Login in opsi nicht möglich "Unauthorized" nach Update

[dark alex]

Hallo zusammen!

ich habe heute unseren debian buster basierten OPSI-Server mal wieder aktualisiert (wie alle paar Wochen mit apt) und kann mich nun (nach einem Reboot) nicht mehr einloggen.

Configed sagt "Unauthorized"
Webinterface sagt "Backend authentication error: Backend authentication error: Authentication failed for user 'xxxxxxxx': Backend authentication error: PAM authentication failed for user 'xxxxxxxx': Permission denied (auth_type=auth-module)"

In der opsiconfd.log fällt seit dem Update folgende Meldung an:

Code: Alles auswählen

[3] [2022-07-25 10:54:57.965] [               ] Exception in ASGI application
   (h11_impl.py:369)
Traceback (most recent call last):
  File "uvicorn/protocols/http/h11_impl.py", line 366, in run_asgi
  File "uvicorn/middleware/proxy_headers.py", line 75, in __call__
  File "uvicorn/middleware/message_logger.py", line 82, in __call__
  File "uvicorn/middleware/message_logger.py", line 78, in __call__
  File "fastapi/applications.py", line 212, in __call__
  File "starlette/applications.py", line 112, in __call__
  File "starlette/middleware/errors.py", line 181, in __call__
  File "starlette/middleware/errors.py", line 159, in __call__
  File "opsiconfd/application/main.py", line 219, in __call__
AttributeError: 'list' object has no attribute 'get'

Ich kann damit leider nicht viel anfangen...

Wir haben den OPSI-Server ins AD eingebunden und melden uns via pam mit unseren AD-Usern an. Das läuft seit Jahren problemlos und es wurde keine Config geändert. "login" (kommando an der Konsole) loggt uns nach wie vor korrekt ein, "id" gibt die korrekte Gruppenauflistung aus.

Jemand 'ne Idee?

[magicalUnicorn]

Was uns oft bei Login-Problemen nach einem Update geholfen hat, war den opsiconfd einfach zu reinstallieren:

apt reinstall opsiconfd

[dark alex]

Was uns oft bei Login-Problemen nach einem Update geholfen hat, war den opsiconfd einfach zu reinstallieren:

apt reinstall opsiconfd

leider nicht

[fkalweit]

Hallo,

welche Paket Versionen sind jetzt installiert (dpkg -l | grep opsi)?

Könnten wir die logs /var/log/opsi/opsiconfd/opsiconfd.log und /var/log/opsi/opsiconfd/<client-ip>.log bekommen.
Evt sieht man da den Fehler.

Viele Grüße
Fabian

[dark alex]

Hallo Fabian und Guten morgen zusammen!

welche Paket Versionen sind jetzt installiert (dpkg -l | grep opsi)?

Code: Alles auswählen

root@OpsiMaster:~# dpkg -l | grep opsi
ii  opsi-linux-bootimage              20220516-1                    all          opsi bootimage for netboot tasks.
ii  opsi-linux-support                4.2.0.0-1                     all          Configure system to be able to deploy Linux with opsi.
ii  opsi-server-full                  4.2.0.69-1                    all          opsi server
ii  opsi-tftpd-hpa                    5.2.8-78                      amd64        HPA's tftp server
ii  opsi-utils                        4.2.0.172-1                   amd64        Utilities for working with opsi
ii  opsi-windows-support              4.2.0.0-1                     all          Install utilities useful for deploying Windows with opsi.
ii  opsiconfd                         4.2.0.272-1                   amd64        opsi configuration service
ii  opsipxeconfd                      4.2.0.30-1                    amd64        opsi pxe configuration service

Könnten wir die logs /var/log/opsi/opsiconfd/opsiconfd.log und /var/log/opsi/opsiconfd/<client-ip>.log bekommen.
Evt sieht man da den Fehler.

na klar geht das! Ich nehme an ClientIP = Die IP eines Clients der "Unathorized" am configed bekommt?
Es sind übrigens alle User/Clients betroffen (als Anmerkung nebenbei)

Opsiconfd.log: https://pastebin.com/TbU98xPA (immer nur oben genannte Meldung ersichtlich)

Client-IP-Log:

Code: Alles auswählen

[4] [2022-07-26 08:56:16.243] [172.16.0.62    ] Backend authentication error: Backend authentication error: Authentication failed for user 'taeffner': Backend authentication error: PAM authentication failed for user 'taeffner': Permission denied (auth_type=auth-module)   (session.py:289)

Ich habe es einmal via configed und einmal via webservice versucht

[fkalweit]

Hallo Alex,

danke für die Infos. Ich versuche das mal auf einem Server bei uns zu reproduzieren.

Viele Grüße
Fabian

[dark alex]

Noch ne Anmerkung @fkalweit: Ich habe gerade alles soweit umkonfiguriert dass man lokale user wieder nutzen kann und damit gehts...
Scheint so als ob opsi seit dem update aus irgendeinem Grund ein Problem mit über pam authentifizierten Ad-Usern hat.

Ad wurde bei uns grundsätzlich übrigens so eingerichtet wie hier beschrieben https://wiki.debian.org/AuthenticatingL ... ectorySssd

[fkalweit]

Hallo Alex,

Ok schon mal gut, dass die lokalen Benutzer funktionieren.
Ich habe deine Nachricht eben erst gesehen und meinen Test-Server (frisches debian 10) mit winbind der Domain hinzugefügt. Da konnte ich mich dann auch direkt mit einem AD-Benutzer auf der Adminseite anmelden.

Wenn ihr den Server wieder auf AD-Anmeldung umstellt, dann könnte man den opsiconfd kurz mit -l=8 auf der Konsole starten und eine Anmeldung über die Adminseite versuchen. Evt sieht man da dann mehr.

Viele Grüße
Fabian

[dark alex]

Hi Fabian,

Hier der relevante Log-Auszug

https://pastebin.com/Y0qSiq6r

[dark alex]

Ich habe den Upgrade-Prozess aus einem Backup nochmal stück für stück nachgestellt.

Ausgangssituation: Opsi funktioniert


Dann das upgrade durchgeführt, folgende Pakete werden aktualisiert, mit AUSNAHME der (hier noch angezeigten) opsi-server-full, opsiconfd, opsipxeconfd:


Ergebnis: Login nach wie vor möglich

Nächster Schritt: Reboot des Servers für den Kernel-Wechsel
Es sind jetzt alle Pakete auf dem aktuellen Stand, außer opsi-server-full, opsiconfd, opsipxeconfd
Test Configed. Ergebnis: Läuft wie gehabt. Login geht.

Nun aktualisiere ich opsiconfd auf 4.2.0.272-1 und es knallt: Unauthorized.

Irgendwas wurde da geändert...