PAM authentication failed (opsi-configed)

[luca]

Hallo zusammen,

ich habe OPSI auf Oracle Linux installiert. Nachdem ich darüber geflucht habe, dass das RPM feste IDs für User und Gruppen zum anlegen verwendet – es ist ja gänzlich abwegig, dass User IDs über 900 auftauchen –, habe ich es soweit konfiguriert bekommen. Das Problem ist: Ich kann mich nicht über opsi-configed anmelden.

Ich habe bereits dieses Forum und auch google durchforstet, ohne eine Lösung zu finden.

Die genaue Log-Ausgabe ist:

Code: Alles auswählen

[4] [Aug 24 16:01:37] Failed to read opsi modules file '/etc/opsi/modules': [Errno 2] No such file or directory: u'/etc/opsi/modules' (Backend.py|386)
[5] [Aug 24 16:01:37] Application 'opsi config editor 4.0.5.8.1' on client '127.0.0.1' did not send cookie (workers.py|168)
[5] [Aug 24 16:01:37] New session created (session.py|75)
[5] [Aug 24 16:01:37] Authorization request from adminuser@127.0.0.1 (application: opsi config editor 4.0.5.8.1) (workers.py|195)
[5] [Aug 24 16:01:37] Session 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX' from ip '127.0.0.1', application 'opsi config editor 4.0.5.8.1' deleted (Session.py|211)
[2] [Aug 24 16:01:37] Traceback: (Logger.py|767)
[2] [Aug 24 16:01:37]      line 287 in '_errback' in file '/usr/lib/python2.7/site-packages/OPSI/Service/Worker.py' (Logger.py|767)
[2] [Aug 24 16:01:37]      line 551 in '_runCallbacks' in file '/usr/lib64/python2.7/site-packages/twisted/internet/defer.py' (Logger.py|767)
[2] [Aug 24 16:01:37]      line 260 in '_authenticate' in file '/usr/lib/python2.7/site-packages/opsiconfd/workers.py' (Logger.py|767)
[2] [Aug 24 16:01:37]      ==>>> Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user 'adminuser': ('Authentication failure', 7) (Worker.py|289)

Habe die Session vorsichtshalber ausgeXt. Der gleiche Fehler tritt auf, wenn ich das WebApplet von anderen Rechnern aus benutze.

Hier was ich geprüft habe:

Code: Alles auswählen

hostname -f

Gibt eine gültige FQDN aus.

Code: Alles auswählen

getent group `hostname -f`

Gibt auch den gewünschten output in Form von "IP FQDN NAME" aus.

Code: Alles auswählen

getent group | grep adminuser

Gibt:

Code: Alles auswählen

opsiadmin:x:1001:adminuser,opsiconfd
pcpatch:x:992:adminuser
adminuser:x:1003:

Ich habe versucht mich per su anzumelden:

Code: Alles auswählen

su - 
su - adminuser

Erfolg.

Aber auch wenn ich erst den Benutzer opsiconfd zu personifizieren und mich dann als adminuser anzumelden funktioniert es.

Code: Alles auswählen

su -
su - opsiconfd
su - adminuser

Erfolg.

Ich habe den opsiconfd-User auch der shadow-Gruppe hinzugefügt, weil der Service gemeckert hat. Jetzt meckert der Service nicht mehr aber es funktioniert immer noch nicht.

Ich hoffe ihr könnt mir helfen!
Danke und Grüße
Luca

[SisterOfMercy]

My adminuser has an userID of 450. This is on CentOS 6, which has userID <500 registered for system users. Perhaps this might help?

[luca]

I also tried creating a new user and adding him to the opsiadmin-group. Same result.

[n.wenselowski]

Hallo Luca,

ich habe OPSI auf Oracle Linux installiert. Nachdem ich darüber geflucht habe, dass das RPM feste IDs für User und Gruppen zum anlegen verwendet – es ist ja gänzlich abwegig, dass User IDs über 900 auftauchen –, habe ich es soweit konfiguriert bekommen. Das Problem ist: Ich kann mich nicht über opsi-configed anmelden.

Habe das gerade mal so angepasst, dass die kommende Version keine uid/gid mehr fest angibt.

Die genaue Log-Ausgabe ist:

Code: Alles auswählen

[4] [Aug 24 16:01:37] Failed to read opsi modules file '/etc/opsi/modules': [Errno 2] No such file or directory: u'/etc/opsi/modules' (Backend.py|386)
[5] [Aug 24 16:01:37] Application 'opsi config editor 4.0.5.8.1' on client '127.0.0.1' did not send cookie (workers.py|168)
[5] [Aug 24 16:01:37] New session created (session.py|75)
[5] [Aug 24 16:01:37] Authorization request from adminuser@127.0.0.1 (application: opsi config editor 4.0.5.8.1) (workers.py|195)
[5] [Aug 24 16:01:37] Session 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX' from ip '127.0.0.1', application 'opsi config editor 4.0.5.8.1' deleted (Session.py|211)
[2] [Aug 24 16:01:37] Traceback: (Logger.py|767)
[2] [Aug 24 16:01:37]      line 287 in '_errback' in file '/usr/lib/python2.7/site-packages/OPSI/Service/Worker.py' (Logger.py|767)
[2] [Aug 24 16:01:37]      line 551 in '_runCallbacks' in file '/usr/lib64/python2.7/site-packages/twisted/internet/defer.py' (Logger.py|767)
[2] [Aug 24 16:01:37]      line 260 in '_authenticate' in file '/usr/lib/python2.7/site-packages/opsiconfd/workers.py' (Logger.py|767)
[2] [Aug 24 16:01:37]      ==>>> Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user 'adminuser': ('Authentication failure', 7) (Worker.py|289)

Habe die Session vorsichtshalber ausgeXt. Der gleiche Fehler tritt auf, wenn ich das WebApplet von anderen Rechnern aus benutze.

Ich würde für den opsiconfd mal das Loglevel erhöhen, am besten auf 7. Er sollte auf /etc/pam.d/opsi-auth zurückgreifen. Aber sicher weiß ich es nicht, da du ein nicht unterstütztes Linux verwendest!


Gruß

Niko

[luca]

Oracle Linux ist Grunde baugleich zu CentOS, aber darüber will ich mich jetzt nicht streiten.

Die Datei /etc/pam.d/opsi-auth fehlte. Die Lösung war:

Code: Alles auswählen

cd /etc/pam.d
ln -s password-auth opsi-auth

Jetzt funktioniert es.

Vielen Dank für die Hilfe und die nicht-fixen uid/gids ;)1

[SisterOfMercy]

Oracle Linux ist Grunde baugleich zu CentOS, aber darüber will ich mich jetzt nicht streiten.

The only difference is that oracle (obstacle) is an evil cult!

[luca]

Yeah... I remember when someone actually rented the domain "bad-design.com" just to redirect it to the oracle Website!

[Tigger]

Hallo,

ich habe das gleiche Problem,
aber den Link an zu legen hat bei mir nicht geholfen.

Ich habe ein Update von Ubuntu 16.04 auf 20.04 gemacht und auch OPSI von 4.1 und 4.2
Danach fing das Problem an.

[j.schneider]

Hallo,
nach einem OS-Upgrade kann es zu Problemen mit den PAM-Libs kommen.
Normalerweise hilft dann:

Code: Alles auswählen

apt reinstall opsiconfd

[Tigger]

Hallo j.schneider,

danke das hat geholfen.

MfG
Alexander