Hallo zusammen,
Ich möchte Opsi unter UCS 4.1-2-errata testen.
Die Installation lief unter UCS problemlos durch.
Leider kann ich mich mit keinem User außer Root einloggen.
Die Benutzer die Zugriff haben sollen sind in der Gruppe Opsiadmin.
Mit einem "Root" Login werde ich mit div. Fehlermeldungen erschlagen.
Prinzipiell kann ich mit Root auch nichts machen da wie mir scheint die Rechte fehlen!
Hat jemand diesbezüglich eine Idee bzw einen Lösungsansatz ?
Soweit ich festgestellt habe laufen alle Dienste soweit einwandfrei.
Kein Login in Management Interface möglich
Re: Kein Login in Management Interface möglich
Hallo,siruscool hat geschrieben:Hallo zusammen,
Ich möchte Opsi unter UCS 4.1-2-errata testen.
Die Installation lief unter UCS problemlos durch.
Leider kann ich mich mit keinem User außer Root einloggen.
Die Benutzer die Zugriff haben sollen sind in der Gruppe Opsiadmin.
Mit einem "Root" Login werde ich mit div. Fehlermeldungen erschlagen.
Prinzipiell kann ich mit Root auch nichts machen da wie mir scheint die Rechte fehlen!
Hat jemand diesbezüglich eine Idee bzw einen Lösungsansatz ?
Soweit ich festgestellt habe laufen alle Dienste soweit einwandfrei.
hast du schon das "getting started" Handbuch konsultiert, bzw. das Handbuch für opsi ucs (falls es das gibt?)
insbesondere die "Gruppenmitgliedschaften" usw.
Was meinst mit Management Interface:
https://opsiservername:4447
(opsiservername enspricht dem Hostname oder der IP-Adresse des ospiservers).
funktioniert nicht?
---
im Management interface sollte man sich imho nicht mit root Anmelden,
keine Ahnung ob das überhaupt richtig funktioniert, ist auch auch Sicherheitsaspekten nicht sinnvoll ...
---
Code: Alles auswählen
cat /etc/group | grep username ohne useless use of cat:
Code: Alles auswählen
grep admin /etc/group ---
die Gruppen opsiadmin und pcpatch geben afair die entsprechenden Berechtigungen auf benötigte Verzeichnisse/Verwaltungsfunktionen usw.
aber das steht natürlich auch im Handbuch
.Steht was in:
/var/log/opsi/
hth & Viel Spass mit OPSI
MH
Re: Kein Login in Management Interface möglich
Hallo,
erst mal danke für deine Antwort.
https://opsiservername:4447 funktioniert!!!
Ich kann mir auch das java File runterladen und ausführen.
Es hapert am login.
Ich kann mich mit keinem User auser root einloggen.
Bei einem root login erhalte nachfolgende Fehlermeldung:
Das ""getting started" hab ich auch schon diesbezüglich durchforstet (leider kein erfolg)!!!
Danke und Viele Grüße
erst mal danke für deine Antwort.
https://opsiservername:4447 funktioniert!!!
Ich kann mir auch das java File runterladen und ausführen.
Es hapert am login.
Ich kann mich mit keinem User auser root einloggen.
Bei einem root login erhalte nachfolgende Fehlermeldung:
Jun 04 17:25:16.259 2016 -- Opsi service error: [BackendPermissionDeniedError] Backend permission denied error: Access to method 'config_updateObjects' denied for user 'root': Backend permission denied error: Access denied
"ergibt nichts; keine Ausgabe"cat /etc/group | grep ....
Das ""getting started" hab ich auch schon diesbezüglich durchforstet (leider kein erfolg)!!!
Danke und Viele Grüße
-
SisterOfMercy
- Beiträge: 1556
- Registriert: 22 Jun 2012, 19:18
Re: Kein Login in Management Interface möglich
Code: Alles auswählen
# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
pcpatch:x:992:992::/var/lib/opsi:/bin/bash
opsiconfd:x:993:992::/var/lib/opsi:/bin/bash
adminuser:x:450:994::/home/adminuser:/bin/bash
# cat /etc/group
root:x:0:
pcpatch:x:992:adminuser
opsiadmin:x:993:opsiconfd,adminuser,root
shadow:x:498:opsiconfd
adminuser:x:994:
If you do not have something similar, you need to create an administrative user, such as adminuser.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Re: Kein Login in Management Interface möglich
Das ergibt natürlich keine Ausgabe. Die Daten sind bei UCS ja auch im LDAP. Was ist die Ausgabe vonsiruscool hat geschrieben:"ergibt nichts; keine Ausgabe"cat /etc/group | grep ....
Code: Alles auswählen
univention-ldapsearch cn=opsiadmin
univention-ldapsearch cn=opsifileadmins
Code: Alles auswählen
univention-run-join-scripts
Re: Kein Login in Management Interface möglich
Hallo,
alle join-scripte laufen durch!
Es gibt diesbezüglich keine Fehler bzw. es standen auch keine Scripte zur Ausführung offen.
ergibt:
Soweit sieht alles gut aus!
alle join-scripte laufen durch!
Es gibt diesbezüglich keine Fehler bzw. es standen auch keine Scripte zur Ausführung offen.
univention-ldapsearch cn=opsiadmin
ergibt:
Code: Alles auswählen
root@ucs:~# univention-ldapsearch cn=opsiadmin
# extended LDIF
#
# LDAPv3
# base <dc=---,dc=---> (default) with scope subtree
# filter: cn=opsiadmin
# requesting: ALL
#
# opsiadmin, groups, ---.---
dn: cn=opsiadmin,cn=groups,dc=---,dc=---
sambaGroupType: 2
cn: opsiadmin
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
objectClass: zarafa-group
objectClass: univentionObject
description: opsi config admin group
gidNumber: 5077
univentionObjectType: groups/group
univentionGroupType: -2147483646
uniqueMember: uid=Administrator,cn=users,dc=---,dc=---
uniqueMember: uid=---,cn=users,dc=---,dc=---
memberUid: Administrator
memberUid: ---
sambaSID: S-1-5-21-1315368007-2822776566-190511981-1135
# search result
search: 3
result: 0 Success
# numResponses: 2
# numEntries: 1
root@ucs:~#
ergibt:univention-ldapsearch cn=opsifileadmins
Code: Alles auswählen
univention-ldapsearch cn=opsifileadmins
# extended LDIF
#
# LDAPv3
# base <dc=---,dc=---> (default) with scope subtree
# filter: cn=opsifileadmins
# requesting: ALL
#
# opsifileadmins, groups, ---.---
dn: cn=opsifileadmins,cn=groups,dc=---,dc=---
sambaGroupType: 2
cn: opsifileadmins
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
objectClass: zarafa-group
objectClass: univentionObject
description: opsi file admin group
gidNumber: 5076
univentionObjectType: groups/group
univentionGroupType: -2147483646
sambaSID: S-1-5-21-1315368007-2822776566-190511981-1134
memberUid: Administrator
memberUid: ---
uniqueMember: uid=Administrator,cn=users,dc=---,dc=---
uniqueMember: uid=---,cn=users,dc=---,dc=---
# search result
search: 3
result: 0 Success
# numResponses: 2
# numEntries: 1
root@ucs:~#
-
n.wenselowski
- Ex-uib-Team
- Beiträge: 3194
- Registriert: 04 Apr 2013, 12:15
Re: Kein Login in Management Interface möglich
Hi,
ich hatte etwas ähnliches. Einfache Lösung in dem Fall war den s4-Connector nachzuinstallieren.
Ansonsten nutzt opsi für den Auth PAM, das wäre dann die richtige Stelle um nachzuforschen weshalb die Anmeldung klemmt.
Das Handbuch hat mehr Infos zu PAM in opsi, generelle Infos zu PAM finden sich im Netz zuhauf.
Gruß
Niko
ich hatte etwas ähnliches. Einfache Lösung in dem Fall war den s4-Connector nachzuinstallieren.
Ansonsten nutzt opsi für den Auth PAM, das wäre dann die richtige Stelle um nachzuforschen weshalb die Anmeldung klemmt.
Das Handbuch hat mehr Infos zu PAM in opsi, generelle Infos zu PAM finden sich im Netz zuhauf.
Gruß
Niko
Code: Alles auswählen
import OPSIRe: Kein Login in Management Interface möglich
Hallo,
der S4-Connecter ist laut Packetverwaltung installiert.
Also daran sollte es nicht liegen!
Der Root-Login funktioniert eingeschränkt!
der S4-Connecter ist laut Packetverwaltung installiert.
Also daran sollte es nicht liegen!
Der Root-Login funktioniert eingeschränkt!
Re: Kein Login in Management Interface möglich
Gibt es auffällige Meldungen in /var/log/auth.log? Was ist die Ausgabe von
Code: Alles auswählen
univention-s4search cn=opsiadmin
univention-s4search cn=opsifileadmins
univention-s4connector-list-rejected
Re: Kein Login in Management Interface möglich
Hallo,
nachfolgend die Ausgabe!
nachfolgend die Ausgabe!
Code: Alles auswählen
univention-s4search cn=opsiadmin
SPNEGO(gssapi_krb5) creating NEG_TOKEN_INIT failed: NT_STATUS_NO_LOGON_SERVERS
# record 1
dn: CN=opsiadmin,CN=Groups,DC=***,DC=***
objectClass: top
objectClass: group
cn: opsiadmin
description: opsi config admin group
instanceType: 4
whenCreated: 20160417174743.0Z
uSNCreated: 5476
name: opsiadmin
objectGUID: e6715f48-c48e-41e2-873b-93332889bb4e
objectSid: S-1-5-21-1315368007-2822776566-190511981-1135
sAMAccountName: opsiadmin
sAMAccountType: 268435456
groupType: -2147483646
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=***,DC=***
member: CN=Administrator,CN=Users,DC=***,DC=***
member: CN=***,CN=Users,DC=***,DC=***
whenChanged: 20160602180938.0Z
uSNChanged: 7343
distinguishedName: CN=opsiadmin,CN=Groups,DC=***,DC=***
# Referral
ref: ldap://***/CN=Configuration,DC=***,DC=***
# Referral
ref: ldap://***/DC=DomainDnsZones,DC=***,DC=***
# Referral
ref: ldap://***/DC=ForestDnsZones,DC=***,DC=***
# returned 4 records
# 1 entries
# 3 referrals
root@ucs:~# univention-s4search cn=opsifileadmins
SPNEGO(gssapi_krb5) creating NEG_TOKEN_INIT failed: NT_STATUS_NO_LOGON_SERVERS
# record 1
dn: CN=opsifileadmins,CN=Groups,DC=***,DC=***
objectClass: top
objectClass: group
cn: opsifileadmins
description: opsi file admin group
instanceType: 4
whenCreated: 20160417174731.0Z
uSNCreated: 5475
name: opsifileadmins
objectGUID: ee595177-e323-4ac9-b960-d6b232e9aaab
objectSid: S-1-5-21-1315368007-2822776566-190511981-1134
sAMAccountName: opsifileadmins
sAMAccountType: 268435456
groupType: -2147483646
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=***,DC=***
member: CN=***,CN=Users,DC=***,DC=***
member: CN=Administrator,CN=Users,DC=***,DC=***
whenChanged: 20160602180938.0Z
uSNChanged: 7344
distinguishedName: CN=opsifileadmins,CN=Groups,DC=***,DC=***
# Referral
ref: ldap://***/CN=Configuration,DC=***,DC=***
# Referral
ref: ldap://***/DC=DomainDnsZones,DC=***,DC=***
# Referral
ref: ldap://***/DC=ForestDnsZones,DC=***,DC=***
# returned 4 records
# 1 entries
# 3 referrals
root@ucs:~# univention-s4connector-list-rejected
UCS rejected
S4 rejected
There may be no rejected DNs if the connector is in progress, to be
sure stop the connector before running this script.
last synced USN: 7360
root@ucs:~#