Ich habe es jetzt noch mal mit Tabelle löschen und dann erstellen probiert. Jetzt kommt folgender Fehler:
Password for global-admin@LINUXMUSTER.LAN:
-- init_password: Wiping the computer password structure
-- generate_new_password: Generating a new, random password for the computer account
-- generate_new_password: Characters read from /dev/urandom: 85
-- get_dc_host: Attempting to find domain controller to use via DNS SRV record in domain LINUXMUSTER.LAN for procotol tcp
-- DnsSrvQuery: Running DNS SRV query for _kerberos._tcp.dc._msdcs.LINUXMUSTER.LAN
-- get_dc_host: Attempting to find domain controller to use via DNS SRV record in domain LINUXMUSTER.LAN for procotol udp
-- DnsSrvQuery: Running DNS SRV query for _kerberos._udp.dc._msdcs.LINUXMUSTER.LAN
-- get_dc_host: Attempting to find a domain controller to use (DNS domain)
-- validate: Error: gethostbyname failed for LINUXMUSTER.LAN: Name does not resolve
-- get_dc_host: Found preferred domain controller:
Error: get_dc_host failed
D.h., ich habe wohl noch ein Problem mit der „lokalen DNS-Konfiguration“? Wo muss ich das einstellen?
Wenn ich auf dem Server (ssh 10.0.0.1) bin, funktioniert ping linuxmuster.lan.
Von der Firewall aus (ssh 10.0.0.254), kann ich ping 10.0.0.1, aber ping linuxmuster.lan geht nicht.
Vorschläge?
PS: Hostname DNS Reverse-Lookup ist jetzt wieder grün…
kontrollier mal deine Einstellungen zum DNS in der Firewall.
Dazu gibt es Treads hier im Forum wo steht, wie das eingestellt sein muss.
Läuft der unbound Dienst?
Ist er richtig konfiguriert?
Wichtig ist vor allem, was in der OPNsense unter
System->Einstellungen->Allgemein ganz unten steht.
Bei mir steht da die IP des Servers.
irgendwas läuft da richtig schief.
Wenn ich die kerberos-Authentifizierungscheckliste aufrufe und immer mal aktualisiere, kommen immer wieder andere Dienste, die rot sind. Machmal ist fast alles grün, manchmal fast alles rot :-(…
Zu Deinen anderen Hinweisen:
unbound läuft
„richtig konfiguriert“ ist schwer zu beantworten ;-). Ich habe jedenfalls nichts geändert…
bei System->Einstellungen->Allgemein sind und DNS-Server zwei Einträge:
10.0.0.1
192.168.10.11
jeweils aber ohne ausgewähltes Gateway.
Soll das so? Bei Gateway stehen zur Auswahl:
Wenn ich die kerberos-Authentifizierungscheckliste aufrufe und immer mal
aktualisiere, kommen immer wieder andere Dienste, die rot sind. Machmal
ist fast alles grün, manchmal fast alles rot :-(…
auch bei mir wechseln die Farben ab und zu : per se ist das also nicht
fatal.
Zu Deinen anderen Hinweisen:
unbound läuft
„richtig konfiguriert“ ist schwer zu beantworten ;-). Ich habe
jedenfalls nichts geändert…
… außer dass du die Firewall auf einen früheren Zustand zurückgesetzt hast.
Klingt für mich schon nach einer Änderung …
Und zu dem schwer zu beantworten: hast du das Forum durchsucht nach
Hinweisen, wie das ein zu stellen ist?
bei System->Einstellungen->Allgemein sind und DNS-Server zwei Einträge:
10.0.0.1
192.168.10.11
jeweils aber ohne ausgewähltes Gateway.
Soll das so? Bei Gateway stehen zur Auswahl:
WAN_DCHP6 - wan -
WAN_DHCP - wan - 192.168.11.1
GW_LAN - lan - 10.0.0.254
deine Firewall ist für IPv6 konfiguriert?
Das ist bei mir immer abgeschaltet.
Wo steht den, wie man die OPNsense für die lmn7 mit ipv6 konfiguriert?
ich habe da nichts von Hand eingestellt. Wenn da etwas „konfiguriert“ ist, dann weil das nach Abarbeiten der Anleitung so entstanden ist.
Ich habe mal das „IPv4 bevorzugen“ ausgewählt. Bringt soweit keine Änderung.
Ich bin beim Durcharbeiten des Forums - da ich ja aber (außer das Zurücksetzen der VM der Firewall nach einem gescheiterten Update auf den Zustand direkt vor dem Update) nichts an der Firewall gespielt habe, ging ich davon aus, dass dort alles auf Standard - als korrekt eingestellt - laufen müsste.
Einen Verdacht habe ich noch: durch Raumwechsel unseres proxmox-Hosts (Hardware) hat sich dessen Netzwerk bzw. IP-Adresse geändert. In der opnSense fliegen ja auch 192.168.11.xxx-Adressen rum. Welche Bedeutung haben diese?
Muss da an jeder Stelle die IP von red-Anschluss des proxmox (192.168.11.89) rein oder kriegt die Firewall eine eigene Adresse im red-Netz?
Oder gar nichts von beiden?
Da ist jetzt irgendwie zu viel kaputt gegangen. Ich setze noch mal auf das BackUp der VM zurück und starte von da neu. Da gab es immerhin noch eine keytab ;-)…
Beim Schlüssel-Erzeugen mit global-admin kommt jetzt wieder diese Meldung:
Error: another computer account (CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan) has the principal host/firewall
Error: ldap_add_principal failed
Das verstehe ich nicht…wieso „hat“ ein Account den „principal host/firewall“ (<- was soll das sein?) ?
das Thema IPv6 führt nur weg vom eigentlichen Problem. Es ist normal, dass auch für IPv6 ein Gateway angelegt wird, wenn DHCP aktiv ist. Solange dort keine IP dahinter steht, passiert da auch erstmal nichts. Die Firewall hat zeitweise DNS-Problem (mal geht es, mal nicht). Da aber nur IPv4-Adressen für DNS-Server eingetragen sind, spielt IPv6 keine Rolle, aber eine zweite DNS-Server-IP-Adresse hingegen schon.
Damit die Firewall linuxmuster.lan auflösen kann, darf sie auch nur den DNS-Server befragen, der weiß, welche IP linuxmuster.lan hat. Hast du wie im Abschnitt Single Sign-On aktivieren deine interne Schuldomain als Domainüberschreibung eingerichtet? Im Screenshot dort steht schule.lan, was bei dir linuxmuster.lan sein muss.
Du hast zwei Nameserver genannt. Welches Gerät steckt hinter 192.168.11.10? Nach meinem Verständnis dürfte dort nur die eine IP des LMN-Servers stehen. Falls eine der IPs ein externer Router/Firewall oder DNS-Server ist, sollte diese IP entfernt werden.
Dann gibt es ein weiteres Problem, dass in dem Fall, wo der LMS-Server kontaktiert werden kann, dieser sagt, es gibt schon ein Computerobjekt, welche den selben Principal erhalten soll. Hier kann ich gerade nicht beurteilen, ob CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan der vorgesehene Ort ist oder ob es sich um einen weiteren Eintrag an falscher Stelle handelt. Gibt es die Firewall zweimal in deiner Geräteliste in der LMN-Weboberfläche?
Ich vermute, die 192.168.11.10 war die alte IP (DHCP vom roten Netz ausgehend) des Servers vor Umzug. Ich habe den Eintrag jetzt in der GUI gelöscht.
In der /etc/resolv.conf auf der opnSense steht sie auch nach reboot noch drin:
Dann gibt es ein weiteres Problem, dass in dem Fall, wo der LMS-Server
kontaktiert werden kann, dieser sagt, es gibt schon ein Computerobjekt,
welche den selben Principal erhalten soll. Hier kann ich gerade nicht
beurteilen, ob
CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan| der vorgesehene Ort ist oder ob es sich um einen weiteren Eintrag an falscher Stelle handelt. Gibt es die Firewall zweimal in deiner Geräteliste in der LMN-Weboberfläche?
das Problem ist, dass die alte Firewall in die Domäne aufgenommen wurde
und dann immer mal wieder (vermute ich) ein neues Passwort für das
workstationaccount ausgehandelt hat.
Das Zurücksetzen der Firewall auf einen älteren Stand hat nun bewirkt,
dass der server die neuen credentials erinnert: die Firewall aber nicht
(ihr wurde ja ein Teil der Erinnerung gelöscht).
Die Firewall muss also neu in die Domäne aufgenommen werden, damit man
wieder keytabs erstellen kann… irgend wie hab ich ein Deja Vu: hab
ich das nciht schon vor ein paar Tagen geschrieben?
ich würde die Firewall aus der Geräteliste entfernen und die Liste importieren. Dadurch sollte das alte Objekt an falscher Stelle entfernt werden. Dann die Firewall wieder in die Geräteliste aufnehmen und diese importieren. Danach weiter wie in den Beiträgen zuvor erwähnt, um die keytab-Datei bzw. den Service-Principal zu erzeugen
das war der richtige Tip(p) - danke!
Aber es hakte wohl noch immer an meiner DNS-Konfiguration.
Nach dem „säubern“ der Domäne konnte ich „Schlüsseltabelle erstellen“ ohne Fehler durchlaufen lassen. Der SSO-Tester funktionierte (hat aber ja auch schon vorher funktioniert), der Internetzugriff im Firefox fragt aber immer noch ununterbrochen nach den Zugangsdaten.
Anschließend habe ich „Schlüsseltabelle löschen“ gewählt und dann „Schlüsseltabelle erstellen“ und bin wieder bei diesem Fehler gelandet:
Password for global-admin@LINUXMUSTER.LAN:
-- init_password: Wiping the computer password structure
-- generate_new_password: Generating a new, random password for the computer account
-- generate_new_password: Characters read from /dev/urandom: 90
-- get_dc_host: Attempting to find domain controller to use via DNS SRV record in domain LINUXMUSTER.LAN for procotol tcp
-- DnsSrvQuery: Running DNS SRV query for _kerberos._tcp.dc._msdcs.LINUXMUSTER.LAN
-- get_dc_host: Attempting to find domain controller to use via DNS SRV record in domain LINUXMUSTER.LAN for procotol udp
-- DnsSrvQuery: Running DNS SRV query for _kerberos._udp.dc._msdcs.LINUXMUSTER.LAN
-- get_dc_host: Attempting to find a domain controller to use (DNS domain)
-- validate: Error: gethostbyname failed for LINUXMUSTER.LAN: Address family for hostname not supported
-- get_dc_host: Found preferred domain controller:
Error: get_dc_host failed
Ich habe dann noch mal die /etc/resolv.conf auf der OPNsense angeschaut und dort standen:
Ich habe dann die 127.0.0.1 und die 192.168.11.10 gelöscht, neu gestartet und jetzt ging die Erstellung der Schlüsseltabelle sowie das SSO im Browser !
Danke euch allen für die Geduld! Ich habe jetzt wieder ein kleines bisschen mehr von der Architektur verstanden!