opsiconfd login funktioniert nicht mehr

[gunter.software]

Ich kann mich nicht mehr in opsiconfd einloggen. Weder mit dem Client noch übers Webinterface ist das einloggen mit dem adminuser möglich. Vor ein paar Wochen hat alles noch super funktioniert und heute wollte ich wieder an den Server und nichts funktioniert. Ich habe in der Zeit absolut nichts verändert und außer mir hat auch keiner Zugriff auf den Server. Ich habe nichtmal eine Idee was das Problem ist geschweige denn wie ich es gelöst bekomme.

Code: Alles auswählen

Backend authentication error: Backend authentication error: Authentication failed for user 'adminuser': Backend authentication error: LDAP authentication failed for user 'adminuser': bind failed: {'result': 49, 'description': 'invalidCredentials', 'dn': '', 'message': '80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1', 'referrals': None, 'saslCreds': None, 'type': 'bindResponse'} (auth_type=auth-module)

Hat irgend jemand eine rettende Idee? Ich bin kurz davor alles zu deinstallieren und nochmal neuzustarten (Wäre sehr blöd weil ich bereits über 100 Computer eingebunden habe).

[j.schneider]

Das ist ein Problem bei der Authentifizierung am LDAP-Server.
Ist das ein Active Directory oder OpenLDAP?
Was steht in der /etc/opsi/opsi.conf bei [ldap_auth]?

[gunter.software]

Die Authentifizierung ist über ein Active Directory/Samba4. Allerdings funktioniert die direkte Authentifizierung am AD einwandfrei.

[j.schneider]

Welche ldap_url ist konfiguriert?
Das Problem könnte der base DN sein.

[gunter.software]

Eigentlich kann es damit nichts zu tun haben. Ich habe ja nichts an den Einstellungen geändert und vor ein paar Wochen hat alles noch super funktioniert.

Code: Alles auswählen

[groups]
admingroup = opsiadmin
fileadmingroup = opsifileadmins

[packages]
use_pigz = True

[ldap_auth]
Active Directory / Samba 4
ldap_url = ldaps://gott.cjg-sta.local/dc=gott,dc=cjg-sta,dc=local
#
# OpenLDAP
# ldap_url = ldaps://ldap.company.org/dc=company,dc=org

[gunter.software]

Also ich habe

Code: Alles auswählen

ldap_url = ldaps://gott.cjg-sta.local/dc=gott,dc=cjg-sta,dc=local

zu

Code: Alles auswählen

ldap_url = ldaps://gott.cjg-sta.local/dc=cjg-sta,dc=local

geändert und jetzt funktioniert die Authorizierung. Das Problem ist, ich komme trotzdem nicht rein weil angeblich der "adminuser" kein admin user ist.

Code: Alles auswählen

Backend permission denied error: Not an admin user 'adminuser' GET /admin   (session.py:302)

Wie kann das sein? Ich habe mich doch bisher auch immer mit dem User angemeldet.

Code: Alles auswählen

adminuser : adminuser opsiadmin opsifileadmins CJG-STA\adminuser users BUILTIN\users

[j.schneider]

Am besten das opsiconfd Log-Level etwas hochdrehen, dann loggt er die Gruppen-Zugehörigkeiten mit.

[gunter.software]

Ok, so wie es aussieht musste ich auch eine LDAP Gruppe namens "opsiadmin" erstellen. Jetzt funktioniert das anmelden wieder. Dennoch würde mich brennend interessieren wie es sein kann dass sich diese Einstellungen von alleine verändern. Weil wenn sowas öfter passiert würde ich das gerne frühzeitig wissen um nach stabileren Alternativen zu opsi zu suchen.