Seite 1 von 2
Kein Login in Management Interface möglich
Verfasst: 04 Jun 2016, 09:24
von siruscool
Hallo zusammen,
Ich möchte Opsi unter UCS 4.1-2-errata testen.
Die Installation lief unter UCS problemlos durch.
Leider kann ich mich mit keinem User außer Root einloggen.
Die Benutzer die Zugriff haben sollen sind in der Gruppe Opsiadmin.
Mit einem "Root" Login werde ich mit div. Fehlermeldungen erschlagen.
Prinzipiell kann ich mit Root auch nichts machen da wie mir scheint die Rechte fehlen!
Hat jemand diesbezüglich eine Idee bzw einen Lösungsansatz ?
Soweit ich festgestellt habe laufen alle Dienste soweit einwandfrei.
Re: Kein Login in Management Interface möglich
Verfasst: 04 Jun 2016, 13:52
von mhaegele
siruscool hat geschrieben:Hallo zusammen,
Ich möchte Opsi unter UCS 4.1-2-errata testen.
Die Installation lief unter UCS problemlos durch.
Leider kann ich mich mit keinem User außer Root einloggen.
Die Benutzer die Zugriff haben sollen sind in der Gruppe Opsiadmin.
Mit einem "Root" Login werde ich mit div. Fehlermeldungen erschlagen.
Prinzipiell kann ich mit Root auch nichts machen da wie mir scheint die Rechte fehlen!
Hat jemand diesbezüglich eine Idee bzw einen Lösungsansatz ?
Soweit ich festgestellt habe laufen alle Dienste soweit einwandfrei.
Hallo,
hast du schon das "getting started" Handbuch konsultiert, bzw. das Handbuch für opsi ucs (falls es das gibt?)
insbesondere die "Gruppenmitgliedschaften" usw.
Was meinst mit Management Interface:
https://opsiservername:4447
(opsiservername enspricht dem Hostname oder der IP-Adresse des ospiservers).
funktioniert nicht?
---
im Management interface sollte man sich imho nicht mit root Anmelden,
keine Ahnung ob das überhaupt richtig funktioniert, ist auch auch Sicherheitsaspekten nicht sinnvoll ...
---
ergibt? (wobei username der von dir angelegte adminbenutzer ist)
ohne useless use of cat:
(angenommen der von der angelegte benutzer wäre admin)
---
die Gruppen opsiadmin und pcpatch geben afair die entsprechenden Berechtigungen auf benötigte Verzeichnisse/Verwaltungsfunktionen usw.
aber das steht natürlich auch im Handbuch
.
Steht was in:
/var/log/opsi/
hth & Viel Spass mit OPSI
MH
Re: Kein Login in Management Interface möglich
Verfasst: 04 Jun 2016, 17:31
von siruscool
Hallo,
erst mal danke für deine Antwort.
https://opsiservername:4447 funktioniert!!!
Ich kann mir auch das java File runterladen und ausführen.
Es hapert am login.
Ich kann mich mit keinem User auser root einloggen.
Bei einem root login erhalte nachfolgende Fehlermeldung:
Jun 04 17:25:16.259 2016 -- Opsi service error: [BackendPermissionDeniedError] Backend permission denied error: Access to method 'config_updateObjects' denied for user 'root': Backend permission denied error: Access denied
cat /etc/group | grep ....
"ergibt nichts; keine Ausgabe"
Das ""getting started" hab ich auch schon diesbezüglich durchforstet (leider kein erfolg)!!!
Danke und Viele Grüße
Re: Kein Login in Management Interface möglich
Verfasst: 04 Jun 2016, 20:57
von SisterOfMercy
Code: Alles auswählen
# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
pcpatch:x:992:992::/var/lib/opsi:/bin/bash
opsiconfd:x:993:992::/var/lib/opsi:/bin/bash
adminuser:x:450:994::/home/adminuser:/bin/bash
# cat /etc/group
root:x:0:
pcpatch:x:992:adminuser
opsiadmin:x:993:opsiconfd,adminuser,root
shadow:x:498:opsiconfd
adminuser:x:994:
I use adminuser for all administrative tasks in configed. This is the partial output from a CentOS 6 machine.
If you do not have something similar, you need to create an administrative user, such as adminuser.
Re: Kein Login in Management Interface möglich
Verfasst: 05 Jun 2016, 12:26
von SirTux
siruscool hat geschrieben:
cat /etc/group | grep ....
"ergibt nichts; keine Ausgabe"
Das ergibt natürlich keine Ausgabe. Die Daten sind bei UCS ja auch im LDAP. Was ist die Ausgabe von
Code: Alles auswählen
univention-ldapsearch cn=opsiadmin
univention-ldapsearch cn=opsifileadmins
Wurden auf dem opsi-Server alle Join-Scripte ausgeführt?
Re: Kein Login in Management Interface möglich
Verfasst: 05 Jun 2016, 14:42
von siruscool
Hallo,
alle join-scripte laufen durch!
Es gibt diesbezüglich keine Fehler bzw. es standen auch keine Scripte zur Ausführung offen.
univention-ldapsearch cn=opsiadmin
ergibt:
Code: Alles auswählen
root@ucs:~# univention-ldapsearch cn=opsiadmin
# extended LDIF
#
# LDAPv3
# base <dc=---,dc=---> (default) with scope subtree
# filter: cn=opsiadmin
# requesting: ALL
#
# opsiadmin, groups, ---.---
dn: cn=opsiadmin,cn=groups,dc=---,dc=---
sambaGroupType: 2
cn: opsiadmin
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
objectClass: zarafa-group
objectClass: univentionObject
description: opsi config admin group
gidNumber: 5077
univentionObjectType: groups/group
univentionGroupType: -2147483646
uniqueMember: uid=Administrator,cn=users,dc=---,dc=---
uniqueMember: uid=---,cn=users,dc=---,dc=---
memberUid: Administrator
memberUid: ---
sambaSID: S-1-5-21-1315368007-2822776566-190511981-1135
# search result
search: 3
result: 0 Success
# numResponses: 2
# numEntries: 1
root@ucs:~#
univention-ldapsearch cn=opsifileadmins
ergibt:
Code: Alles auswählen
univention-ldapsearch cn=opsifileadmins
# extended LDIF
#
# LDAPv3
# base <dc=---,dc=---> (default) with scope subtree
# filter: cn=opsifileadmins
# requesting: ALL
#
# opsifileadmins, groups, ---.---
dn: cn=opsifileadmins,cn=groups,dc=---,dc=---
sambaGroupType: 2
cn: opsifileadmins
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
objectClass: zarafa-group
objectClass: univentionObject
description: opsi file admin group
gidNumber: 5076
univentionObjectType: groups/group
univentionGroupType: -2147483646
sambaSID: S-1-5-21-1315368007-2822776566-190511981-1134
memberUid: Administrator
memberUid: ---
uniqueMember: uid=Administrator,cn=users,dc=---,dc=---
uniqueMember: uid=---,cn=users,dc=---,dc=---
# search result
search: 3
result: 0 Success
# numResponses: 2
# numEntries: 1
root@ucs:~#
Soweit sieht alles gut aus!
Re: Kein Login in Management Interface möglich
Verfasst: 06 Jun 2016, 10:32
von n.wenselowski
Hi,
ich hatte etwas ähnliches. Einfache Lösung in dem Fall war den s4-Connector nachzuinstallieren.
Ansonsten nutzt opsi für den Auth PAM, das wäre dann die richtige Stelle um nachzuforschen weshalb die Anmeldung klemmt.
Das Handbuch hat mehr Infos zu PAM in opsi, generelle Infos zu PAM finden sich im Netz zuhauf.
Gruß
Niko
Re: Kein Login in Management Interface möglich
Verfasst: 06 Jun 2016, 12:46
von siruscool
Hallo,
der S4-Connecter ist laut Packetverwaltung installiert.
Also daran sollte es nicht liegen!
Der Root-Login funktioniert eingeschränkt!
Re: Kein Login in Management Interface möglich
Verfasst: 06 Jun 2016, 23:58
von SirTux
Gibt es auffällige Meldungen in /var/log/auth.log? Was ist die Ausgabe von
Code: Alles auswählen
univention-s4search cn=opsiadmin
univention-s4search cn=opsifileadmins
univention-s4connector-list-rejected
Re: Kein Login in Management Interface möglich
Verfasst: 07 Jun 2016, 20:06
von siruscool
Hallo,
nachfolgend die Ausgabe!
Code: Alles auswählen
univention-s4search cn=opsiadmin
SPNEGO(gssapi_krb5) creating NEG_TOKEN_INIT failed: NT_STATUS_NO_LOGON_SERVERS
# record 1
dn: CN=opsiadmin,CN=Groups,DC=***,DC=***
objectClass: top
objectClass: group
cn: opsiadmin
description: opsi config admin group
instanceType: 4
whenCreated: 20160417174743.0Z
uSNCreated: 5476
name: opsiadmin
objectGUID: e6715f48-c48e-41e2-873b-93332889bb4e
objectSid: S-1-5-21-1315368007-2822776566-190511981-1135
sAMAccountName: opsiadmin
sAMAccountType: 268435456
groupType: -2147483646
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=***,DC=***
member: CN=Administrator,CN=Users,DC=***,DC=***
member: CN=***,CN=Users,DC=***,DC=***
whenChanged: 20160602180938.0Z
uSNChanged: 7343
distinguishedName: CN=opsiadmin,CN=Groups,DC=***,DC=***
# Referral
ref: ldap://***/CN=Configuration,DC=***,DC=***
# Referral
ref: ldap://***/DC=DomainDnsZones,DC=***,DC=***
# Referral
ref: ldap://***/DC=ForestDnsZones,DC=***,DC=***
# returned 4 records
# 1 entries
# 3 referrals
root@ucs:~# univention-s4search cn=opsifileadmins
SPNEGO(gssapi_krb5) creating NEG_TOKEN_INIT failed: NT_STATUS_NO_LOGON_SERVERS
# record 1
dn: CN=opsifileadmins,CN=Groups,DC=***,DC=***
objectClass: top
objectClass: group
cn: opsifileadmins
description: opsi file admin group
instanceType: 4
whenCreated: 20160417174731.0Z
uSNCreated: 5475
name: opsifileadmins
objectGUID: ee595177-e323-4ac9-b960-d6b232e9aaab
objectSid: S-1-5-21-1315368007-2822776566-190511981-1134
sAMAccountName: opsifileadmins
sAMAccountType: 268435456
groupType: -2147483646
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=***,DC=***
member: CN=***,CN=Users,DC=***,DC=***
member: CN=Administrator,CN=Users,DC=***,DC=***
whenChanged: 20160602180938.0Z
uSNChanged: 7344
distinguishedName: CN=opsifileadmins,CN=Groups,DC=***,DC=***
# Referral
ref: ldap://***/CN=Configuration,DC=***,DC=***
# Referral
ref: ldap://***/DC=DomainDnsZones,DC=***,DC=***
# Referral
ref: ldap://***/DC=ForestDnsZones,DC=***,DC=***
# returned 4 records
# 1 entries
# 3 referrals
root@ucs:~# univention-s4connector-list-rejected
UCS rejected
S4 rejected
There may be no rejected DNs if the connector is in progress, to be
sure stop the connector before running this script.
last synced USN: 7360
root@ucs:~#