opsi config editor Zugriff AD-User schlägt fehl

Antworten
LTully
Beiträge: 3
Registriert: 30 Jan 2020, 13:05

opsi config editor Zugriff AD-User schlägt fehl

Beitrag von LTully »

Vorweg, das Problem konnte ich zwischenzeitlich "lösen". Dies scheint mir aber keine saubere Lösung darzustellen. Dieser Post soll hauptsächlich der Dokumentation des Problems dienen. Wenn sich eine saubere Lösung findet, kann ich diese ggf. testen.


Was sollte passieren?
Beim aufnehmen von Clients über den client-agent-rollout, sowie die Anmeldung am opsi config editor sollte die Anmeldung per AD-User möglich sein.

Was ist passiert?
Im Log /var/log/opsi/opsiconfd/ipadresse.log findet sich für die fehlgeschlagenen AD-User Anmeldungen folgender Fehler:

Code: Alles auswählen

 Opsi authentication error: Authentication failure for 'username' from '172.28.38.124': Backend authentication error: Backend authentication error: PAM authentication failed for user 'username': ('Permission denied', 6) (Worker.py|291)
Dies passiert bei allen AD-Usern, außer meinem eigenem. Als Merkmal ist hier zu erwähnen, dass der lokale User und der Domänenuser Namensgleich sind.

Auch das Anlegen der opsi-auth nach Anleitung konnte das Problem nicht beheben.
Weiter konnte sich der lokale adminuser anmelden. Die Berechtigungen sind alle erteilt.
Namensauflösung von AD-Nutzern funktioniert.
Berechtigungen werden korrekt bei AD-Nutzern angezeigt.
SAMBA und SSH Zugriff funktionieren für AD-Nutzer.

Mit welchen Schritten kann das Problem nachgestellt werden?
Nicht bekannt.
Installation des OPSI-Manuals wurde befolgt, zusätzlich wurde von https://help.ubuntu.com/lts/serverguide/sssd-ad.html (ausgeschlossen der SAMBA Sektion) alles umgesetzt.

Bei welche Versionen der beteiligten Komponenten tritt das Problem auf?
Ubuntu 18.04.3 LTS (GNU/Linux 4.15.0-76-generic x86_64)

ii opsi-linux-bootimage 20191114-1 all opsi bootimage for netboot tasks.
ii opsi-server 4.1.1.8-1 all opsi server configuration package
ii opsi-tftp-hpa 5.2.8-51 amd64 HPA's tftp client
ii opsi-tftpd-hpa 5.2.8-51 amd64 HPA's tftp server
ii opsi-utils 4.1.1.33-2 all utilites for working with opsi.
ii opsi-windows-support 4.1.1-8 all Install utilities useful for deploying Windows with opsi.

Patchwork Lösung
Auffällig war, dass für meinen eigenen User die Anmeldung funktioniert, obwohl diese mit den AD-Login Credentials durchgeführt wurde.
Nachdem also mit Rootberechtigungen ein

Code: Alles auswählen

getent passwd aduser >> /etc/passwd
abgesetzt wurde, funktionierte die Anmeldung an der OPSI-Software.
Benutzeravatar
ThomasT
uib-Team
Beiträge: 529
Registriert: 26 Jun 2013, 12:26

Re: opsi config editor Zugriff AD-User schlägt fehl

Beitrag von ThomasT »

Was sagt denn ein

Code: Alles auswählen

su opsiconfd -c "id USERNAME"
Kein Support per DM!
_________________________
opsi support - https://www.uib.de/
For productive opsi installations we recommend support contracts.
LTully
Beiträge: 3
Registriert: 30 Jan 2020, 13:05

Re: opsi config editor Zugriff AD-User schlägt fehl

Beitrag von LTully »

Code: Alles auswählen

su opsiconfd -c "id test"
uid=1611401112(test) gid=1611400512(domain admins) groups=1611400512(domain admins),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),108(lxd),111(ssh),992(pcpatch),1001(opsiadmin),118(sssd), [...] weitere Domänengruppen habe ich hier mal ausgelassen.
Benutzeravatar
ThomasT
uib-Team
Beiträge: 529
Registriert: 26 Jun 2013, 12:26

Re: opsi config editor Zugriff AD-User schlägt fehl

Beitrag von ThomasT »

Kein Support per DM!
_________________________
opsi support - https://www.uib.de/
For productive opsi installations we recommend support contracts.
LTully
Beiträge: 3
Registriert: 30 Jan 2020, 13:05

Re: opsi config editor Zugriff AD-User schlägt fehl

Beitrag von LTully »

Das Anlegen der opsi-auth mit inhalt "@include sshd" hatte ich probiert (das hatte ich mit "Auch das Anlegen der opsi-auth nach Anleitung konnte das Problem nicht beheben." gemeint).

Dies hat auch nach einem reboot keine Besserung erzielt.
Die opsi-auth habe ich danach entfernt, um den Ausgangszustand wieder herzustellen.
SirTux
Beiträge: 558
Registriert: 05 Feb 2011, 18:37

Re: opsi config editor Zugriff AD-User schlägt fehl

Beitrag von SirTux »

Mit opsi und SSSD habe iuch auch meine Schmerzen gehabt. Ich bin dann wieder zurück zu WInbind gegangen. Bei mir sind die opsi-Gruppen aber im AD. Interessant, daß es auch nicht funktioniert, wenn diese lokale Gruppen sind.
Antworten