Loginprobleme an Univention Member/Fileserver

UCS - Univention Corporate Server
#1

Hallo zusammen,

Wir haben in unserer Domäne einen memberserver als Fileserver laufen

Leider verlieren die User sporadisch komplett ihre rechte, können sich dann auch nichtmehr auf \nas\ einloggen da ihr user nicht akzeptiert wird

Wenn man den betroffenen User neu anlegt schafft dies zwar kurz abhilfe tritt aber kurz darauf wieder auf

Das Problem tritt bei allen Usergruppen auf
samba-tool dbcheck --cross-ncs --fix zeigt keine Fehler an

Die Anmeldung an Windows ist möglich, auch kann ich mich mit einem betroffenen User am Webinterface von univention anmelden

Könnte es hier abhilfe schaffen einen neuen memberserver aufzusetzen?

#2

Ich würde es erstmal mit einem Rejoin des Servers probieren.

#3

habe ich soeben versucht, probleamtik ist die selbe

#4

ist es normal das dieser befehl nicht auf dem memberserver funktioniert?

root@nas:~# samba-tool user list ERROR(ldb): uncaught exception - ldb_search: invalid basedn '(null)' File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 175, in _run return self.run(*args, **kwargs) File "/usr/lib/python2.7/dist-packages/samba/netcmd/user.py", line 299, in run attrs=["samaccountname"]) root@nas:~#

#5

Kriegen die betreffenden User dennoch noch einen Kerberos-Sitzungs-Schlüssel für den Memberserver? Oder anders gesagt: Gibt es für den Memberserver relevante Unterschiede bei der Ausgabe von klist bei funktionierendem und nicht funktionierendem Zugriff.

Die Uhren sollten ja synchron sein. Sonst sollte die Authentifizierung ja generell nicht funktionieren. Ich würde es dennoch noch mal überprüfen.

EDIT:

[quote=“npanic”]ist es normal das dieser befehl nicht auf dem memberserver funktioniert?
[/quote]

Keine Ahnung. Aber da er anscheinend ldbsearch verwendet, kann ich mir vorstellen, daß es normal ist.

#6

Die Zeit ist auf allen Maschinen synchron

Wie lautet der string für klist?

gebe ich nur klist ein bekomme ich:

Fileserver

Administrator@nas:~$ klist klist: No ticket file: /tmp/krb5cc_2002

pdc:

Administrator@pdc:~$ klist klist: No ticket file: /tmp/krb5cc_2002

#7

Sorry, das Wissen habe ich jetzt einfach vorausgesetzt: klist soll auf dem Client ausgeführt werden. Das Tools gibts auch unter Windows, dazu einfach ein cmd-Fenster aufmachen.

#8

entschuldigung für mein unwissen :slight_smile:

Funktionierender user:

[code]Aktuelle Anmelde-ID ist 0:0xaa85a

Zwischengespeicherte Tickets: (3)

#0> Client: mfrie @ HUF.INTRANET
Server: krbtgt/HUF.INTRANET @ HUF.INTRANET
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
Ticketkennzeichen 0x40e00000 -> forwardable renewable initial pre_authent
Startzeit: 9/19/2016 14:24:54 (lokal)
Endzeit: 9/20/2016 0:24:54 (lokal)
Erneuerungszeit: 9/26/2016 14:24:54 (lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cachekennzeichen: 0x1 -> PRIMARY
KDC aufgerufen: pdc.huf.intranet

#1> Client: mfrie @ HUF.INTRANET
Server: LDAP/pdc.huf.intranet/huf.intranet @ HUF.INTRANET
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
Ticketkennzeichen 0x40ac0000 -> forwardable renewable pre_authent ok_as_delegate 0x80000
Startzeit: 9/19/2016 14:24:55 (lokal)
Endzeit: 9/20/2016 0:24:54 (lokal)
Erneuerungszeit: 9/26/2016 14:24:54 (lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cachekennzeichen: 0
KDC aufgerufen: pdc.huf.intranet

#2> Client: mfrie @ HUF.INTRANET
Server: cifs/nas.huf.intranet @ HUF.INTRANET
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
Ticketkennzeichen 0x40a80000 -> forwardable renewable pre_authent 0x80000
Startzeit: 9/19/2016 14:24:54 (lokal)
Endzeit: 9/20/2016 0:24:54 (lokal)
Erneuerungszeit: 9/26/2016 14:24:54 (lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cachekennzeichen: 0
KDC aufgerufen: pdc.huf.intranet
[/code]

Nicht funktionierender user

[code]Aktuelle Anmelde-ID ist 0:0x170bd4

Zwischengespeicherte Tickets: (6)

#0> Client: bmele @ HUF.INTRANET
Server: krbtgt/HUF.INTRANET @ HUF.INTRANET
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
Ticketkennzeichen 0x60ac0000 -> forwardable forwarded renewable pre_authent ok_as_delegate 0x80000
Startzeit: 9/19/2016 14:26:14 (lokal)
Endzeit: 9/20/2016 0:26:13 (lokal)
Erneuerungszeit: 9/26/2016 14:26:13 (lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cachekennzeichen: 0x2 -> DELEGATION
KDC aufgerufen: pdc.huf.intranet

#1> Client: bmele @ HUF.INTRANET
Server: krbtgt/HUF.INTRANET @ HUF.INTRANET
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
Ticketkennzeichen 0x40e00000 -> forwardable renewable initial pre_authent
Startzeit: 9/19/2016 14:26:13 (lokal)
Endzeit: 9/20/2016 0:26:13 (lokal)
Erneuerungszeit: 9/26/2016 14:26:13 (lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cachekennzeichen: 0x1 -> PRIMARY
KDC aufgerufen: pdc.huf.intranet

#2> Client: bmele @ HUF.INTRANET
Server: ldap/pdc.huf.intranet @ HUF.INTRANET
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
Ticketkennzeichen 0x40ac0000 -> forwardable renewable pre_authent ok_as_delegate 0x80000
Startzeit: 9/19/2016 14:26:14 (lokal)
Endzeit: 9/20/2016 0:26:13 (lokal)
Erneuerungszeit: 9/26/2016 14:26:13 (lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cachekennzeichen: 0
KDC aufgerufen: pdc.huf.intranet

#3> Client: bmele @ HUF.INTRANET
Server: cifs/pdc.huf.intranet/huf.intranet @ HUF.INTRANET
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
Ticketkennzeichen 0x40ac0000 -> forwardable renewable pre_authent ok_as_delegate 0x80000
Startzeit: 9/19/2016 14:26:14 (lokal)
Endzeit: 9/20/2016 0:26:13 (lokal)
Erneuerungszeit: 9/26/2016 14:26:13 (lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cachekennzeichen: 0
KDC aufgerufen: pdc.huf.intranet

#4> Client: bmele @ HUF.INTRANET
Server: cifs/nas.huf.intranet @ HUF.INTRANET
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
Ticketkennzeichen 0x40a80000 -> forwardable renewable pre_authent 0x80000
Startzeit: 9/19/2016 14:26:13 (lokal)
Endzeit: 9/20/2016 0:26:13 (lokal)
Erneuerungszeit: 9/26/2016 14:26:13 (lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cachekennzeichen: 0
KDC aufgerufen: pdc.huf.intranet

#5> Client: bmele @ HUF.INTRANET
Server: LDAP/pdc.huf.intranet/huf.intranet @ HUF.INTRANET
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
Ticketkennzeichen 0x40ac0000 -> forwardable renewable pre_authent ok_as_delegate 0x80000
Startzeit: 9/19/2016 14:26:13 (lokal)
Endzeit: 9/20/2016 0:26:13 (lokal)
Erneuerungszeit: 9/26/2016 14:26:13 (lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cachekennzeichen: 0
KDC aufgerufen: pdc.huf.intranet[/code]

#9

Könnte hier ein Zusammenhang mit forge.univention.org/bugzilla/s … i?id=30839 bestehen?

Es handelt sich um eine frisch aufgesetzte domäne die wir übers wochenende aufgesetzt haben
Leider ist der fehler erst heute aufgetreten während leute darauf arbeiten

#10

Kein Problem, jetzt weißt du es ja :wink:

Vielleicht. Du kannst ja mal den Workaround probieren.

Ansonsten sehe ich auch parallelen zu meinem Problem hier. Denn der nicht funktionierende User kriegt ja dennoch ein Ticket für “cifs/nas.huf.intranet”. Nach einem Kerberos-Problem sieht es daher nicht aus.

#11

sehe da auch parallelen zu deinem forenthread

habe jetzt folgendes vergeblich versucht
passwort neu setzen
gruppen neu gesetzt
fileserver neu gestartet
fileserver neu gejoint
kerberos/defaults/dns_lookup_kdc am fileserver auf true gesetzt

nichts davon hat gefruchtet

das einzige was kurze zeit für abhilfe sorgt ist das neu anlegen des users
dies hat leider zur folge das dann auch gleich das ganze windows profil im eimer ist

#12

Habe es nun auch von meinem Linux client aus mit einem der defekten logins versucht
Problematik ist die selbe

#13

Wie es scheint konnte die problematik mit einem neuen Memberserver gelöst werden

Leider war es mir nicht möglich herauszufinden was das Problem auslöste

Mastodon