Opsi auf Centos-5: Configed Auth

[segro]

Hallo zusammen,

ich habe noch ein Auth-Problem unter Centos5 für das Webinterface. Samba-Freigabe und ssh geht für die user adminuser und pcpatch. Aber wenn ich versuche das Webinterface zu öffnen kann ich mich nicht als adminuser anmelden, wenn ich abbreche kommt:
{"message": "Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user 'adminuser': Not authenticated", "class": "OpsiAuthenticationError"}}

gleiche meldung auch in den Logs unter:
tail -f /var/log/opsi/opsiconfd/192.168.0.119.log

Code: Alles auswählen

[3] [Jan 31 16:32:00] Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user 'adminuser': Not authenticated (opsiconfd.py|351)

woran kann das liegen?

[c.kampka]

Hallo sergo,

ist der USer "adminuser" in der Gruppe "opsiadmin", wie im opsi Getting Started Handbuch beschrieben?

Code: Alles auswählen

adduser adminuser opsiadmin
getent group opsiadmin

Viele Grüße,
Christian Kampka

[segro]

Ja, das hab ich alles gemacht. Ich habe die opsi vm unter ubuntu schon seit einigen Monaten erfolgreich im Einsatz, aber wir haben sonst nur Centos-Server und daher möchte ich Opsi auch auf Centos umziehen.

Code: Alles auswählen

[root@wininstall ~]# getent group opsiadmin
opsiadmin:x:993:opsiconfd,adminuser,root

[root@wininstall ~]# id -a adminuser
uid=994(adminuser) gid=994(adminuser) groups=994(adminuser),992(pcpatch),993(opsiadmin)

[segro]

ok, es liegt wahrscheinlich an der openjdk, und man muss für opsi sun-java nehmen ... das hatte ich vergessen.

Allerdings scheinen die PATH angaben für das sun-java aus dem opsi-repository nicht korrekt gelistet zu werden. Muss man noch zusätzlich was anderes direkt von sun installieren?
sowas wie:

Code: Alles auswählen

PATH=$PATH:/usr/java/jre-xxx/bin
export PATH

würde helfen, aber ich finde in der java Installation aus dem opsi-repo die entsprechenden Pfade nicht. Kann jemand was dazu sagen?

[segro]

Hallo zusammen,

die Java-Probleme hab ich in den Griff bekommen, aber die authentifizierung für den Adminuser klappt immernoch nicht im opsiconfiged. Wenn ich versuche mich einzuloggen kommt:
tail -f /var/log/opsi/opsiconfd/192.168.0.119.log

Code: Alles auswählen

[5] [Feb 03 13:36:24] New session created (opsiconfd.py|1562)
[5] [Feb 03 13:36:24] Application 'Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13' on client '192.168.0.119' supplied non existing session id: FQmm77ltE5zzQ1eGOHMuluDMRdOpi3it (opsiconfd.py|482)
[5] [Feb 03 13:36:24] Authorization request from adminuser@192.168.0.119 (application: Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13) (opsiconfd.py|1215)
[5] [Feb 03 13:36:24] Session 'Wfjkidx4tPMBZpfv9Zp5GKuH5vKugSfZ' from ip '192.168.0.119', application 'Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13' deleted (opsiconfd.py|1595)
[3] [Feb 03 13:36:24] Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user 'adminuser': Not authenticated (opsiconfd.py|351)
[3] [Feb 03 13:36:24] 4 authentication failures from '192.168.0.119' in a row, waiting 60 seconds to prevent flooding (opsiconfd.py|360)

hat noch jemand Ideen?

[ueluekmen]

Hi,

wir hatten schon öfters diese Meldung. Das kann auch an der PAM-Konfiguration liegen. Viele gehen nach dem Prinzip vor: Protokolle/Services die ich nicht kenne, lasse ich nicht zu, dann zieht auch nicht das common-auth.

Wurde an der PAM-Konfiguration etwas geändert? Kommt man in die opsi-Shell mit opsi-admin -idc als dieser User?

[segro]

Hi,

wir haben die Kommunikation noch mit strace angeschaut & verglichen wenn man z.B. ein falsches passwort eingibt. Der Auth-Prozess mit PAM an sich funktioniert, aber irgendwo bekommt der configed das nicht oder falsch zurück.
Die Maschine ist ein openvz Centos 5.5 template das unter ProxmoxVE http://pve.proxmox.com/wiki/Main_Page läuft und wir sind uns nicht sicher, ob es vielleicht daran liegt / lag.

Bei einer vollvirtualisierten Centos unter VMware funktioniert dann alles.

Also Problem nicht beseitigt, aber umgangen

Danke trotzdem für die Hilfe!

[anterio]

Hallo,

ich hatte dasselbe Problem mit einem aktuellen CentOS 5.7 in einer openVZ Virtualisierung. Ich denke aber nicht, dass es an der Virtualisierung liegt, sondern and den default-Einstellungen in /etc/pam.d/system-auth welche beim Login durchlaufen werden.

Wenn man darin testweise

Code: Alles auswählen

account   required   pam_unix.so

stets durchlässt, und so abändert:

Code: Alles auswählen

account   required   pam_permit.so

so funktioniert der Login mit opsi-admin.

Haben sie eine Idee warum es bei pam_unix.so schief läuft? Als Login wird root verwendet, welcher auch der Gruppe opsiadmin angehört.

Danke & Gruss