Liebe Liste,
kennt jemand das Problem, dass
a) Schüler kein Home_auf_Server habe
b) Home_auf_Server im laufenden Betrieb plötzlich nicht mehr verfügbar ist? (Durchgestrichen)
Holger wird nun sagen, dass wahrscheinlich die Zeit auf Clients und Server abweicht, das hab ich aber überprüft. Leider „flackert“ das auch, d.h. es ist weder einem Platz noch einem bestimmten Benutzer fest zuordenbar.
Ich habe den Verdacht, dass das irgendwas mit den Kerberos-Tokens zu tun haben könnte, da ich auch mein Problem mit dem Internetzugang nicht gelöst habe (Proxy-Anmeldung wird verlangt). Das hab ich (unschön) erst mal gepuffert, indem ich die Rechner in die NoProxy-Gruppe gesteckt habe.
Wie kann man diese Problem (systematisch) untersuchen? Welche Logs sind relevant, nach welchen Schlüsselwörten soll ich suchen?
Holger wird nun sagen, dass wahrscheinlich die Zeit auf Clients und
Server abweicht, das hab ich aber überprüft. Leider „flackert“ das auch,
d.h. es ist weder einem Platz noch einem bestimmten Benutzer fest
zuordenbar.
du unterschätzt meine Kreativität
Scherz beiseite: ich hätte in dem Fall garnicht auf die Zeit getippt:
die wird ja im Angemeldeten Zustand entweder besser (sync funktioniert)
oder sie bleibt gelichbleibend schlecht.
Ich hatte sowas auch vor Jahren.
Behoben habe ich es durch den Tausch des Kabels das vom Backboneswitch
zum Raumswitch ging.
Das alte war so schlecht, dass viele Pakete kaputtgegangen sind auf dem
Weg: irgend wann war dann das Home weg.
War schwer zu finden.
Schau also mal auf die Errorrate in den beteiligten Switches.
… aber …
Angeblich zeigt der Switch keine Fehler - mit anderen Worte ICH muss suchen
Generelle Frage: Was sollte ein klist bzw. klist -l anzeigen?
Ich bekomme (klist als normaler User) ein abgelaufenes Ticket mit
Zeitstempel 1.1.1970 … das KANN nicht richtig sein.
klist -l zeitgt nur, dass es abgelaufen ist.
… und ja, die Zeit auf Server und client wird mit date identisch ausgegeben.
Worauf ich noch keine Antwort bekommen habe:
Ist es ok, wenn die opnsense die Zeit UTC anzeigt und
Client+server als CEST?
Ist es denkbar, dass daher meine Probleme mit dem Proxy kommen?
Aber warum erst nach den Ferien …
Ich trau mich nur gerade nicht die letzten Upgrades einzuspielen, nicht
dass dann morgen noch weniger geht als eh schon grad
Die OpnSense sollte aber keinen Einfluss drauf haben, dass
plötzlich Tickets als Abgelaufen gelten. Wären Fehler auf dem Switch, dann würde das Verhalten zu einem dokumentierten Bug passen, dass zum Anmeldezeitpunkt der Server nicht „richtig“ erreichbar war. Darauf
kann ich es aber nicht schieben … .
Wann werden denn die Tickets ausgestellt und was für eine Laufzeit haben die (wenn alles korrekt ist)?
Ist es denkbar, dass daher meine Probleme mit dem Proxy kommen?
wenn die Zeit der Firewall (also des Proxys) um mehr als eine Stunde
falsch geht, dann wird der Proxy die kerberostokens ablehnen, weil sie
zualt, oder „zukünftig“ sind.
Also: ja, da kommen Proxy Probleme her.
wirklich identische Zeiten auf allen Systemen, d.h. auch OPNSense ist cest.
Der Server macht den Sys gegend die FW, die Clients ebenfalls.
Das zhab ich getestet, indem ich mit timedatectl auf „manuelle“ Zeit umgestellt gab, die Zeit abgeändert habe und auf automatisch zurück gestellt habe - die Zeiten wurden angepasst.
Damit komm ich auf meinem Testrechner jetzt zwar ins Internet, das Home_auf_Server fehlt aber trotzem … jetzt auch bei mir (Ich habe auch den Cache-Eintrag unter Home gelöscht (als linuxadmin) bevor ich mich mit meiner Kennung angemeldet habe.
Ein Blick ins Syslog des Clients liefert zwar, dass /srv/samba/schoos/defaulschool gemountet wird,
auf dem Client darf ich als normaler User aber nicht in den Ordner … damit kommt man natürlich auch nicht an das Home ran …
Sep 22 14:32:19 fsasda-pc01 nemo[2761]:
Called „net usershare info“ but it failed: »net usershare« gab den Fehler 255 zurück:
net usershare: cannot open usershare directory /var/lib/samba/usershares.
Error Keine Berechtigung#012
You do not have permission to create a usershare.
Ask your administrator to grant you permissions to create a share.
(Wenn von „Anmelden“ gesprochen wird, dann ist „als normaler Benuter“ gemeint.
Test 1:
Terminal kinit gemacht
abmelden
anmelden
Ergebnis: Home_auf_Server ist da.
Es ist also ein Ticketproblem. Internet geht
Test 2:
Neustart vom Client
Anmelden
Ergebnis:
a) Home_auf_Server immer noch da.
b) klist: Ticket für 1.1.1970 - 1.1.1970 als abgelaufen.
Ich HABE also das Home, aber kein gültiges Ticket … und komme auch nicht ins Internet (Ticket)
Wieder kinit + Kennwort
Ergenbis: … Internet geht …
Test 3:
Abmelden
Als root per ssh anmelden
/home/cache/* löschen
Neu anmelden
Ergebnis: Home_auf server ist da, Ticket passt immer noch
Test 4:
Abmelden
als root via ssh /home/cache/* löschen
Client reboot
Anmelden
Ergebnis: KEIN Home_auf_Server
Abgelaufenes Ticket
(Aus irgendeinem Grund geht aber das Internet trotzdem … super)
kinit + abmelden + anmelden … Home_auf_Server ist da
Globales Fazit …
Auf einer „frischen Maschine“ (d.h. cache ist leer) muss ein Benutzer „kinit“ absetzen und sich neu
anmelden um sein Home_auf_Server zu haben … Das muss ich irgendwie so lösen, dass es für
jeden machbar ist …
das ist ein Problem.
Windows und linux sind da noch irgendwie über den AD verbandelt.
Du solltest diesen Tread mal genau lesen.
… ja, der ist sau lang …
Deswegen hier der Link zur Lösung:
Ich les mir dan nochmal genauer durch, probier jetzt aber erstmal obige schritte …
Generelle Frage: Unterschied linuxmuster-client-adsso-setup und linuxmuster-cloop-turnkey?
Ist zweiteres nur für ganz frisch runtergeladen Images aus dem Netz?
Ja, Unix ist nicht Windows. Unix-Systeme laufen immer in UTC. Nur zeigen sie dir die Uhrzeit in der Zeitzone an, in der du bist (was bei einem Multi-User-System durchaus pro Benutzer gleichzeitig verschieden sein kann). Allein die Environment-Variable TZ steuert dies Verhalten bei den Programmen, die die Zeit ausgeben.
Wenn du TZ=UTC date eingibst, sollte auf allen Systemen die gleich Zeit ausgegeben werden.
