Linuxclient v7: Manche Benutzer können sich nicht anmelden?

Guten Morgen,

von mir auch ein dickes Danke an euch.
Habe heute morgen das Image probeweise in einem Computerraum Installiert.

Es läuft auch bis jetzt nur mit einem kleinem Problem
einige Lehrer können sich nicht mehr anmelden.

mit freundlichen Grüßen
Philipp

Hallo,

Ein paar Fragen und Gedanken dazu:

1. hast du nur Linuxclients oder Dual Boot mit Windows? Geht die Anmldung an Windows noch? Geht die Anmeldung an der WebUI noch?
2. Können diese Lehrer sich auch an einem frisch gesyncten Rechner nicht anmelden oder tritt das Problem erst nach einiger Zeit/einigen Anmeldungen auf? Hintergrund: Derzeit werden die gecachten Profile in /hoome/cache/[username] erst beim nächten Sync gelöscht, wenn die Platte nicht sehr groß ist und bei jedem Login 100MB dazukommen kann die schon mal vollaufen.

VG

Frank

Hallo Frank,
Ich habe nur Linuxclients. An der WebUI konntensich alle Lehreranmelden.
Die Rechner waren frisch gesynct nur 4 Anmeldungen davor.

Vielen Dank

VG
Philipp

Hallo,

arbeitest du mit „echten“ Benutzern oder mit den sophomorix Beispielusern?

VG
Frank

Hallo
ich arbeite mit echten Benutzern

VG
Philipp

Hallo,

wenn nur einzelne Kollegen betroffen sind, dann halte ich es für
möglich, dass die Sonderzeichen im Passwort haben, die ubuntu bei der
Domänenanmeldung anders interpretiert/weiter gibt.
Könntest du mal einen testweise bitten sein Passwort auf was “einfaches”
zu ändern?
Ohne Leerzeichen, deutsche Sonderzeichen?

LG

Holger

Hallo Holger,
Die Passwörter haben keine besonderen Sonderzeichen und auch keine Umlaute oder Leerzeichen.
Bei Usern die sich Anmelden können kommt folgende Fehlermeldung.
Siehe Bild

Grüße
Philipp

728EF292-D733-43E6-9C43-148DB71AC000.jpeg3264×2448 1.49 MB

Hallo,

Kannst du mal ein ls -la /home/cache und ein ls -la /home hier reinpasten? (Am besten auf eine Textkonsole wechseln und als linuxadmin anmelden).

VG

Frank

Guten Morgen Frank

hier die gewünschten Aufnahmen.

image.jpg3264×2448 2.79 MB

image.jpg3264×2448 2.51 MB

Grüße Philipp

Hallo zusammen,

auch ich habe versucht einen Linuxclient anzubinden. Leider habe ich Probleme mit der Benutzerauthentifizierung.

linuxmuster-client-adsso lief ohne Probleme durch:
#########################################

Passwort für global-admin@SCHULE.WERDENFELS-GYMNASIUM.DE:
Using short domain name – SCHULE
Joined ‘PCTEST1’ to dns domain ‘schule.werdenfels-gymnasium.de’

Installing server certificate … Success!

root@pctest1:/home/linuxadmin# linuxmuster-client-adsso-setup

linuxmuster-client-adsso-setup

Trying to get network information:
Hostname: pctest1.schule.werdenfels-gymnasium.de
Servername: lms.schule.werdenfels-gymnasium.de
REALM: SCHULE.WERDENFELS-GYMNASIUM.DE

Processing configuration templates:

• cifs.spnego.conf
• krb5.conf
• lightdm.conf
• linuxmuster-client-adsso.conf
• smb.conf
• chrony.conf
• pam_mount.conf.xml
• greeter.dconf-defaults
• linuxmuster-proxy.sh
• sssd.conf

Setting sssd.conf permissions … Done!
Writing hostname … Done!
Updating pam configuration … Creating sysvol folder … Done!
Enabling login scripts … Sudo for global-admin … Done!

Enabling services:
Synchronizing state of chrony.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable chrony
Synchronizing state of smbd.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable smbd
Synchronizing state of nmbd.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable nmbd
Synchronizing state of sssd.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable sssd

Restarting services:

Joining domain SCHULE.

Note that you have to input the password of the global-admin.

Passwort für global-admin@SCHULE.WERDENFELS-GYMNASIUM.DE:
Using short domain name – SCHULE
Joined ‘PCTEST1’ to dns domain ‘schule.werdenfels-gymnasium.de’

Installing server certificate … Success!

User können aber nicht authentifiziert werden, obwohl dies über einen Windows-PC funktioniert
##############################################################################
root@pctest1:/etc/pam.d# /etc/init.d/sssd status
● sssd.service - System Security Services Daemon
Loaded: loaded (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2019-06-12 11:04:54 CEST; 5h 48min ago
Main PID: 842 (sssd)
Tasks: 4 (limit: 4029)
CGroup: /system.slice/sssd.service
├─842 /usr/sbin/sssd -i --logger=files
├─843 /usr/lib/x86_64-linux-gnu/sssd/sssd_be --domain SCHULE.WERDENFELS-GYMNASIUM.DE --uid 0 --gid 0 --logger=files
├─844 /usr/lib/x86_64-linux-gnu/sssd/sssd_nss --uid 0 --gid 0 --logger=files
└─845 /usr/lib/x86_64-linux-gnu/sssd/sssd_pam --uid 0 --gid 0 --logger=files

Jun 12 11:04:54 pctest1.schule.werdenfels-gymnasium.de systemd[1]: Starting System Security Services Daemon…
Jun 12 11:04:54 pctest1.schule.werdenfels-gymnasium.de sssd[842]: Starting up
Jun 12 11:04:54 pctest1.schule.werdenfels-gymnasium.de sssd[be[843]: Starting up
Jun 12 11:04:54 pctest1.schule.werdenfels-gymnasium.de sssd[844]: Starting up
Jun 12 11:04:54 pctest1.schule.werdenfels-gymnasium.de sssd[845]: Starting up
Jun 12 11:04:54 pctest1.schule.werdenfels-gymnasium.de systemd[1]: Started System Security Services Daemon.
Jun 12 11:06:33 pctest1.schule.werdenfels-gymnasium.de sssd[be[843]: Backend is offline

Bin froh über Hilfe.
Danke
Ingo

Hallo zusammen!

Auch ich möchte mich hier gerne anschließen. Ich habe eine Linuxmuster-Testinstallation in VirtualBox. Nach Aufnahme in die Domäne können sich die Nutzer unter meinem Beispiel-Windows-Client anmelden.

Leider scheitert diese Anmeldung unter Linux (Beispiel-Ubuntu-Client). Der Benutzer ist bekannt, da der getent-Befehl für diesen Lehrer etwas zurückgibt:

linuxadmin@oin1-pc03:~$ getent passwd test
test:*:824001145:824000513:test:/home/cache/test:

Eine Anmeldung über die Login-Seite ich aber nicht möglich. Auch die su-Befehl scheitert:

linuxadmin@oin1-pc03:~$ su - test
Passwort: 
su: Legitimierungsfehler

Das auth.log zeigt einen allgemeinen Legitimierungsfehler:

Jul 27 11:46:41 oin1-pc03 su[2523]: pam_sss(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/0 ruser=linuxadmin rhost= user=test
Jul 27 11:46:41 oin1-pc03 su[2523]: pam_sss(su:auth): received for user test: 6 (Zugriff verweigert)
Jul 27 11:46:43 oin1-pc03 su[2523]: pam_authenticate: Authentication failure
Jul 27 11:46:43 oin1-pc03 su[2523]: FAILED su for test by linuxadmin

Der gleiche Nutzer kann sich allerdings am gleichen Rechner in der SELMA anmelden.

Wer hat eine Idee, wie man dem Fehler auf die Spur kommt?

LG
Roland

PS: Das Passwort habe ich versuchsweise schon einmal auf eines ohne Sonderzeichen gesetzt - leider ohne Erfolg.

Hallo Roland,

versuchst Du dies an einem Dualboot-Rechner oder an zwei verschiedenen
jeweils nur mit Windows oder nur mit Ubuntu?

Ersteres geht bekanntermaßen (noch?) nicht!
global-admin kann sich u. U. noch mit gecachten Informationen in Linux
anmelden, nachdem man die durch linuxmuster-client-adsso-setup zerstörte
Vertrauensstellung in Windows durch erneute Aufnahme in die Domäne
wiederhergestellt hat, andere unbekannte Domänenbenutzer jedoch nicht.

Gruß Jürgen

Es ist ein extra Linux-Client, der als separater Rechner mit eigener MAC-Adresse registriert ist.

Gruß, Roland

Hallo Roland,

Es ist ein extra Linux-Client, der als separater Rechner mit eigener
MAC-Adresse registriert ist.

das ist doch die Testumgebung von mir, oder?
Bitte mach mal in der OPNsense einen refresh des unbound

Wie das geht steht hier:

unter Single-Signon aktivieren.

Wenn das nicht hilft, dann meld dich lokal am linuxclient an
(linuxadmin) und aktualisier den Cleint
apt update
apt dist-upgrade

Danach nochmal der Domäne beitreten:

linuxmuster-client-adsso-setup

Dann reboot und Image erstellen.

Doku zum Linuxpaket ist hier:

LG

Holger