Versuchen gerade lmn-bionic-200507.cloop in die Domaene per linuxmuster-client-adsso-setup aufzunehmen, das laeuft weitgehend durch bis.
Installing server certificate ... mount error(2): No such file or directory
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
cp: Aufruf von stat für '/var/lib/samba/sysvol/wvss-mannheim.de/tls/cacert.pem' nicht möglich: Datei oder Verzeichnis nicht gefunden
umount: /var/lib/samba/sysvol: nicht eingehängt.
Success!
All done! Now reboot the client, please.
Wenn ich einen User anmelden will, dann geht das dann auch nicht, obwohl Kerberos-Shit auf dem Server ankommt (per tcpdump gesehen).
Denke die Anmeldung braucht das oben fehlgeschlagene Zertifkat nicht, wird wohl nur fuer linbo-remote sein?
User hab ich ueber die Schulkonsole angelegt.
Ich hab irgendwie das Gefuehl, dass bei der „from scratch“-Installation einige Anpassungen nicht gemacht wurden und die paar Leute, die diese benutzen, die Anpassungen ueber das Rueckenmark erledigt haben und sich nicht mehr dran erinnern. Ihr kennt das System besser als ich.
Ich hatte das gleiche Problem, ich habe das Zertifikat manuell per scp auf dem Client kopiert, und damit klappte die Anmeldung.
Ich hatte noch keine Zeit um es genauer anzuschauen, voran es liegen könnte.
Danke ihr zwei, ich schau mir das morgen nochmal genauer an. Wir haben das Zertifikat auch mal haendisch rueberkopiert, kann aber sein, dass das irgendwo anders gelandet ist.
Sahen keinen Zusammenhang mit dem Zertifikat und der Anmeldung.
Steht nix drin, irgendwie schickt er noch keinen Kerberoskram rueber.
Edith: Falls Du die auth.log des Clients meinst, pam-Shit, Alder…da dreht ich mich gleich rum und mach’n Bier auf.
Ich weiss, ich muss jetzt stark sein.
Jul 23 14:06:27 r307-pc66 lightdm: pam_unix(lightdm:auth): check pass; user unknown
Jul 23 14:06:27 r307-pc66 lightdm: pam_unix(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=
Jul 23 14:06:27 r307-pc66 lightdm: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=wursthans
Jul 23 14:06:27 r307-pc66 lightdm: pam_sss(lightdm:auth): received for user wursthans: 10 (User not known to the underlying authentication module)
Bringt auch nix, auffaellig ist, dass da schon Zeug drinsteht.
Stimmt der Pfad?
root@r307-pc66:/var/lib/samba/private/tls# ls
bzpf.lan.pem cacert.pem linuxmuster.windeck-gymnasium.de.pem lmn.lan.pem wvss-mannheim.de.pem
Das wvss-mannheim.de.pem hab ich dazugefrickelt.
Hab gerade keine Lust mehr, so komme ich nicht weiter.
Ich würde noch mal linuxmuster-client-adsso-setup laufen lassen. Das sollte eigentlich durch laufen. Wenn das (schon) nicht klappt, wird es mit der Anmeldung schwierig.
Danke ihr zwei, ich schau mir das morgen nochmal genauer an. Wir haben
das Zertifikat auch mal haendisch rueberkopiert,
was habt ihr von wo nach wo kopiert?
Bei Zertifikaten sind meist die Dateirechte sehr wichtig.
Also: wo liegen sie auf dem Client und welche Rechte haben sie?
Außerdem könnte es sein, dass das kopieren alleine nicht reicht:
vielelicht muss der Client auch die CA des Servers anerkennen, sonst
akzeptiert er die möglicherweise korrekt vorhandenen Zertifikate nicht:
ich weiß nicht genau was das adsso script da alles macht.
In jedem Fall ist irgend was schräg: ich habe bei mindestens 15
durchläufen des scripts in verschiedensten Umgebungen noch nie erlebt,
dass es das Zertifikat nicht kopieren konnte.
Stand da nicht auch was von cant mount sysvol oder so?
Hast du auf dem server mal
sophomorix-school --gpo-create default-school
laufen lassen?
Hast du den server Gestern oder Heute aktualisiert? Es gab ein
Fehlerhaftes Update (gestern) welches nach ein paar Stunden durch ein
korrigiertes Ersetzt wurde: deswegen lieber nochmal updaten und dann
sophomorix-school --gpo-create default-school
und dann nochmal versuchen (vorher die /etc/krb5.keytab löschen)
Wir installieren jetzt mal die VMs, vielleicht sind wir zu doof fuer die „scratch“-Nummer, vielleicht aber auch zu eingefahren auf alte Unixpfade. Das „Poweruserproblem“, die denken immer sie koennen’s besser als die Anleitung, die wir eigentlich sauber abgearbeitet haben.
Anders kann ich’s mir eigentlich nicht erklaeren, meine Unixskills sind 30 Jahre alt, arbeite seit 1990 erst mit HP-UX, dann AIX von IBM, ab 94 nahezu ausschliesslich mit Linux, administriere zwei Handvoll Server und bin nicht in der Lage die 7er-LML zum Laufen zu bekommen - das frisst jetzt schon an meinem Ego.
Ich wuerde gerne mal den „Netzwerkberatern“, die das eben mal nebenher installieren und grundkonfigurieren ueber die Schulter schauen, vielleicht bin ich mittlerweile einfach zu alt dafuer.
Hast du auf dem server mal
sophomorix-school --gpo-create default-school
laufen lassen?
Nein, sollte ich? Steht das denn irgendwo?
… das steht so in meinem Kopf.
Es war mal während der Betaphase irgend wann nötig, weil die
Netzlaufwerke weg waren…
Keine Ahnung ob das noch hilft (oder in dieser Situation):
Aber du weißt ja: wenn du nur einen Hammer hast, sehen die meisten
Probleme wie ein Nagel aus …
Wir installieren jetzt mal die VMs, vielleicht sind wir zu doof fuer die
„scratch“-Nummer, vielleicht aber auch zu eingefahren auf alte
Unixpfade. Das „Poweruserproblem“, die denken immer sie koennen’s besser
als die Anleitung, die wir eigentlich sauber abgearbeitet haben.
Anders kann ich’s mir eigentlich nicht erklaeren, meine Unixskills sind
30 Jahre alt, arbeite seit 1990 erst mit HP-UX, dann AIX von IBM, ab 94
nahezu ausschliesslich mit Linux, administriere zwei Handvoll Server und
bin nicht in der Lage die 7er-LML zum Laufen zu bekommen - das frisst
jetzt schon an meinem Ego.
… muß nicht an dir liegen.
Ab und zu bringen updates ja auch mal Probleme: vor allem an Stellen,
die man eben nicht so im Blick hat.
Meine letzte Installation „from scratch“ liegt schon mehrere Monate
zurück: da hat es bei mir geklappt: möglich dass es inzwischen anders ist …
Ich wuerde gerne mal den „Netzwerkberatern“, die das eben mal nebenher
installieren und grundkonfigurieren ueber die Schulter schauen,
vielleicht bin ich mittlerweile einfach zu alt dafuer.
…
Wie gesagt: muß nicht an dir, oder an deinem Alter liegen.
Das Einzige was ich mir jetzt noch vorstellen kann ist, dass es mit unserer Split-DNS-Konfiguration zu tun hat, wir nutzen also innen die gleiche Domain wie draussen.
Hat denn jemand in den letzten Tagen/Wochen die 7er-Installation erfolgreich nach Anleitung installiert? Es laufen doch einige davon im Produktivbetrieb.
Entweder wir machen da irgendwas monumental falsch oder der Installer „is broken by default“.
Hallo Harry,
hast du ganz am Anfang auf dem Linux-Client ein linuxmuster-cloop-turnkey gemacht?
Das macht etwas mehr als ein linuxmuster-client-adsso-setup (das Serverzertifikat wird auf den Client kopiert und von samba eingebunden).
Gruß,
Mathias
Wir haben mittlerweile den ganzen Scheiss nochmal mit den VMs installiert, geht immer noch nicht. Wir machen jetzt mal eine Woche Pause und sehen dann weiter.
Ich kann mir immer noch nicht vorstellen, dass das irgendwer ueber die Anleitung durchinstalliert bekommt.
Hallo Harry, linuxmuster-cloop-turnkey kopiert einen key vom Server auf den Clientz in das Verzeichnins /var/lib/samba/private/tls. Da ich bei mir als Domäne linuxmuster.lan angegeben habe, liegt in /var/lib/samba/private/tls die Datei linuxmuster.lan.pem.
Wenn man auf einem Linux-Client linuxmuster-cloop-turnkey ausführt wird also in der Datei linuxmuster.lan.pem der Key vom Server gespeichert und in Samba eingebunden.
Und danach wird der Client in die Domäne aufgenommen. Jetzt sollte der Client neu gestartet werden.
Wenn man jetzt ein Cloop von der Linux-Partition anlegt und auf den Server hochlädt, wird nicht nur das Cloop auf den Server hochgeladen. Es werden auch die Password-Hashes für den Maschienenaccount des Clients in der Datei Cloopname.cloop.macct gespeichert.
Bei jedem Start, werden die Password-Hashes für den AD und Kerberos zurückgespielt.
Daraus ergibt sich ein möglicher Fehler: Wenn man nicht sofort ein Cloop erzeugt und hoch lädt, werden die Password-Hashes durch falsche Hashes überschrieben. Und danach geht nichts mehr.
Allerdings können in gemischten Umgebungen eigenartige Effekte auftreten (siehe hier).
Was bei mir letztendlich geholfen hat, war in der macct-Datei des Linux-Cloops die Zeilen
heraus zu löschen.
Dann hat’s bei mir fuktioniert. Das darf man allerdings nicht beim Windows-Cloop machen. Sonst kann man sich unter Windows nicht mehr anmelden.
Das tut ja bei uns schon nicht, der Mount vom Serververzeichnis laeuft ja schon schief und wenn ich die PEM-Datei da haendisch reinkopiere geht das auch nicht weiter.
linuxmuster-cloop-turnkey ruft ja wohl linuxmuster-client-adsso-setup auf.
Was mich wundert ist, dass hier anscheinend keiner so ganz genau weiss, was da vor sich geht - aber irgendwer muss doch das Ganze zusammengefrickelt haben?
Ich habe es in den letzten Tagen noch mal gemacht. Es klappt tatsächlich Hat es evtl. was mit eurem Split-DNS zu tun? Lief das linuxmuster-setup wirklich sauber durch (logs gibt es in /var/log/linuxmuster)?
Im Prinzip sind es ja diese Schritte zum erfolgreichen Setup:
Server mit zwei Platten
linuxmuster-prepare -p server ...
linuxmuster-setup (oder über die webUI) (hier musste ich linuxmuster-base7 neu installieren, da irgendeine Abhängigkeit nicht kompiliert wurde)
Benutzer anlegen
Rechner aufnehmen + start.conf etc.
Rechner starten, formatieren
Ubuntu installieren auf /dev/sda1
linuxmuster-client-adsso installieren und laut den Schritten im Github-Wiki einrichten.
Alle diese Schritte sollten sauber durchlaufen, ansonsten gibt es nachfolgend Probleme.
ein Nutzer hat die Probleme mit dem Linuxclient auf DNS Probleme in
seiner Installation zurück führen können und so lösen können (Probleme
die in anderen INstallationen so bisher noch nciht aufgetreten waren).
Unten steht, was er mir dazu geschrieben hat.
Nein, da steht von mir nichts in ask, ich habe es allein gelöst.
Die Probleme von „Harry“ und Stefan habe ich nicht gelesen, aber die DNS
müssen auf jedem absolut stimmen für Samba 4.
Das einfachste, um die Anmeldung eines Lehrers auf einem Client zu
testen, ist per SSH von dem Server, damit kann man schnell wissen, was
los ist.
Wenn es läuft, muss man auf dem Client dann überprüfen, ob der Id
mapping stimmt, z.B. mit „id LEHRER“, es soll das gleiche sein wie auf
dem Server.
Dann testet man ob die DNS-Anfragen korrekt sind, z.B. „nslookup andere-client.mydomain.de“ ( oder mit dig ).
Ich musste auf meine Clients das Paket resolvconf entfernen, und die
Einträge in /etc/resolv.conf anpassen damit es läuft.
