vieles andere anfasst, was ja funktioniert. Folgendermaßen bin ich vorgegangen:
macct-Datei auf dem Server gelöscht
Masterclient mit neu+start gebootet
vom Server aus per ssh auf den Client verbunden
kinit global-admin
net ads join --no-dns-updates -k (das -k ist übrigends elementar!)
Neustart und sofort Image geschrieben
Image verteilt und überall im Schulhaus geht die Anmeldung wieder.
Ob alle Schritte nötig sind weiß ich nicht aber das ist doch jetzt mal eine Basis, bei der vielleicht einige von euch mal schauen können, ob das auch bei ihnen hilft.
zusammengeschrieben und dabei habe ich neue Erkenntnisse gewonnen. Ich
habe zwei Hardwareklassen. Eine Klasse bionic-testing und eine Klasse
bionic. Änderungen mache ich immer zuerst in bionic-testing und kopiere
dann das Image in bionic, wenn alles ok ist.
läuft bionic-testing auf einem eigenen client, oder auf dem gleichen,
auf dem auch bionic läuft?
Das würde erklären, warum bionic aus der Domäne fliegt: zwei
unterschiedliche Domänenbeitritte auf dem gleichen Cleint geht (noch)
nicht: siehe Windows ubuntu dualboot mit lmn 7
Die Aufteilung mit bionic und bionic-testing habe ich auch so.
Hast du dein Vorgehen mit einem bionic-testing-Rechner gemacht und dann
das bionic-testing-Image nach bionic kopiert? Oder ist das nur auf
bionic-testing beschränkt und bionic ist noch außen vor?
Ja. Das oben beschriebene beitreten zur Domäne habe ich jetzt mit der Gruppe bionic gemacht und jetzt läuft es. Ich habe die Gruppe bionic-testing jetzt erst mal auf Eis gelegt.
Klappt das von mir beschriebene Beitreten auch bei dir?
Hallo Dominik!
Ich habe erfolglos versucht nach deiner Anleitung (Schritte 1 bis 7):
Rechner aus bionic-testing zu behandeln und die Image-Dateien auf bionic kopieren
-> nirgends ist Anmeldung möglich
Rechner aus bionic zu behandeln und Image auf bionic verteilen
-> keine Anmeldung möglich
Rechner aus bionic mit neuem Rechnernamen zu behandeln und Image starten
-> keine Anmeldung möglich
Interessant dabei, dass scheinbar mit jeder gescheiterten Anmeldung ein samba-Prozess auf dem Server zurückbleibt, der bis zu 100% einer CPU belastet und damit nach und nach eine ordentliche load zusammen kommt. Nach einer gewissen Zeit verschwinden die samba-Prozesse wieder.
Korrektur: Die samba-Prozesse kamen von der angebundenen Nextcloud.
Eine weitere Erkenntnis: Die macct-Datei hat jeweils ein neues Passwort, so wie man erwarten würde.
Dieses Passwort ist übrigens der Passworthash vom Computeraccount, der aus dem AD für den Image-Rechner ausgelesen wird.
Hallo zusammen,
ich hatte 2 verschiedene Systeme auf dem PC, den heruntergeladenen Ubuntu-Client und mein Mate. Das könnte natürlich auch das Problem hervorrufen. Habe mal alles gelöscht (maccts), Domänenbeitritt und Image geschrieben. Jetzt geht es erstmal (auch mit krb5), aber wie lange?
Außerdem wird bei uns tatsächlich die macct mit den Rechten 600 erzeugt, was dann beim Start eines PCs zu bionic64.cloop.macct" (in linbo): Permission denied (13) führt.
Erst wenn ich es auf 644 setze, geht es.
Wenn die 2 Systeme ein Problem sind, dann kann man aber in der start.conf… nur noch ein System eintragen, egal ob Ubuntu oder Windows.
VG
Johannes
Wenn die 2 Systeme ein Problem sind, dann kann man aber in der
start.conf… nur noch ein System eintragen, egal ob Ubuntu oder Windows.
zwei Systeme sind definitiv derzeit nicht möglich, weil der
Domänenbeitritt des zweiten Systems immer das erste auf dem gleichen
Rechner aus der Domäne kickt.
an einem Standort wurden die nicht mehr „anmeldbaren“ Linux Clients verworfen und durch eine Neuinstallaiton ersetzt, bei der dann (zunächst) die Anmeldung wieder funktioniert.
Heute haben wir das vorbereitete cloop von hier: Ubuntu-System aus dem LMN-Repo
und nach dessen Anleitung, in zwei Durchgängen ohne Erfolg (kein Anmeldung an Domäne möglich) wieder abgebrochen - zur konkreten Fehlersuche / -behebung sind wir bisher noch nicht gekommen
