Hallo Jan,
nochmal meine Frage von oben: Kannst Du die Servershares aus dem Terminal mounten oder geht das auch nicht? Was sagt „df“ nach dem Mount aus dem Dateimanager? Vielleicht kannst Du an den Ausgaben im Terminal (evtl. -v verwenden) sehen, wo es klemmt.
LG
Max
Hallo Max,
also wenn ich miut mount -t cifs versuche als Domänennutzer ein Share zu mounten kommt folgende Fehlermeldung:
mount.cifs: permission denied: no match for /home/jschenck/testsysvol found in /etc/fstab
Wenn ich das im Dateimanager mounte sieht df so aus:
jschenck@t470-0003:/$ df -h
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 768M 3,8M 764M 1% /run
/dev/nvme0n1p2 30G 11G 18G 37% /
tmpfs 3,8G 0 3,8G 0% /dev/shm
tmpfs 5,0M 4,0K 5,0M 1% /run/lock
/dev/nvme0n1p1 197M 5,4M 192M 3% /boot/efi
//server.linuxmuster.freie-schule-wendland.de/sysvol 20G 2,7G 17G 14% /srv/samba/T470-0003$/sysvol
tmpfs 768M 108K 768M 1% /run/user/205001156
//server.linuxmuster.freie-schule-wendland.de/sysvol 20G 2,7G 17G 14% /srv/samba/jschenck/sysvol
tmpfs 768M 140K 768M 1% /run/user/1000
Interessanterweise sind das nicht die shares die ich im Dateimanager gemountet habe, sondern die werden wohl beim Anmelden gemountet. Der Usershare den ich im DM ausgewählt habe wird unter /run/…gemountet. und taucht in df nicht auf.
Wie wäre denn der beste Befehl zum mounten im Terminal?
Danke und Liebe Grüße
Jan
Hallo Jan,
es ist schwierig für uns dir zu helfen, wenn du unsere Fragen nciht
beantwortest.
Ich hab schon zweimal gefragt, wie den die IP des Clients ist.
LG
Holger
Hallo Holger,
sorry das habe ich überlesen. Ich kriege irgendwie nicht alle Benachrichtigungen richtg. Ich versuche natürlich alle Fragen von euch zu beantworten. Die IP ist 10.4.0.32 Also ein anderes Subnetz. Ich habe es heute morgen aber auch schon mit 10.0.0.50 ausprobiert. Also Server Subnetz.
Danke für das Client Image. Da komme ich leider heute nicht mehr dazu das auszuprobieren.
Liebe Grüße
Jan
Hallo Jan,
zu beantworten. Die IP ist 10.4.0.32 Also ein anderes Subnetz. Ich habe
es heute morgen aber auch schon mit 10.0.0.50 ausprobiert. Also Server
Subnetz.
dein Netz ist gesubnettet?
Wie sieht den die /etc/linuxmuster/subnets.cfg
aus?
LG
Holger
Hallo Holger, danke für dein dranbleiben.
Bin jetzt nicht vor Ort und schicke dir die subnets.csv sobald ich wieder da bin. Jetzt steht auch bei mir erstmal der Weihnachtsbums an. Werde höchstens mal Abends in die Schule um weiter zu kommen. Erst in einer Woche wieder voll vor Ort
Euch erstmal schöne Feiertage. Ich melde mich mit antworten und Tests des Client Images.
Liebe Grüße
Jan
Hallo,
nur so nebenbei: ich folge ask auch per Mail-Notification. Mir ist in den letzten Tagen auch aufgefallen, dass immer mal wieder Mails von einzelnen Beiträgen fehlen …
Jens
Hallo Jan,
ich habe auf meinem Dienstlaptop (keine Anmeldung an LMN) in der /etc/fstab
//10.16.1.1/default-school/teachers/fue /media/Schule_local cifs users,credentials=/home/max/.smbcredSchule,username=fue,uid=1000,gid=1000
stehen.
die .smbcred sieht so aus:
username=fue
password=verratichnet
Ich weiß, dass ein Klartextpasswort nicht so der Brüller ist, tatsächlich hab ich die ein einem Veracrypt-Container und hol sie nur raus, wenn ich sie brauch. Mounten tue ich dann mit
sudo mount /media/Schule_local
Probier es doch mal aus, dann weißt Du, ob es prinizipiell im Terminal geht.
LG
Max
Moin,
nach einigen freien Tagen melde ich mich mal zurück.
Als erstes zur Frage von Holger: Die subnets.csv sieht wie folgt aus:
10.0.0.0/16;10.0.0.254;10.0.0.100;10.0.0.200;;;SETUP
10.4.0.0/16;10.4.0.254;10.4.0.40;10.4.0.200;;;SETUP
10.3.0.0/16;10.3.0.254;10.3.0.40;10.3.0.200;;;SETUP
10.5.0.0/16;10.5.0.254;10.5.0.40;10.5.0.200;;;SETUP
10.6.0.0/16;10.6.0.254;10.6.0.40;10.6.0.200;;;SETUP
Dann zum einloggen in die Sambashares per terminal. Das funktioniert auf dem Textclient nach Domänenbeitritt problemlos. Als user linuxadmin.
Ich habe außerdem das Image vonm Holger probiert. Vielen Dank. Die Anleitung ist schon straightforward und sehr nutzbar. Soweit funktioniert das alles. Keiner Fehlöer beim Domänenbeitritt
Wenn ich mich dann mit einem Nutzer anmelde bekomme ich eine Fehlermeldung in der grafischen Oberfläche:
Error found when loading /etc/profile
* Error when loading applicable GPO's! Shares and Printers will not work
Anmeldung funktioniert, aber Shares funktionieren leider nicht.
Im Samba- Log auf dem Server finde ich folgendes:
[2023/12/31 14:55:19.619827, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Bad request for forwardable ticket
[2023/12/31 14:55:19.619872, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Failed building TGS-REP to ipv4:10.4.0.32:47260
etwas weiter vorne in der log.samba finde ich folgendes. Das schein beim Start des Clientsrechners zu sein.
dns_server_process_query_got_auth: Failed to add SOA record: WERR_DNS_ERROR_RCODE_FORMAT_ERROR
Die Client Fehlermeldungen kommen im nächsten Post, direkt vom Client.
Die Logs vom Client sehen so aus:
systemctl status sssd
Dez 31 15:08:27 t470-0003 sssd_nss[66033]: Starting up
Dez 31 15:08:27 t470-0003 systemd[1]: Started System Security Services Daemon.
Dez 31 15:08:37 t470-0003 sssd[66418]: response to SOA query was unsuccessful
Dez 31 15:08:37 t470-0003 sssd[66422]: response to SOA query was unsuccessful
Dez 31 15:08:37 t470-0003 sssd[66426]: ; TSIG error with server: tsig verify failure
Dez 31 15:08:37 t470-0003 sssd[66426]: update failed: SERVFAIL
Die sssd_linuxmuster.freie-schule-wendland.de.log zeigt nach einem restart von sssd mit debug_level 5 folgendes:
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [check_ipv6_addr] (0x0200): Link local IPv6 address fe80::e80c:c3b1:ca57:afbb
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [resolv_gethostbyname_dns_query] (0x0100): Trying to resolve A record of 't470-0003' in DNS
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [resolv_gethostbyname_dns_query] (0x0100): Trying to resolve AAAA record of 't470-0003' in DNS
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [resolv_gethostbyname_next] (0x0200): No more address families to retry
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [resolv_gethostbyname_next] (0x0100): No more hosts databases to retry
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [nsupdate_msg_create_common] (0x0200): Creating update message for auto-discovered realm.
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [be_nsupdate_args] (0x0200): nsupdate auth type: GSS-TSIG
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [check_ipv4_addr] (0x0200): Loopback IPv4 address 127.0.0.1
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [check_ipv6_addr] (0x0200): Loopback IPv6 address ::1
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [resolv_gethostbyname_files_send] (0x0100): Trying to resolve A record of 't470-0003' in files
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [sdap_sudo_load_sudoers_done] (0x0040): Received 0 sudo rules
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [sdap_sudo_set_usn] (0x0200): SUDO higher USN value: [4705]
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [child_sig_handler] (0x0020): child [77955] failed with status [1].
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [nsupdate_child_handler] (0x0040): Dynamic DNS child failed with status [256]
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [be_nsupdate_done] (0x0040): nsupdate child execution failed [1432158240]: Dynamic DNS update failed
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [sdap_dyndns_update_done] (0x0080): nsupdate failed, retrying.
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [nsupdate_msg_create_common] (0x0200): Creating update message for realm [LINUXMUSTER.FREIE-SCHULE-WENDLAND.DE].
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [be_nsupdate_args] (0x0200): nsupdate auth type: GSS-TSIG
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [child_sig_handler] (0x0020): child [77959] failed with status [1].
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [nsupdate_child_handler] (0x0040): Dynamic DNS child failed with status [256]
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [be_nsupdate_done] (0x0040): nsupdate child execution failed [1432158240]: Dynamic DNS update failed
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [nsupdate_msg_create_common] (0x0200): Creating update message for realm [LINUXMUSTER.FREIE-SCHULE-WENDLAND.DE].
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [be_nsupdate_args] (0x0200): nsupdate auth type: GSS-TSIG
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [child_sig_handler] (0x0020): child [77963] failed with status [2].
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [nsupdate_child_handler] (0x0040): Dynamic DNS child failed with status [512]
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [be_nsupdate_done] (0x0040): nsupdate child execution failed [1432158240]: Dynamic DNS update failed
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [ad_dyndns_sdap_update_done] (0x0040): Dynamic DNS update failed [1432158240]: Dynamic DNS update failed
(Sun Dec 31 15:12:53 2023) [be[linuxmuster.freie-schule-wendland.de]] [be_ptask_done] (0x0040): Task [Dyndns update]: failed with [1432158240]: Dynamic DNS update failed
es scheint irgendwas mit der Nameauflösung zu tun zu haben… Habt ihr eine Idee wo ich weiter gucken kann.
Ich hoffe ich habe jetzt nicht wieder fragen übersehen.
Danke euch
Jan
Ein df -h zeigt übrigens folgendes:
//10.0.0.1/default-school/teachers/jschenck 127G 6,6G 121G 6% /media/Schule_local
/dev/loop16 13M 13M 0 100% /snap/snap-store/959
//server.linuxmuster.freie-schule-wendland.de/sysvol 20G 2,7G 17G 14% /srv/samba/T470-0003$/sysvol
tmpfs 769M 36K 769M 1% /run/user/205001156
//server.linuxmuster.freie-schule-wendland.de/sysvol 20G 2,7G 17G 14% /srv/samba/jschenck/sysvol
der 10.0.0.1 ist das was ich per Hand gemountet habe. Die beiden anderen werden beim Systemstart und beim Login geladen.
Hallo,
wurden schon Systemzeit des Clients und Systemzeit des Servers verglichen?
Wie ist die IP des Clients?
In der subnets.conf sind Subnets definiert: was wird den als L3 Router
verwendet im Netz?
Hat derjenige, der den eingerichtet hat viel Erfahrung mit der
Configuration von L3 Routern?
LG
Holger
Hallo Holger,
frohes neues erstmal…
schon wieder leider keine Benachrichtigung per Mail bekommen. Sonst hätte ich früher geantwortet.
Systemzeit habe ich bei allen versuchen immer wieder verglichen.
Ip des Clients ist 10.4.0.32
Wir arbeiten ohne L3 Route, dass macht alles die OPNsense. Dort habe ich alle Regeln fürs Testen aufgemacht so dass nichts geblockt wird. Aber alles andere funktioniert auch mit den VLANS. Wie gesagt:
Die Anmeldung am Client funktioniert, nur die Shares nicht. Der Client hat Internet. Der Unifi Controller funktioniert auch… Ich kann alles von überall hin und her pingen.
Aber wenn du noch Ideen hast wo ich da hin gucken kann gerne. Meine VLAN Erfahrungen sind ein paar Jahre alt. 
Aber in den Logs sieht es ja so aus das es etwas mit dem dynamischem dns update durch sssd auf sich hat.
LG
Huhu
kurz offtopic:
vor drei Stunden ging die letzte Mail an dich raus und im ganzen Log-Zeitraum gab es mit deinem Nutzer keine Fehler.
Seltsam.
LG Jesko
ja meine Beiträge habe ich auch bekommen, aber die von Holger vor 2 Tagen nicht…hm
Moin,
so ich versuche jetzt eine temporärer Lösung. Montag geht die Schule wieder los und da muss hierl eider einiges laufen. Die individuelle Benutzeranmeldung war bei uns nicht der wichtigs Use-Case und wir sind eine sehr kleine Schule. Daher mache ich jetzt folgendes:
- Für jede Klasse ein Image mit lokalen Benutzer.
- Auf den Clients gibt es ein Autostartscript, welches smb://server/default-school einbindet und den Nutzer dabei nach Login und Password fragt.
In meinem Verständnis hätten so die SuS Zugrif auf den Share in default-school/students/class/user wo sie ihre Dateien speichern können. Aber die Nutzerverzeichnisse unter students sind für alle Nutzer lesbar. Ist das richtig? oder einer der Fehler bei uns? In meinem Veratsändnis sollte das nicht so sein.
Ziel ist erstmal, dass die Nutzer einen privaten share haben wo sie Daten ablegen können.
Ich freu mich über Tips. Und natürlich auch weiterhin Lösungsideen für das Grundproblem des Threads.
Lg
Jan
Hallo,
Wir arbeiten ohne L3 Route, dass macht alles die OPNsense.
… ihr habt die OPNSense als L3 Router konfiguriert?
Geht das überhaupt?
Ich weiß, dass die Sophos das kann, aber die OPNSense?
Dort habe ich
alle Regeln fürs Testen aufgemacht so dass nichts geblockt wird.
das verstehst du falsch. Ein L3 Router routet, der blockt nicht. Alle
Blocks raus zu nehmen reicht ja nicht: du mußt aktiv routen setzen. Wenn
die fehlen, dann klappt das halt nicht.
Aber
alles andere funktioniert auch mit den VLANS. Wie gesagt:
Die Anmeldung am Client funktioniert, nur die Shares nicht. Der Client
hat Internet. Der Unifi Controller funktioniert auch…
das sagt ja nur, dass von den Clients aus gewisse Protokolle
funktionieren. VLANs sind ja nicht alles bei einem segmentierten Netzwerk.
Aber wenn du noch Ideen hast wo ich da hin gucken kann gerne. Meine VLAN
Erfahrungen sind ein paar Jahre alt.
Layer3 Routing, nicht VLANs.
Wir groß ist den euer Netz: wieviele Clients sind den so zu erwarten?
LG
Holger
Hallo Holger,
ok miussverständlich formuliert. Ich würde eher sagen wir haben keinen expliziten L3 Router.
Der Server hängt direkt an einem managed Switch, dort sind diverse VLANs konfiguriert.
Auf dem ProxmoxHost sind für die Opensens mehrere Netzwerkkarten mit vlan id konfiguriert.
Die Opensense hat also mehrere Netzwerkkarten.
Meiner Meinung nach habe ich alle benötigten Protokolle getestest.
Was meinst du den ist bei einem segmentierten Netzwerk noch wichtig außer den VLANS?
Unser Netz wird nicht über 100 Clients gehen, von denen aber nur ein Teil stationär (30-50) linbo nutzen. Der Rest sind WLAN Clients oder BYOD.
Danke für deine Geduld.
Lg
Hallo,
ok miussverständlich formuliert. Ich würde eher sagen wir haben keinen
expliziten L3 Router.
Der Server hängt direkt an einem managed Switch, dort sind diverse VLANs
konfiguriert.
Auf dem ProxmoxHost sind für die Opensens mehrere Netzwerkkarten mit
vlan id konfiguriert.
Die Opensense hat also mehrere Netzwerkkarten.
Meiner Meinung nach habe ich alle benötigten Protokolle getestest.Was meinst du den ist bei einem segmentierten Netzwerk noch wichtig
außer den VLANS?
ein L3 Router.
Ohne den bringt das ja nix.
Meine Überlegung ist so:
meiner Meinung nach hast du subnetting auf dem Server eingerichtet ohne
die im Umfeld dafür notwendigenen Dinge bereit zu stellen.
Der Server will also an den L3 Router seine Pakete schicken, damit der
in die richtigen VLANs routet: den L3 Switch gibt es aber nicht: also
kommt nicht alles richtig an.
Dein Problem mit den nicht verbundenen shares ist ziemlich hartnäckig.
Das kenne ich so nicht: normalerweise werden solche Probleme, die selten
auftauchen, schnell und einfach behoben: bei dir nicht.
Also liegt es nahe, dass da irgend was anderes im Argen liegt: und da
kommt dann dein „subnetting“ in Betracht.
Nun ist subnetting nicht trivial und ich kann nicht behaupten, dass ich
das in gänze durchdrungen hätte: nach über 10 Jahren im Einsatz bei mir
hab ich aber schon eine Vorstellung davon.
Meine Empfehlung an dich:
Entweder du stellst einen korrekt konfigurierten L3 Router in dein Netz
(das ist nciht trivial!) oder du schlatest subnetting wieder ab und
verwendest, zumindest vorerst, ein flaches Netz.
100 Clients sind da unproblematisch. Bei 150 festen Clients (nicht WLAN)
wird es dann langsam interessant: da bist du weit von weg.
Ich weiß aber nicht, wie man subnetting wieder abschaltet.
subnets.csv in Ausgangszustand versetzen und import-subnets aufrufen?
Keine Ahnung …
LG
Holger
Hey Holger,
ja soweit war ich auch schon in Gedanken.
Wenn ich die Subnetting Anleitung in der Doku richtig verstanden habe, richtet import subnets die entsprechenden Routen auf der Firewall ein und generiert die config für den DHCP server. In der subnets.csv trägt man ja die Router IP ein. Hier habe ich natürlich die Firewall genommen.
Ich habe den Eindruck das das Subnetting funktioniert und irgednwo anders der Haken liegt.
Ich würde ungerne das subnetting wieder abschalten, da ich, bis auf die Shares jetzt eine funktionierende Umgebung habe die läuft…
Daher auch meine Idee der oben skizzierten temporären Lösung.
Ich werde aus zeitrgründen wohl jetzt erstmal den Weg gehen und dann irgendwann mal einen Test mit einem Layer 3 Switch machen. mhm.
Aber den sssd. Fehlermeldungen nach zu urteilen liegt das Problem woanders.
Danke für deine Hilfe, ich schiebe das Problem jetzt erstmal vor mir her.
Bleibt noch meine Frage zu den Berechtigungen der shares unter default-school. Welches share muss ich einbinden, damit immer nur der angemeldete Benutzer darauf zugriff hat. Siehe Post oben.
Danke und Liebe Grüße
Jan
1 „Gefällt mir“