Nach Update von v7 auf v7.2 werden die Home-Verzeichnisse nicht mehr gemountet

Hallo zusammen,
nach dem Update von v7 auf v7.2 habe ich das Problem, dass die Home-Verzeichnisse der SuS und der Lehrkräfte nicht mehr automatisch gemountet werden.

Jeder muss recht umständlich sein Verzeichniss über den Dateimanager einhängen. Das sind viele klicks und eine erneute Passworteingabe. Damit kann ich als Lehrer zwar leben aber meine SuS (Förderschule) nicht so gut.

Was kann ich prüfen um dem Fehler auf die Spur zu kommen?
Liebe Grüße
Ralf

Hallo Ralf,
lmn 7.0 zu 7.2 ist schon ein sehr großer Schritt.
Meine Vermutungen:

  1. Beriebsystem auf dem Client zu alt: will noch smb v.1 was ser verver ohne weiteres nicht mehr bereit stellt
  2. linuxmuster-linuxclient7 ist zu alt (auf den Clients) oder gar noch linuxmuster-client-ad-dc auf den Clients
  3. systemzeit (der Klassiker :slight_smile: )

LG
Holger

Hallo Holger,

Das Update erfolgte mit Zwischenschritt auf 7.1
Nach diesem Update auf 7.1 hatte ich aber massive Probleme, die nicht zu fixen waren. Zum Beispiel funktionierte das WebUI überhaupt nicht mehr aber immerhin die Home-Verzeichnisse wurden mit der 7.1 noch normal eingebunden.
Ich habe dann von 7.1 auf 7.2 upgedatet und danach funkionierte das WebUI wieder, die Homeverzeichnisse aber nicht mehr bzw. nur noch „manuell“

Das kann eigentlich nicht sein, da ich Debian12 aus dem Userforum verwende und das Image stetig auktualisiere. Zur Sicherheit: Wie oder wo könnte dich die smb-Version checken?

Version: 1.0.9

Wird gecheckt!

Viele Grüße
Ralf

Hallo Ralf,
bitte poste mal die
/etc/smb/smb.conf und die daran angehängten .conf Dateien des samba.
Meist sind so Probleme beim Update auf manuelle Anpassungen des Samba zurück zu führen.

Und vergiss nicht die Version des linuxmuster-client auf dem Client.

LG

Holger

jardon@lehrerpc:~$ cat /etc/samba/smb.conf 

#
# WARNING! All changes to this file will be overwritten by linuxmuster-linuxclient7 setup and upgrade!
#

[global]
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
security = user
tls verify peer = ca_and_name
tls cafile = /var/lib/samba/private/tls/linuxmuster.lan.pem
jardon@lehrerpc:~$ dpkg -s linuxmuster-linuxclient7
Package: linuxmuster-linuxclient7
Status: install ok installed
Priority: optional
Section: linuxmuster
Installed-Size: 180
Maintainer: Dorian Zedler <dorian@itsblue.de>, Andreas Till <andreas.till@netzint.de>
Architecture: all
Version: 1.0.9

Hallo Ralf,

ich meinte die sambaconfdateien vom server :slight_smile:
LG

Holger

:sweat_smile: Sorry!

root@server:~# cat /etc/samba/smb.conf
[global]
workgroup = LINUXMUSTER
realm = LINUXMUSTER.LAN
netbios name = SERVER
server role = active directory domain controller
dns forwarder = 172.16.1.253
registry shares = yes
host msdfs = yes
tls enabled = yes
tls keyfile = /etc/linuxmuster/ssl/server.key.pem
tls certfile = /etc/linuxmuster/ssl/server.cert.pem
tls cafile = /etc/linuxmuster/ssl/cacert.pem
tls verify peer = ca_and_name
ldap server require strong auth = no
printing = cups
printcap name = cups
time server = yes
winbind nested groups = yes
winbind expand groups = 6
log level = 3 passdb:5 auth:5

[netlogon]
path = /var/lib/samba/sysvol/linuxmuster.lan/scripts
read only = No
acl allow execute always = yes

[sysvol]
path = /var/lib/samba/sysvol
read only = No

[printers]
browseable = No
path = /var/spool/samba
printable = Yes
read only = No

[print$]
path = /var/lib/samba/printers
read only = No
include = /etc/samba/smb.conf.admin

root@server:/etc/samba# cat gdbcommands 
bt
quit


Hallo Ralf,

Wie ist den die IP eures Servers?
172.16.1.1?
Und die
172.16.1.254
ist die OPNSense?
Aber was ist dann die 172.16.1.253?

Dann fehlt in der Datei der Eintrag:

ntp signd socket directory = /run/samba/ntp_signd

Und es sind 3 Zeilen zuviel drin:

winbind nested groups = yes
winbind expand groups = 6
log level = 3 passdb:5 auth:5

da wurde also schon drin „gearbeitet“.

Nun ist es so, dass das Problem beim letzten mal mit den nichtverbundenen Verzeichnissen, wenn ich es recht erinnere, ein loglevel Eintrag war: allerdings nicht in der smb.conf sondern in der smb.conf.admin

Bitte schick auch noch den Inhalt der smb.conf.admin

Und ansonsten würde ich die drei von mir angemahnten Zeilen mal rausnehmen, den sambadienst neustarten und dann noch mal testen.

service samba-ad-dc restart

LG
Holger

Exakt!

Nein, die .254 gibt es gar nicht.

Das ist die OPNsense

Die habe ich nicht mitgesendet weil sie leer ist.

Ich teste jetzt deine Zeilen und melde mich dann nochmals.
Vielen Dank für die Analyse :grinning:

NACHTRAG:
Hab’s getestet. Uhrzeit ist ebenfalls synchron!
Leider wird das Homeverzeichnis noch immer nicht beim Login eingebunden.

Könnte es vielleicht an der OPNsense liegen?
Ich habe das System ja von 7.0 → 7.1 upgedated - da funktionierte das Homeverzeichnis noch.
Nach dem Update von 7.1 → 7.2 nicht mehr - allerdings habe ich die OPNsense NICHT upgedated. Getreu dem Motto: „never change a running system“ :innocent:

Vielleicht liegt dort der Hund begraben?

Hallo Ralf,

hast du die nichtnormalen Zeilen in der smb.conf auskommentiert und den samba neu gestartet?

Und was ist mit
ntp signd socket directory = /run/samba/ntp_signd
Ist die Zeile drin?

LG

Holger

Hallo Holger,
ja genau. Ich habe die nichtnormalen Zeilen gelöscht und die ntp Zeile aufgenommen.
Anschließend neu gestartet…

LG
Ralf

Hi Ralf,

Ich würde dazu noch die Logs auf dem Client überprüfen.
Such bitte nach mount oder mountpoint in /var/log/syslog und vielleicht gibt es in die nächste Zeilen eine hilfreiche Fehlermeldung.

Ich habe auch mehrmals erlebt, dass aus Sicht des Clients, der Server zwei IPs hat, das kann man auf dem Client mit dig SERVERHOSTNAME überprüfen.

Gruß

Arnaud

Hallo Arnaud,

/var/log/syslog gibt es auf den Clients nicht.
Ein dmesg liefert aber hunderte Zeilen wie diese:

linuxadmin@lehrerpc:/home/jardon$ sudo dmesg
[sudo] Passwort für linuxadmin: 
[ 5589.979591] CIFS: VFS: Verify user has a krb5 ticket and keyutils is installed
[ 5589.979597] CIFS: VFS: \\server.linuxmuster.lan Send error in SessSetup = -126

dig server (bei uns heißt der LMN-Server tatsächlich „server“ liefert folgendes:

linuxadmin@lehrerpc:/home/jardon$ sudo dig server

; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> server
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59470
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;server.				IN	A

;; AUTHORITY SECTION:
.			621	IN	SOA	a.root-servers.net. nstld.verisign-grs.com. 2024120900 1800 900 604800 86400

;; Query time: 0 msec
;; SERVER: 172.16.1.1#53(172.16.1.1) (UDP)
;; WHEN: Mon Dec 09 11:03:06 CET 2024
;; MSG SIZE  rcvd: 99

Hilf da etwas?
LG
Ralf

Hi Ralf,

Du brauchst ein sudo dig server.linuxmuster.lan.
Ich glaube von den Logs braucht man was vor oder nach diesen hunderten Fehler auftaucht.

Gruß

Arnaud

linuxadmin@lehrerpc:/home/jardon$ sudo dig server.linuxmuster.lan

; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> server.linuxmuster.lan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63398
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;server.linuxmuster.lan.		IN	A

;; ANSWER SECTION:
server.linuxmuster.lan.	900	IN	A	172.16.1.1

;; AUTHORITY SECTION:
linuxmuster.lan.	3600	IN	SOA	server.linuxmuster.lan. hostmaster.linuxmuster.lan. 47213 900 600 86400 3600

;; Query time: 0 msec
;; SERVER: 172.16.1.1#53(172.16.1.1) (UDP)
;; WHEN: Mon Dec 09 11:10:42 CET 2024
;; MSG SIZE  rcvd: 103

Danach:

 7210.909220] CIFS: VFS: \\server.linuxmuster.lan Send error in SessSetup = -126
[ 7211.064039] audit: type=1400 audit(1733739126.033:703): apparmor="ALLOWED" operation="open" profile="/usr/sbin/sssd" name="/proc/10632/cmdline" pid=1584 comm="sssd_nss" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

Davor kann ich gerade nichts finden, dafür muss ich wohl neu booten.
In welchen Logdatein kann ich noch suchen?
/var/log/sssd scheint mir interessant zu sein!?

Soll ich die „keyutils“ mal löschen? Das scheint ihm ja nicht zu gefallen, dass ich ein krb5 Ticket habe UND keyutils installiert ist???
NACHTAG: keyutils ist wohl wichtig, er will dann auch noch linuxmuster-linuxclient7 mit deinstallieren :joy:
Das lasse ich lieber mal :wink:

Ok, danke die DNS scheinen gut zu sein und ja, keyutils muss da bleiben.
Wenn ich die Meldung richtig im Netz verstehe, kann es sein, dass der Hostkey vom Server fehlt oder falsch ist, ich bin da nicht sicher.

Hast du schon probiert ein sudo linuxmuster-linuxclient7 setup wieder laufen zu lassen ?

Gruß

Arnaud

Nein, aber gerade durchgeführt:

linuxadmin@lehrerpc:/home/jardon$ sudo linuxmuster-linuxclient7 setup
[sudo] Passwort für linuxadmin: 
Das hat nicht funktioniert, bitte nochmal probieren.
[sudo] Passwort für linuxadmin: 
[INFO] #### linuxmuster-linuxclient7 setup ####
[INFO] Cleaning sssd cache.
[INFO] Stopping sssd
[INFO] Deleting old kerberos tickets.
[INFO] Cleaning / leaving all domain joins
[INFO] * linuxmuster.lan
[INFO] -> Done!
[INFO] Deleting krb5.keytab if it exists ... 
[INFO] Deleting old CA certificate if it exists ... 
[INFO] * Deleting linuxmuster.lan.pem
[INFO] Deleting /etc/linuxmuster-linuxclient7/network.conf if exists ...
[INFO] Trying to discover available domains...
[INFO] Using first discovered domain linuxmuster.lan
[INFO] Preparing network configuration
[INFO] Writing new network Configuration
[INFO] Deleting obsolete files
[INFO] * /etc/profile.d/99-linuxmuster.sh
[INFO] * /etc/sudoers.d/linuxmuster
[INFO] * /etc/profile.d/linuxmuster-proxy.sh
[INFO] * /etc/bash_completion.d/99-linuxmuster-client-adsso.sh
[INFO] * /etc/profile.d/99-linuxmuster-client-adsso.sh
[INFO] * /etc/sudoers.d/linuxmuster-client-adsso
[INFO] * /usr/sbin/linuxmuster-client-adsso
[INFO] * /usr/sbin/linuxmuster-client-adsso-print-logs
[INFO] * /etc/systemd/system/linuxmuster-client-adsso.service
[INFO] * /home/linuxadmin/.config/autostart/linuxmuster-client-adsso-autostart.desktop
[INFO] * /etc/cups/client.conf
[INFO] * /usr/share/linuxmuster-linuxclient7/templates/linuxmuster-client-adsso.service
[INFO] * /usr/share/linuxmuster-linuxclient7/templates/linuxmuster-client-adsso-autostart.desktop
[INFO] * /etc/security/pam_mount.conf.xml
[INFO] * /usr/share/linuxmuster-linuxclient7/templates/pam_mount.conf.xml
[INFO] Deleting obsolete directories
[INFO] * /etc/linuxmuster-client
[INFO] * /etc/linuxmuster-client-adsso
[INFO] * /usr/share/linuxmuster-client-adsso
[INFO] Applying all configuration templates:
[INFO] * linuxmuster-linuxclient7.desktop ...
[DEBUG] -> to /home/linuxadmin/.config/autostart/linuxmuster-linuxclient7-autostart.desktop
[INFO] * krb5.conf ...
[DEBUG] -> to /etc/krb5.conf
[INFO] * cifs.spnego.conf ...
[DEBUG] -> to /etc/request-key.d/cifs.spnego.conf
[INFO] * nsswitch.conf ...
[DEBUG] -> to /etc/nsswitch.conf
[INFO] * timesyncd.conf ...
[DEBUG] -> to /etc/systemd/timesyncd.conf
[INFO] * linuxmuster-linuxclient7.service ...
[DEBUG] -> to /etc/systemd/system/linuxmuster-linuxclient7.service
[INFO] * common-session ...
[DEBUG] -> to /etc/pam.d/common-session
[INFO] * smb.conf ...
[DEBUG] -> to /etc/samba/smb.conf
[INFO] * lightdm.conf ...
[DEBUG] -> to /etc/lightdm/lightdm.conf.d/50-linuxmuster.conf
[INFO] * greeter.dconf-defaults ...
[DEBUG] -> to /etc/gdm3/greeter.dconf-defaults
[INFO] Reloading systemctl ... 
[INFO] Updating pam configuration ... 
[INFO] Raloading systctl daemon
[INFO] Enabling services:
[INFO] * linuxmuster-linuxclient7
[INFO] * smbd
[INFO] * nmbd
[INFO] * sssd
[INFO] Restarting services:
[INFO] * smbd
[INFO] * nmbd
[INFO] * systemd-timesyncd

[INFO] #### Joining domain linuxmuster.lan ####
 * Resolving: _ldap._tcp.linuxmuster.lan
 * Performing LDAP DSE lookup on: 172.16.1.1
 * Successfully discovered: linuxmuster.lan
Passwort für global-admin: 
 * Unconditionally checking packages
 * Resolving required packages
 * LANG=C /usr/sbin/adcli join --verbose --domain linuxmuster.lan --domain-realm LINUXMUSTER.LAN --domain-controller 172.16.1.1 --login-type user --login-user global-admin --stdin-password
 * Using domain name: linuxmuster.lan
 * Calculated computer account name from fqdn: LEHRERPC
 * Using domain realm: linuxmuster.lan
 * Sending NetLogon ping to domain controller: 172.16.1.1
 * Received NetLogon info from: server.linuxmuster.lan
 * Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-pVumyC/krb5.d/adcli-krb5-conf-YmYo0j
 * Authenticated as user: global-admin@LINUXMUSTER.LAN
 * Using GSS-SPNEGO for SASL bind
 * Looked up short domain name: LINUXMUSTER
 * Looked up domain SID: S-1-5-21-3483747289-84468660-1331881019
 * Using fully qualified name: lehrerpc.linuxmuster.lan
 * Using domain name: linuxmuster.lan
 * Using computer account name: LEHRERPC
 * Using domain realm: linuxmuster.lan
 * Calculated computer account name from fqdn: LEHRERPC
 * Generated 120 character computer password
 * Using keytab: FILE:/etc/krb5.keytab
 * Found computer account for LEHRERPC$ at: CN=LEHRERPC,OU=R201,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
 * Sending NetLogon ping to domain controller: 172.16.1.1
 * Received NetLogon info from: server.linuxmuster.lan
 * Set computer password
 * Retrieved kvno '5' for computer account in directory: CN=LEHRERPC,OU=R201,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
 * Checking HOST/LEHRERPC
 *    Added HOST/LEHRERPC
 * Checking HOST/LEHRERPC.linuxmuster.lan
 *    Added HOST/LEHRERPC.linuxmuster.lan
 * Checking RestrictedKrbHost/LEHRERPC
 *    Added RestrictedKrbHost/LEHRERPC
 * Checking RestrictedKrbHost/LEHRERPC.linuxmuster.lan
 *    Added RestrictedKrbHost/LEHRERPC.linuxmuster.lan
 * Discovered which keytab salt to use
 * Added the entries to the keytab: LEHRERPC$@LINUXMUSTER.LAN: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/LEHRERPC@LINUXMUSTER.LAN: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/lehrerpc.linuxmuster.lan@LINUXMUSTER.LAN: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/LEHRERPC@LINUXMUSTER.LAN: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/lehrerpc.linuxmuster.lan@LINUXMUSTER.LAN: FILE:/etc/krb5.keytab
 * /usr/sbin/update-rc.d sssd enable
 * /usr/sbin/service sssd restart
 * Successfully enrolled machine in realm
[INFO] It looks like the domain was joined successfully.
[INFO] Installing server ca certificate ... 
[DEBUG] Calculating mountpoint of //server.linuxmuster.lan/sysvol
[WARNING] Uid could not be found! Continuing anyway!
[DEBUG] Trying to mount '//server.linuxmuster.lan/sysvol' to '/srv/samba/LEHRERPC$/sysvol'
[DEBUG] * Creating directory...
[DEBUG] * The mountpoint is already mounted.
[DEBUG] Calculating mountpoint of //server.linuxmuster.lan/sysvol
[INFO] Copying CA certificate from server to client!
[ERROR] Failed!
[ERROR] === An exception occurred ===
[ERROR] [Errno 13] Permission denied: '/srv/samba/LEHRERPC$/sysvol/linuxmuster.lan/tls/cacert.pem'
[ERROR] === end exception ===

================================================================================
The setup FAILED, see previous errors!
Plase check your configuration and try again.
================================================================================

…und auch dort gibt es Fehlermeldungen bzgl. des Mountens!

Später werde ich rebooten und schauen ob sich etwas verändert hat. Im Moment bin ich im Unterricht…

Inzwischen habe ich neu gebootet.

Nun kann ich mich als Benutzer nicht mehr anmelden :thinking:

Ich habe mich nun als linuxadmin angemeldet und das setup nochmals gestartet.

Das Problem ist, dass er das cacert.pem nicht kopieren kann (permission denied).
Wenn ich von Hand in den Pfad gehe, kann ich aber als Benutzer root ganz normal auf die Datei zugreifen.

EDIT: kann ich doch nicht. Ich sehe zwar die Datei im Browser, kann sie aber nicht öffnen.

UPDATE: ich habe jetzt auf dem Server die Leseberechtigung für die cacert.pem erweitert und so lief das „linuxmuster-linuxclient7 setup“ ohne Fehler durch.
Mache jetzt einen reboot!

Hallo Ralf,

bitte mach mal ein # an den Anfang der Zeile für den lehrerpc von dem aus du das Image erstellen willst in der /etc/linuxmuster/default-school/devices.csv
Damit ist die Zeile auskommentiert.
Dann läßt du
linuxmuster-import-devices
laufen (alles auf dem Server).
Dann gehst die wieder in die devices.csv, machst den # wieder weg und änderst den Namen des lehrerpcs ab zum beispiel zu
lehrerpc-r102 (passende Raumnummer nehmen).
Dann nochmal
linuxmuster-import-devices machen.
Achte auf Fehlermeldungen am Ende der Ausgaben von linuxmuster-import-devices.

Danach den lehrerpc-r102 booten und syncen (mit rot).
Wenn er hochgefahren ist, lokal als linuxadmin anmelden und einen terminal öffnen und folgende Befehle eingeben:
sudo su
linuxmuster-linuxclient7 setup

Wenn das durchgelaufen ist, den Client gleich neustartenund ein Image erstellen.
Dieses Image auf einen anderen Rechner zurückspielen und den Domainlogin testen.

Sollte bei linuxmuster-linuxclient7 setup eine Fehlermeldung kommen, bitte nochmal den gesammten Text posten.

LG
Holger

PS: ich hab gerade erst dein Update gelesen: hat es nun schon geklappt?

Also… ich habe jetzt nach dem „linuxmuster-linuxclient7 setup“, welches nun fehlerfrei durchäuft, direkt ein Image erzeugt und dieses verteilt.
Nun können sich alle wieder anmelden (immerhin :laughing:) aber die Home-Verzeichnisse werden noch immer nicht automatisch eingebunden.
Ich glaube, ich belasse es im Moment dabei.

Dann müssen die SuS halt auf:
→ andere Ort → SERVER → default-school → students → name klicken
um etwas zu speichern. Gewöhnt man sich auch dran.

Wenn ich wieder Nerv und Zeit habe, versuche ich das mit dem Auskommentieren auf dem Server. Allerdings habe ich die Images zunächst von einem Schülerpc aus erstellt. Nur zuletzt habe ich das vom LehrerPC aus gemacht. Daher weiß ich nicht ob das Auskommentieren/Umbennen des Lehrerpcs etwas bringt.

Vielleicht könnte ich auch im login-script für die SuS einen mount-Befehl verankern, um es einfacher zu machen? Ist vermutlich aber schwierig wegen dem SSO :thinking:

Liebe Grüße
Ralf