opsi config editor Zugriff AD-User schlägt fehl
Verfasst: 30 Jan 2020, 14:14
Vorweg, das Problem konnte ich zwischenzeitlich "lösen". Dies scheint mir aber keine saubere Lösung darzustellen. Dieser Post soll hauptsächlich der Dokumentation des Problems dienen. Wenn sich eine saubere Lösung findet, kann ich diese ggf. testen.
Was sollte passieren?
Beim aufnehmen von Clients über den client-agent-rollout, sowie die Anmeldung am opsi config editor sollte die Anmeldung per AD-User möglich sein.
Was ist passiert?
Im Log /var/log/opsi/opsiconfd/ipadresse.log findet sich für die fehlgeschlagenen AD-User Anmeldungen folgender Fehler:
Dies passiert bei allen AD-Usern, außer meinem eigenem. Als Merkmal ist hier zu erwähnen, dass der lokale User und der Domänenuser Namensgleich sind.
Auch das Anlegen der opsi-auth nach Anleitung konnte das Problem nicht beheben.
Weiter konnte sich der lokale adminuser anmelden. Die Berechtigungen sind alle erteilt.
Namensauflösung von AD-Nutzern funktioniert.
Berechtigungen werden korrekt bei AD-Nutzern angezeigt.
SAMBA und SSH Zugriff funktionieren für AD-Nutzer.
Mit welchen Schritten kann das Problem nachgestellt werden?
Nicht bekannt.
Installation des OPSI-Manuals wurde befolgt, zusätzlich wurde von https://help.ubuntu.com/lts/serverguide/sssd-ad.html (ausgeschlossen der SAMBA Sektion) alles umgesetzt.
Bei welche Versionen der beteiligten Komponenten tritt das Problem auf?
Ubuntu 18.04.3 LTS (GNU/Linux 4.15.0-76-generic x86_64)
ii opsi-linux-bootimage 20191114-1 all opsi bootimage for netboot tasks.
ii opsi-server 4.1.1.8-1 all opsi server configuration package
ii opsi-tftp-hpa 5.2.8-51 amd64 HPA's tftp client
ii opsi-tftpd-hpa 5.2.8-51 amd64 HPA's tftp server
ii opsi-utils 4.1.1.33-2 all utilites for working with opsi.
ii opsi-windows-support 4.1.1-8 all Install utilities useful for deploying Windows with opsi.
Patchwork Lösung
Auffällig war, dass für meinen eigenen User die Anmeldung funktioniert, obwohl diese mit den AD-Login Credentials durchgeführt wurde.
Nachdem also mit Rootberechtigungen ein abgesetzt wurde, funktionierte die Anmeldung an der OPSI-Software.
Was sollte passieren?
Beim aufnehmen von Clients über den client-agent-rollout, sowie die Anmeldung am opsi config editor sollte die Anmeldung per AD-User möglich sein.
Was ist passiert?
Im Log /var/log/opsi/opsiconfd/ipadresse.log findet sich für die fehlgeschlagenen AD-User Anmeldungen folgender Fehler:
Code: Alles auswählen
Opsi authentication error: Authentication failure for 'username' from '172.28.38.124': Backend authentication error: Backend authentication error: PAM authentication failed for user 'username': ('Permission denied', 6) (Worker.py|291)Auch das Anlegen der opsi-auth nach Anleitung konnte das Problem nicht beheben.
Weiter konnte sich der lokale adminuser anmelden. Die Berechtigungen sind alle erteilt.
Namensauflösung von AD-Nutzern funktioniert.
Berechtigungen werden korrekt bei AD-Nutzern angezeigt.
SAMBA und SSH Zugriff funktionieren für AD-Nutzer.
Mit welchen Schritten kann das Problem nachgestellt werden?
Nicht bekannt.
Installation des OPSI-Manuals wurde befolgt, zusätzlich wurde von https://help.ubuntu.com/lts/serverguide/sssd-ad.html (ausgeschlossen der SAMBA Sektion) alles umgesetzt.
Bei welche Versionen der beteiligten Komponenten tritt das Problem auf?
Ubuntu 18.04.3 LTS (GNU/Linux 4.15.0-76-generic x86_64)
ii opsi-linux-bootimage 20191114-1 all opsi bootimage for netboot tasks.
ii opsi-server 4.1.1.8-1 all opsi server configuration package
ii opsi-tftp-hpa 5.2.8-51 amd64 HPA's tftp client
ii opsi-tftpd-hpa 5.2.8-51 amd64 HPA's tftp server
ii opsi-utils 4.1.1.33-2 all utilites for working with opsi.
ii opsi-windows-support 4.1.1-8 all Install utilities useful for deploying Windows with opsi.
Patchwork Lösung
Auffällig war, dass für meinen eigenen User die Anmeldung funktioniert, obwohl diese mit den AD-Login Credentials durchgeführt wurde.
Nachdem also mit Rootberechtigungen ein
Code: Alles auswählen
getent passwd aduser >> /etc/passwd