Login in opsi nicht möglich "Unauthorized" nach Update

Benutzeravatar
fkalweit
uib-Team
Beiträge: 123
Registriert: 23 Okt 2020, 16:14

Re: Login in opsi nicht möglich "Unauthorized" nach Update

Beitrag von fkalweit »

Hallo Alex,

wir haben jetzt noch einen Server nach der Anleitung https://wiki.debian.org/AuthenticatingL ... ectorySssd unserer Domäne hinzugefügt. Da wollte die Anmeldung am opsiconfd erst auch nicht. Da hat sich sssd über "ad_gpo_access" beschwert. Wir haben das mit ad_gpo_access_control = disabled mal testweise deaktiviert und dann hat die Anmeldung an der Adminseite funktioniert.

Wäre es möglich, dass wir die /var/log/auth.log und /var/log/sssd/sssd.log zu dem Zeitpunkt einer Anmeldung an der Adminseite mal anschauen können?

Die Fehlermeldung "...AttributeError: 'list' object has no attribute 'get'..." konnet wir leider noch nicht nachstellen.

Viele Grüße
Fabian
dark alex
Beiträge: 322
Registriert: 11 Mär 2015, 10:09

Re: Login in opsi nicht möglich "Unauthorized" nach Update

Beitrag von dark alex »

Hi Fabian,

ich habe gestern noch ein Rollback durchgeführt, damit meine Kollegen wieder Zugriff haben. Ich habe aber eine Kopie behalten, sodass wir weiter testen können.

Zunächst habe ich eben nochmal gegengeprüft: Die Fehlermeldung (AttributeError) tritt definitiv erst nach dem Update auf.
Das Log "vor dem Update" sieht so - und damit ganz normal - aus:

Code: Alles auswählen

[1] [2022-07-26 14:06:10.323] [               ] Switching to user opsiconfd   (main.py:137)
[1] [2022-07-26 14:06:10.324] [               ] opsiconfd is starting   (main.py:153)
[1] [2022-07-26 14:53:33.020] [               ] Switching to user opsiconfd   (main.py:137)
[1] [2022-07-26 14:53:33.022] [               ] opsiconfd is starting   (main.py:153)
[1] [2022-07-26 15:04:13.326] [               ] Switching to user opsiconfd   (main.py:137)
[1] [2022-07-26 15:04:13.327] [               ] opsiconfd is starting   (main.py:153)
/var/log/auth.log

Code: Alles auswählen

Jul 27 09:49:23 OpsiMaster opsiconfd: pam_unix(common-auth:auth): authentication failure; logname= uid=998 euid=998 tty= ruser= rhost=  user=meinusername
Jul 27 09:49:24 OpsiMaster opsiconfd: pam_sss(common-auth:auth): authentication success; logname= uid=998 euid=998 tty= ruser= rhost= user=meinusername
Jul 27 09:49:24 OpsiMaster opsiconfd: pam_sss(common-auth:account): Access denied for user meinusername: 6 (Permission denied)
sssd.log ist leer und keines der logfiles in dem verzeichnis hat irgendwas protokolliert bei dem Versuch... Das finde ich auffällig


Jetzt der fun fact:
ad_gpo_access_control = disabled in der sssd.conf löst das Problem!

Wo habt ihr denn den Fehler gesehen?

//Edit:
Und der Fehler (AttributeError) ist damit jetzt auch weg. ad_gpo_access_control scheint demnach der Kern des Problems zu sien... Die Frage ist was hat sich an OPSI verändert, dass sich das plötzlich so verhält? Wir wissen ja schon, dass das opsiconfd Paket der Schlüssel ist.

//Edit 2:
Wir haben in unserer Domäne übrigens keine besondere Konfiguration hinsichtlich Login-Beschränkungen o.ä.
Zuletzt geändert von dark alex am 27 Jul 2022, 10:01, insgesamt 1-mal geändert.
Benutzeravatar
fkalweit
uib-Team
Beiträge: 123
Registriert: 23 Okt 2020, 16:14

Re: Login in opsi nicht möglich "Unauthorized" nach Update

Beitrag von fkalweit »

Hi,

evt sieht man etwas, wenn du in der /etc/sssd/sssd.conf das log level höher stellst.

[domain/MY.DOMAIN]
debug_level = 6

Den "Fehler" haben wir in der sssd.log gesehen. Aber ich glaube erst ab log level 6. Sry das hatte ich gestern vergessen.


Viele Grüße
Fabian
Benutzeravatar
fkalweit
uib-Team
Beiträge: 123
Registriert: 23 Okt 2020, 16:14

Re: Login in opsi nicht möglich "Unauthorized" nach Update

Beitrag von fkalweit »

Aber war der opsiconfd da bei der Anmeldung Probleme macht weiß ich leider noch nicht. Da sind wir noch auf der Suche.
Den AttributeError konnten wir bis jetzt auch noch nicht nachstellen.
dark alex
Beiträge: 322
Registriert: 11 Mär 2015, 10:09

Re: Login in opsi nicht möglich "Unauthorized" nach Update

Beitrag von dark alex »

Ich glaube ich weiß wieso pam den zugriff verweigerrt:

Code: Alles auswählen

(Wed Jul 27 10:02:53 2022) [sssd[be[MYDOMAIN.LOCAL]]] [ad_gpo_access_send] (0x0400): Configuration hint: PAM service 'common-auth' is not mapped to any Group Policy rule. If you plan to use this PAM service it is recommended to use the ad_gpo_map_* family of options to map this PAM service to a Group Policy rule. PAM services not present in any map will fall back to value set in ad_gpo_default_right, which is currently set to Denied (see manual pages 'man sssd-ad' for more details).
(Wed Jul 27 10:02:53 2022) [sssd[be[MYDOMAIN.LOCAL]]] [ad_gpo_access_send] (0x0400): service common-auth maps to Denied
(Wed Jul 27 10:02:53 2022) [sssd[be[MYDOMAIN.LOCAL]]] [ad_gpo_access_done] (0x0040): GPO-based access control failed.
die Meldung besagt ja dass aufgrund fehlender Konfiguration der Fallback ausgelöst wird, der "Denied" lautet.
Das ist wahrscheinlich auch das, was ihr gesehen habt.

Komisch nur, dass das erst jetzt passiert... also erst nach opsiconfd update...

An sich ist das für uns kein Problem, dann deaktivieren wir das feature eben, wie gesagt haben wir dahingehend eh keine besonderen Beschränkungen als KMU :D

//Tante Edit(h):
Den AttributeError habe ich gewissermaßen gefunden... Für unsere "All-AD" Konfiguration habe ich in der opsi.conf als Gruppe eine Ad-Gruppe angegeben. Ist dies der Fall, kommt besagte Meldung im Log. Seit gestern läuft der service aber mit den lokalen Gruppen (was genauso funktioniert, aber dadurch kommen die file permissions durcheinander beim Pakete installieren)

Code: Alles auswählen

[groups]
admingroup = opsi-admins
fileadmingroup = opsi-admins
#admingroup = opsiadmin
#fileadmingroup = opsifileadmins
Hier sieht mans nochmal was ich meine... Unsere AD-Gruppe für die berechtigten User heißt OPSI-Admins.
Da ich in den ACLs aber noch eigene Einträge für unsere AD-Gruppen habe funktionieren 90% auch ohne die besagte Konfiguration, nur eben die Berechtigungen im filesystem zeigen dann auf die falsche Gruppe. Aus diesem Grund ist bei OPSI die AD-Gruppe hinterlegt
dark alex
Beiträge: 322
Registriert: 11 Mär 2015, 10:09

Re: Login in opsi nicht möglich "Unauthorized" nach Update

Beitrag von dark alex »

Wenn ihr noch Unterstützung in Form von Tests o.ä. braucht triggert mich gern an, gern auch per Mail (ich geh davon aus ihr habt Zugriff auf die Mailadressen im forum) falls ich hier nicht antworte. Bin leider aktuell nicht so aktiv :lol:

wir arbeiten jetzt erstmal mit dem "Workaround"
Antworten