Login mit neu erstellten Benutzern nicht mehr möglich

Hallo, ich habe folgendes Problem:
Ich habe bisher etwa 27 Benutzer angelegt. Von dem was ich bisher herausgefunden hatte, den letzten am 18.06 mit dem ich mich auch an allen UCC Clients (Desktop) anmelden kann. Jetzt habe ich am 02.07. einen neuen Benutzer angelegt (n.benutzer28), mit dem ich mich nicht mehr an irgendeinem UCC Client anmelden kann.
Desktop startet normal, bis zur Eingabemaske, gebe ich jetzt die Daten von n.benutzer28 ein, verschwindet kurz der loginscreen und ich bin wieder am Anfang (Eingabemaske). Selbiges auch bei einem weiteren neu angelegtem Benutzer (n.benutzer29)

Ich habe einige Services im Einsatz, deren Login via LDAP Authentifizierung erfolgen. Mit benutzer28 kann ich mich an diesen anderen Services anmelden, eben nur nicht an den UCC Clients.

Hat jmd evetl. eine Idee oder könnte mir sagen was ich evtl. für logfiles posten könnte, die aufschluss geben könnten?


Derzeitiger Aufbau
UCS-1001 - Primary DC (Software Installationsmonitor, UVMM, Active Directory-kompatibler Domänencontroller, DHCP-Server, RADIUS, Amazon EC2 Cloud-Verbindung)
UCS-1002 - Memberserver (DHCP-Server, Druckserver (CUPS), Univention Corporate Client 2.0, Windows-kompatibler Memberserver)
UCS-1003 - PDC Backup
UCS-1004 - Memberserver (KVM Virtualisierungsserver)
UCS-1005 - Memberserver (KVM Virtualisierungsserver)

UCS-1004:
VUCS-04002001 - DC Slave (Mailserver, Fetchmail)
VUCS-04002002 - Windows Server 2008 Standard (genutzt derzeit zur Migration alter Backups, CLoud und Mailarchive)

UCS-1005:
VUCS-05002010 - Memberserver (Proxyserver / Webcache (Squid) / Dansguardian) Update: derzeit deinstalliert
VUCS-05002011 - DC Slave (derzeit keine weiteren Pakete installier)

Klappt denn

kinit benutzer28

auf UCS und UCC?

Auf einem UCC könntest du auch mal testweise

univention-ucc-update-nss
univention-ucc-fetch-user-policies

ausführen.

[quote=“SirTux”]Klappt denn

kinit benutzer28

auf UCS und UCC?
[/quote]
das klappt soweit…

habe mit putty eben mal versucht auf ucc client anzumelden und werde direkt gekickt. (also putty geht einfach zu, während ich mit einem alten benutzer anmelden konnte)

[quote=“SirTux”]
Auf einem UCC könntest du auch mal testweise

univention-ucc-update-nss
univention-ucc-fetch-user-policies

ausführen.[/quote]
hat leider auch nichts gebracht. Anmeldebilschirm wie oben beschrieben und wenn ich mich mit putty anmelden will auch wie gerade beschrieben.

Gebe ich testweise ein falsches passwort an, werde ich aufgefordert es nochmal zu versuchen.

Wie gehabt: Melde ich mich auf einer webseite an, wo ich ldap als auth methode konfigueriert habe, kann ich mich anmelden…

Entspricht die Ausgabe von

ucr get ldap/server/name

dem FQDN des Masters? Gibt es auffällige Meldungen in der Datei /var/log/auth.log?

Ja ist die FQDN vom Master

Melde ich mich via putty an einem UCC client an kommt kein eintrag in die auth.log auf UCS-1001 hinzu. Nehme ich einen “alten Benutzer” dann habe ich

auth.log von einem ucc client (nach anmeldung via putty) während die auth.log auf dem UCS-1001 leer bleibt

Jul 12 17:43:35 ucc-10123 sshd[6079]: pam_krb5(sshd:auth): user gast.leitstelle authenticated as gast.leitstelle@CORP.DOMAIN.DE
Jul 12 17:43:35 ucc-10123 PAM-runasroot[6079]: continuing as normal user
Jul 12 17:43:35 ucc-10123 sshd[6077]: Accepted keyboard-interactive/pam for gast.leitstelle from 10.10.4.101 port 54646 ssh2
Jul 12 17:43:35 ucc-10123 sshd[6077]: pam_group(sshd:setcred): field too long - ignored
Jul 12 17:43:35 ucc-10123 mkhomedir_helper: PAM unable to create directory /home/gast.leitstelle: Permission denied
Jul 12 17:43:35 ucc-10123 sshd[6077]: pam_unix(sshd:session): session opened for user gast.leitstelle by (uid=0)
Jul 12 17:43:35 ucc-10123 sshd[6077]: error: PAM: pam_open_session(): Permission denied
Jul 12 17:43:35 ucc-10123 sshd[6109]: pam_group(sshd:setcred): field too long - ignored

das machts schonmal etwas klarer… hatte bisher nur auf die UCS auth logs geschaut und nicht auf die auth.logs auf den UCCs

Wenn ich jetzt testweise 777 dem homedir gebe, kommt folgende meldung

...
Jul 12 17:50:59 ucc-10123 mkhomedir_helper: PAM unable to change perms on copy /home/gast.leitstelle/.bash_logout: Operation not permitted
...

der Ordner gast.leitstelle wird mit nobody – nogroup angelegt

Auch hier testweise 777, erneuter Anmeldeversuch
via putty => funktioniert
via ucc => teste ich gleich (muss erst wieder ins andere gebäude)

auch files und folders unter /home/gast.leitstelle haben ab hier die korrekte benutzer/gruppenzugehörigkeit

Das ist schon normal so, daß in der /var/log/auth.log Meldungen zu Logins auf dem jeweiligen System erscheinen. Auf dem UCS könntest du höchstens was in den Log-Dateien von Heimdal bzw. Samba 4 finden.

Was gibt esa für Meldungen beim benutzer28?

benutzer28 = pseudo für gast.leitstelle

Ok das war mir nicht klar.

Anscheinend scheint er Probleme zu haben ein Homeverzeichnis anzulegen. Klappt der Login, wenn es manuell erstellt wird?

also, den gast.leitstelle hat er im home ja angelegt mit home dir 777, allerdings hat er den ordner gast.leitstelle wie oben beschrieben mit nobody und nogroup angelegt. wenn ich den jetzt auch chmod 777 mache dann kann ich mich auch jetzt am ucc anmelden (gerade getestet)

das problem wird sein:
A: warum kann kein folder im home dir angelegt werden,
und B: wenn ers könnte warum mit user: nobody und gruppe nogroup?

Scheint mir, daß UCC den Benutzer teilweise nicht kennt. Was ist die Ausgabe von

id  gast.leitstelle

auf dem UCC?

root@ucc-10121:~$ id gast.leitstelle uid=2070(gast.leitstelle) gid=5001(Domain Users) Gruppen=5001(Domain Users),5048(Users),5073(Leitstelle)

Wie ist denn das Home eingebunden? Lokal oder über NFS?

home ist über nfs eingebunden

So langsam gehen mir die Ideen aus. Zumindest ist klar, daß das Problem bei der Erstellung des Homeverzeichnis liegt.

Du könntest mal testen, ob es da Unterschiede beim Login auf der Framebufferkonsole, beim Login am Lightdm und beim Login per SSH gibt. Also vorher das Homeverzeichnis immer entfernen.

Ich habe jetzt die vorhandenen benutzer verzeichnisse unter home in einem unterordner gesichert, alle richtlinien und das home verzeichnis auf dem memberserver (UCS-1002) entfernt und neu aufgesetzt.

Mit dem gast.leitstelle account angemeldet und ich konnte mich jetzt anmelden. Die vorhandenen verzeichnisse wieder zurück geschoben. funktioniert auch.

Woran das jetzt letztendlich lag… evtl ein problem mit der nfs freigaberichtlinie?

Ich hatte eine Freigabe auf UCS-1002 erstellt (/user) und eine nfs richtlinie erstellt, die das auf den UCCs ins /home verzeichnis mounted damit jeder user auf allen ucc clients die selben einstellungen hat.

Bevor ich das mit der nfs richtlinie hatte, hatte ich bei den Benutzern unter “Konto/Posix(Linux/UNIX)” Heimatverzeichnisfreigabe die “User-Freigabe” ausgewählt und bei Pfad zum Heimatverzeichnis (um bei gast.leitstelle jetzt zu bleiben) “gast.leitstelle” eingetragen. Nach dem Abspeichern wurde zwar in der Freigabe der entsprechende benutzer (ordner) erstellt, jedoch wurden Daten hier nie gespeichert. stattdessen wurden diese auf den ucc clients im homeverzeichniss angelegt. der gast.leitstelle ordner auf der freigabe blieb leer. Eventuell habe ich was übersehen?

Mit der nfs richtlinie das komplette user verzeichniss in /home auf den uccs zu mounten hatte als kurzfristige lösung dann damals erstmal funktioniert…

Mastodon