eben mit Holger telefoniert wegen eines Problems in d’Selma: Benutzer können sich nicht anmelden, auch nicht global-admin. Habe die Ersteinrichtung mit dem Webassistenten gemäß Dokumentation gemacht.
folgende Fehlermeldung in /var/log/ajenti/ajenti.log
2019-05-28 16:52:00,493 ERROR : {‘info’: u’BindSimple: Transport encryption required.’, ‘desc’: u’Strong(er) authentication required’}
Hallo,
folgende Fehlermeldung in /var/log/ajenti/ajenti.log
2019-05-28 16:52:00,493 ERROR : {‘info’: u’BindSimple: Transport
encryption required.’, ‘desc’: u’Strong(er) authentication required’}
der Server wurde über die webUI eingerichtet (setup in der WebUI).
Die Nutzeranmeldung (außer root) hat wohl zu keiner Zeit funktioniert:
auch nicht mit global-admin
Weder am Cleint noch an d’selma
LG
Holger
Hallo,
Ich bin gerade unterwegs, aber die Fehlermeldung scheint zu sagen, dass das Bind-Passwort ( in /etc/linuxmuster/.secret/global-binduser ) zur LDAP falsch ist. Könnte es evtl die Ursache sein ?
Gruß
Arnaud
Hallo Arnaud,
Ich bin gerade unterwegs, aber die Fehlermeldung scheint zu sagen, dass
das Bind-Passwort ( in /etc/linuxmuster/.secret/global-binduser ) zur
LDAP falsch ist. Könnte es evtl die Ursache sein ?
ist das nach dem Setup nicht erstmal das selbe wie das des global-admin?
Oder wird das beim setup abgefragt?
Oder ist das zufällig?
Weißt du wo man es nachschauen kann?
Oder kann ich es mit sophomorix-passwd -u global-binduser --passwd=geheim!
setzen und dann ind er Datei auch setzen?
… oder steht da nur ein Hash drin?
LG
Holger
Hallo Holger,
Ich würde erst mal testen, ob die Verbindung mit LDAP geht ( mit dem Passwort in .secret und richtiger Domän ) :
ldapsearch -x -H ldap://localhost:389 -b "dc=linuxmuster,dc=lan" "(uid=*)" -D 'CN=global-binduser,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=lan' -w PASSWORT
Bei der Installation ist pas Passwort von global-admin abgefragt, das von global-admin wird zufällig erstellt, und dann klar in .secret/global-admin geschrieben ( kein Hash ).
Gruß
Arnaud
Hallo Arnaud,
Bei der Installation ist pas Passwort von global-admin abgefragt, das
von global-admin wird zufällig erstellt, und dann klar in
.secret/global-admin geschrieben ( kein Hash ).
du meinst:
„Bei der Installation wird das Passwort des global-admin abgefragt, das
von global-binduser wird zufällig erstellt, und dann klar in
.secret/global-binduser geschrieben ( kein Hash ).“
Dann müßte Frank nun alles haben zum testen.
Danke Arnaud 
LG
Holger
Hallo Arnaud und Holger, vielen Dank Euch für die wie immer konkreten Hinweise.
Leider bin ich gestern nicht dazu gekommen, etwas auszuprobieren, wir haben gerade zu viele Baustellen zu beackern (u.a. Erst-Inbetriebnahme von 40 Rechnern in den Klassenräumen, die lange überfällig waren). Und jetzt die Miniferien.
Ich werde Montag oder Dienstag testen.
@Arnaud: Dein Kommando ergibt Fehlermeldung:
ldap_bind: Strong(er) authentication required (8)
additional info: BindSimple: Transport encryption required.
Ich werde jetzt mal die Erstkonfiguration nicht per Weboberfläche, sondern per Kommandozeile ausführen.
Hallo Frank,
bitte versuch mal noch folgendes:
die geforderte Passwortkomplexität runtersetzen.
Vielleicht war dein global-admin Passwort einfach zu einfach.
samba-tool installieren, wenn nicht vorhanden:
apt update
apt install samba-tool
Danach diese beiden Befehle absetzen und nochmal testen:
server ~ # samba-tool domain passwordsettings set --complexity=off
server ~ # samba-tool domain passwordsettings set --min-pwd-length=1
LG
Holger
Gut möglich.
Es ist primär festzustellen ob der binduser Account sich überhaupt anmelden kann.
Auch mal prüfen ob du per Sophomorix dem Nutzer ein neues Passwort setzen kannst.
Anschließend dieses auch in der WebUI Config.yml eintragen unter /etc/linuxmuster/webui/config.yml
Mir sind bei zwei Installationen schon einmal Passwörter des bindusers abgelaufen, wir haben dazu auch ein Issue auf Github offen. Ich kann das ganze noch nicht wirklich eingrenzen.
Zum gegentest hilft es auch einfach mal einen LDAP Query von der CLI abzusetzen und hierbei den binduser als LDAP Nutzer zu verwenden:
ldapsearch -x -D 'CN=global-binduser,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=lan' -W -H ldap://10.0.0.1:389 -b OU=SCHOOLS,DC=linuxmuster,DC=lan sAMAccountName=global-admin
Tut mir leid, dass ich’s grad nicht mehr testen kann. Haben nochmal einen neuen Server auf schnellerer Hardware aufgesetzt und diesmal die Ersteinrichtung per Kommandozeile gemacht - jetzt geht’s mit demselben Passwort wie vorher. Es lief also irgendetwas beim Ersteinrichtungs-Webassistenten schief.