Opnsense: kein SSO mehr nach Migration

fkretzschmar · 24. April 2023 um 06:25

Hallo zusammen,

bei uns war ein Umzug der Opnsense-Firewall von KVM auf ESX nicht über ein Veam-Backup möglich. Deshalb hat die IT des Schulträgers die Opnsense neu installiert und wir haben ein Konfigurationsbackup eingespielt. Seitdem funktioniert das SSO nicht mehr.
Ich habe das SSO schon neu eingerichtet und eine neue KeyTable erstellt - ohne Erfolg.

Ein Test scheint zu funktionieren:

Password for [...]@[.....]: 
OK token=[...]
BH quit command

Im Browser wird allerdings durchgehend der Authentifizierungsdialog angezeigt.

Was mich etwas wundert - wenn ich unter System → Zugang den Benutzer teste, wird folgender Fehler angezeigt:

    Authentication failed.
    error: error:0407008A:rsa routines:RSA_padding_check_PKCS1_type_1:invalid padding
    ldap_error: Can't contact LDAP server

Gibt es irgendetwas, was im Konfigurationsbackup nicht enthalten ist und diesen Fehler verursachen könnte (Skripte, Zertifikate)?

Danke für eure Hilfe
Fabian

alois · 24. April 2023 um 07:25

Hallo Fabian,

wurde vielleicht ein Passwort geändert?

Viele Grüße

Alois

fkretzschmar · 24. April 2023 um 08:53

Hallo Alios,

in der Musterlösung wurde kein Passwort geändert. Die Passwörter in der OPNsense wurden aus dem Konfigurationsbackup wiederhergestellt. Ich glaube nicht, dass es etwas mit Passwörtern zu tun hat.

Danke für deine Idee,
Beste Grüße
Fabian

fkretzschmar · 24. April 2023 um 13:52

Noch ein paar Zusatzinformationen:

wir nutzen das linuxmuster-client-adsso Skript, Version 0.9-3focal
wir nutzen Linuxmuster 7.0
die Clients sind Ubuntu 18.04LTS
die OPNsense ist auf aktuellem Stand

baumhof · 24. April 2023 um 14:08

Hallo

grundsätzlich, damit SSO geht, muss die Systemzeit von allen drei
beteiligten Rechnern stimmen: server, OPNsense und Client.
Da denkt man oft erst viel zu spät dran.

wir nutzen das linuxmuster-client-adsso
https://github.com/linuxmuster/linuxmuster-client-adsso Skript,
Version 0.9-3focal

linuxmuster-linuxclient7 ist das aktuelle paket.
linuxmuster-client-adsso
ist „outdatet“, sollte aber trotdem funktioneiren.
Wenn ihr das aber gerade neu macht, dann würde ich gleich das neue Paket
nehmen.

LG

Holger

fkretzschmar · 24. April 2023 um 14:25

Hallo Holger,

an die Systemzeit hatte ich auch schon gedacht, weil wir genau das Problem immer mal wieder bei Notebooks hatten, aber die Geräte laufen alle synchon.

Wenn wir ein neues Image erstellen (nach dem Umstieg auf 7.1 und qcow), wollen wir den Linuxclient sowieso komplett neu bauen; dann werden wir auch das neue Paket nehmen.

Danke und beste Grüße
Fabian

fkretzschmar · 24. April 2023 um 14:27

Könnt ihr denn auf der OPNsense unter System → Zugang Benutzer testen, ohne dass der folgende Fehler angezeigt wird?

    Authentication failed.
    error: error:0407008A:rsa routines:RSA_padding_check_PKCS1_type_1:invalid padding
    ldap_error: Can't contact LDAP server

baumhof · 24. April 2023 um 14:45

Hallo,

läuft der ldap auf dem Server?

service samba-ad-dc status

LG

Holger

fkretzschmar · 24. April 2023 um 14:56

Ja, sonst würde doch auch der Login an den Workstations und bei den Server-Diensten, die an das AD binden, nicht gehen, oder!?

Beste Grüße
Fabian

baumhof · 24. April 2023 um 16:25

Hallo Fabian,

Ja, sonst würde doch auch der Login an den Workstations und bei den
Server-Diensten, die an das AD binden, nicht gehen, oder!?

das stimmt: der würde nicht klappen.

LG

Holger

Cgsman · 24. April 2023 um 16:52

Hallo,

habt Ihr die Datei, in der das Konfigurationsbackup war, evtl. auf einem Windows-System „geparkt“ und dadurch eventuell die für UNIX-Systeme ab und zu unverträglichen Zeichenschluss-Sonderzeichen (CR/LF) drin ? (Reparieren geht unter Linux mit dem kate-Editor).
Nur so eine Idee.

L.G.
Christoph

fkretzschmar · 24. April 2023 um 20:59

Hallo Christoph,
der lag auf einem UNIX-System.

Danke für die Idee,
Beste Grüße
Fabian

Buster · 2. Mai 2023 um 10:33

fkretzschmar:

    Authentication failed.
    error: error:0407008A:rsa routines:RSA_padding_check_PKCS1_type_1:invalid padding
    ldap_error: Can't contact LDAP server
Gibt es irgendetwas, was im Konfigurationsbackup nicht enthalten ist und diesen Fehler verursachen könnte (Skripte, Zertifikate)?

Die Fehlermeldung deutet auf Zertifikate (RSA). Padding ist das Vorgehen zu kurze Zeichenketten auf für die Verschlüsselung benötigte Blockgröße aufzufüllen.
Kennt die OPNsense das Zertifikat der CA vom LDAP-Server? Ist es auch genau das selbe Zertifikat oder nur ein gleichnamiges?

MfG Buster

fkretzschmar · 11. Mai 2023 um 08:21

Hallo Buster,
in diese Richtung hatte ich auch schon gedacht und werde es beizeiten überprüfen. Wir haben den Proxy zunächst einmal deaktiviert und auf den Linux-Maschinen ausgetragen. Ein großer Teil der Geräte hier sind iPads, die den Proxy sowieso nie genutzt haben…

Ergänzung: Irgendwas ist beim Import des Zertifikates schief gegangen - es liegt sicherlich daran.

Beste Grüße
Fabian