Linuxmuster-client-adsso funktioniert nicht (mehr)

Hallo,

…Entschuldigung aber erst mal FRUST: die Probleme bei der Umstellung auf die lmn7 wollen einfach nicht enden…

Ich bin mir ganz sicher, dass mein Linuxclient letzte Woche mehrfach funktioniert hat, d.h. Login war möglich und alle Shares waren da. Seit zwei Tagen funktioniert nur noch der Login aber die shares sind nicht mehr da! Nach dem Login sind die zwei Serverfreigaben an den richtigen Stellen gemountet aber es werden keine sharedlinks (Home_auf_Server, etc.) mehr erzeugt. Ich finde nirgends vernünftige Logmeldungen, die mir weiterhelfen könnten.

Bevor viele Nachfragen kommen…ja ich habe alle möglichen Konfigurationseinstellungen 1000 Mal überprüft. Ich habe das Paket 1000 Mal in verschiedenen Konstellationen neu installiert und konfiguriert. Letztlich: Ich habe gerade eine völlig neue Ubuntuinstallation gemacht und dann das entsprechende Paket installiert…auch hier genau die selbe Sch… Login geht Shares sind nicht da…

Ich vermute mittlerweile irgend ein Problem am Server habe aber überhaupt keine Idee mehr, wo ich noch suchen soll…den Befehl sophomorix-school gpo-create default-school habe ich auch schon abgesetzt.

Bitte um Hilfe.

Gruß

Dominik

Hallo Dominik

aufgeschreckt von deiner Mail habe ich mich remote versucht an einem virt. Clinet einzuloggen … gleiches Problem.

Vor 3 Tagen ging es noch. Seitdem habe ich nichts mehr gemacht am System.
Am Adminrechner konnte ich mich aber als Lehrer an der Schulkonsole anmelden.
(Habe ich gemacht um zu prüfen ob ich mein PW noch tippen kann).
Dann nochmal am Client: Dann ging es wieder …

Grüße Rainer

Hallo,

ich habe das Problem gefunden. Ich habe die AD auf ein letsencryptzertifikat umgestellt, um die ldap-auth gegen Webuntis hinzubekommen. Dabei habe ich übersehen, die neue CA auf die Ubuntuclients zu importieren…das war alles!

VG

Dominik

Hallo Dominik! @foer

Wie hast du die neue CA in die Ubuntu-Clients importiert?
Einfach die Rechner nochmals neu in die Domäne aufgenommen?

Gruß - Rainer

Hallo Rainer,

du musst die chain.pem des letsencrypt-Zertifikats auf dem Server nach /var/lib/samba/sysvol/linuxmuster.windeck-gymnasium.de/tls/ kopieren. Dort befindet sich die originale cacert.pem vom selfsigned Zertifikat. Ich habe die einfach umbenannt in cacert.pem.orig und die chain.pem dann in cacert.pem umbenannt.

Dann führst du auf dem Masterclient nochmal linuxmuster-client-adsso-setup aus, dabei wird am Ende das Zertifikat importiert. Danach ein neues Image und das wars.

LG

Dominik

Hallo Dominik!

Danke für deinen Hinweis. Leider war es etwas komplizierter und läuft noch nicht fehlerfrei.

Bevor du geantwortet hast, habe ich auf dem Linuxclient die alte Zertifikatsdatei gesucht und unter
/var/lib/samba/private/tls/DOMAIN.pem gefunden.
Dieses habe ich durch das neue letsencrypt-Zertifikat auf dem Server /etc/letsencrypt/live/FQDN/chain.pem (siehe smb.conf: “tls cafile = /etc/letsencrypt/live/SERVER.FQDN/chain.pem”) ersetzt.
Die Verbindungen zu den shares konnten damit bei der Anmeldung eines Benutzers an der Domäne aufgebaut werden (Linuxclient Ubuntu 18.04).
Trotzdem gab es beim Booten Fehlermeldungen der Art:
CIFS VFS: SMB signature verification returned error = -13

Also habe ich deinen Weg gewählt und auf dem Server die Zertifikatsdatei von /etc/letsencrypt/live/SERVER.FQDN/chain.pem nach /var/lib/samba/sysvol/DOMAIN/tls/cacert.pem kopiert.
Leider funktionierte eine neuerliche Domänenaufnahme an diesem Rechner nicht wirklich.
linuxmuster-client-adsso-setup lief fehlerfrei durch, aber man konnte sich nachher nicht anmelden.
Mit einem „anderen“ Rechner, mit dem ich bisher noch keine Domänenaufnahme gemacht hatte (in devices.csv Name und IP geändert) hatte ich dann Erfolg. Die Anmeldung funktioniert und die shares werden verbunden.
Leider besteht die CIFS-Fehlermeldung beim Booten unverändert.
Ich denke, dadurch wird das sysvol nicht verbunden und die darin bereitstellbaren Scripte können nicht ausgeführt werden.

Sind bei dir die CIFS-Fehlermeldungen beim Booten auch?

Gruß - Rainer

Hallo zusammen,
zu Dokumentationszwecken für verzweifelte Fehlersuchende hier noch ein (grundsätzlich bekannter) Tipp. Ich habe gestern schmerzlich (stundenlange Domänenbeitritte, Image-Schreibereien, sinnlose Dinge aus Verzweiflung) gelernt, dass man bei Problemen stets auf die Uhr schauen sollte

Also: Die Uhr meiner Clients ging 5-10min vor. Das ist genau genug dass eine Anmeldung am Rechner funktioniert aber liegt zu weit in der Zukunft als dass das Kerberos-Gedöhns noch funktionieren würde. Folge: Anmelden geht, aber Netzlaufwerke und Internetzugriff sind nicht vorhanden.
LG Jesko