Login funktioniert - Entsperren schlägt fehl?

Hallo,

ich mache gerade erste Tests, um herauszufinden ob UCS/UCC unser gegenwärtiges Windows-Netz ersetzen kann.
UCS ist als Member zum AD beigetreten. Die Anmeldungen der Nutzer funktionieren am UCC. Das Entsperren einer gesperrten Nutzersitzung funktioniert jedoch nicht. Seltsam.
Ist das ein bekanntes Problem?

  • UCS-Core
  • UCC 3.0 rev2

Nein, ein bekanntes Problem ist das soweit ich weiss nicht.
Gibt es denn eine Fehlermeldung oder ähnliches beim Entsperren?

Ich habe das Problem jetzt mal genauer untersucht:

[ul]
[li]Thinclient-Image 3.0 rev2:
[list]
[]Startvariante Live-System:
[list]
[
]keine Anmeldung erforderlich; Bildschirmsperre lässt sich nicht aktivieren (keine Reaktion nach Click auf Sperr-Icon) -> ist vermutlich im Live-Betrieb beabsichtigt
[/li][/ul]
[/:m][li]Startvariante Image-Boot mit Update Prüfung:
[ul]
[
]Anmeldung erforderlich; Bildschirmsperre lässt sich nicht aktivieren (keine Reaktion nach Click auf Sperr-Icon) -> soll vermutlich nicht so sein
[/li][/ul]
[/:m][/list:u]
[/
:m][li]Desktopclient-Image 3.0 rev2:
[ul]
[]Startvariante Live-System:
[list]
[
]keine Anmeldung erforderlich; Bildschirmsperre lässt sich nicht aktivieren -> ist vermutlich im Live-Betrieb beabsichtigt
[/li][/ul]
[/:m][li]Startvariante Image-Boot mit Update Prüfung:
[ul]
[
]Anmeldung erforderlich; Bildschirmsperre lässt sich aktivieren (“Konto sperren/wechseln…”)
[/li][li]Freischaltung mit Anmeldekenntwort nicht möglich: Fehlermeldung (roter Text über Passworteingabefeld): “Passwort ungültig, bitte wiederholen” *
[list]
[]klickt man auf dem Sperrbildschirm rechts oben auf “Benutzer wechseln…” und gibt anschl. den Anmeldenamen + Passwort ein, wird die gesperrte Sitzung entsperrt. Diese Vorgehensweise ist natürlich für einen Benutzer nicht intuitiv anwendbar…
[/li][/ul]
[/
:m][/list:u]
[/:m][/list:u][/:m][/list:u]

  • ich habe mal ab der mit Stern markierten Aktion den syslog-output entnommen:
Nov 30 10:40:27 ucc-BetaPhys compiz[3987]: PAM unable to dlopen(pam_cap.so): /lib/security/pam_cap.so: Kann die Shared-Object-Datei nicht öffnen: Datei oder Verzeichnis nicht gefunden
Nov 30 10:40:27 ucc-BetaPhys compiz[3987]: PAM adding faulty module: pam_cap.so
Nov 30 10:40:27 ucc-BetaPhys compiz[3987]: PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: Kann die Shared-Object-Datei nicht öffnen: Datei oder Verzeichnis nicht gefunden
Nov 30 10:40:27 ucc-BetaPhys compiz[3987]: PAM adding faulty module: pam_ck_connector.so
Nov 30 10:40:31 ucc-BetaPhys unix_chkpwd[4930]: check pass; user unknown
Nov 30 10:40:31 ucc-BetaPhys unix_chkpwd[4930]: password check failed for user (borni)
Nov 30 10:40:31 ucc-BetaPhys compiz[3987]: pam_unix(unity:auth): authentication failure; logname= uid=3393 euid=3393 tty= ruser= rhost=  user=borni
Nov 30 10:40:31 ucc-BetaPhys compiz[3987]: pam_krb5(unity:auth): authentication failure; logname=borni uid=3393 euid=3393 tty= ruser= rhost=
Nov 30 10:40:31 ucc-BetaPhys compiz[3987]: pam_ldap: ldap_search_s Insufficient access
Nov 30 10:40:33 ucc-BetaPhys compiz[3987]: PAM unable to dlopen(pam_cap.so): /lib/security/pam_cap.so: Kann die Shared-Object-Datei nicht öffnen: Datei oder Verzeichnis nicht gefunden
Nov 30 10:40:33 ucc-BetaPhys compiz[3987]: PAM adding faulty module: pam_cap.so
Nov 30 10:40:33 ucc-BetaPhys compiz[3987]: PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: Kann die Shared-Object-Datei nicht öffnen: Datei oder Verzeichnis nicht gefunden
Nov 30 10:40:33 ucc-BetaPhys compiz[3987]: PAM adding faulty module: pam_ck_connector.so
Nov 30 10:40:36 ucc-BetaPhys acpid[3461]: client connected from 4931[0:0]
Nov 30 10:40:36 ucc-BetaPhys acpid[3461]: 1 client rule loaded
Nov 30 10:40:36 ucc-BetaPhys lightdm[4951]: PAM unable to dlopen(pam_kwallet.so): /lib/security/pam_kwallet.so: cannot open shared object file: No such file or directory
Nov 30 10:40:36 ucc-BetaPhys lightdm[4951]: PAM adding faulty module: pam_kwallet.so
Nov 30 10:40:36 ucc-BetaPhys lightdm[4951]: PAM unable to dlopen(pam_kwallet5.so): /lib/security/pam_kwallet5.so: cannot open shared object file: No such file or directory
Nov 30 10:40:36 ucc-BetaPhys lightdm[4951]: PAM adding faulty module: pam_kwallet5.so
Nov 30 10:40:36 ucc-BetaPhys lightdm[4951]: PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: cannot open shared object file: No such file or directory
Nov 30 10:40:36 ucc-BetaPhys lightdm[4951]: PAM adding faulty module: pam_ck_connector.so
Nov 30 10:40:36 ucc-BetaPhys lightdm[4951]: PAM unable to dlopen(pam_cap.so): /lib/security/pam_cap.so: cannot open shared object file: No such file or directory
Nov 30 10:40:36 ucc-BetaPhys lightdm[4951]: PAM adding faulty module: pam_cap.so
Nov 30 10:40:36 ucc-BetaPhys lightdm[4951]: pam_unix(lightdm-greeter:session): session opened for user lightdm by (uid=0)
Nov 30 10:40:36 ucc-BetaPhys systemd-logind[3421]: New session c20 of user lightdm.
Nov 30 10:40:36 ucc-BetaPhys systemd[1]: Started Session c20 of user lightdm.
Nov 30 10:40:36 ucc-BetaPhys org.a11y.atspi.Registry[4989]: SpiRegistry daemon is running with well-known name - org.a11y.atspi.Registry
Nov 30 10:40:37 ucc-BetaPhys lightdm[5008]: PAM unable to dlopen(pam_cap.so): /lib/security/pam_cap.so: cannot open shared object file: No such file or directory
Nov 30 10:40:37 ucc-BetaPhys lightdm[5008]: PAM adding faulty module: pam_cap.so
Nov 30 10:40:37 ucc-BetaPhys lightdm[5008]: PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: cannot open shared object file: No such file or directory
Nov 30 10:40:37 ucc-BetaPhys lightdm[5008]: PAM adding faulty module: pam_ck_connector.so
Nov 30 10:40:37 ucc-BetaPhys dbus[3441]: [system] Activating via systemd: service name='org.bluez' unit='dbus-org.bluez.service'
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Successfully made thread 5078 of process 5078 (n/a) owned by '108' high priority at nice level -11.
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Supervising 9 threads of 3 processes of 3 users.
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Supervising 9 threads of 3 processes of 3 users.
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Successfully made thread 5080 of process 5078 (n/a) owned by '108' RT at priority 5.
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Supervising 10 threads of 3 processes of 3 users.
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Supervising 10 threads of 3 processes of 3 users.
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Successfully made thread 5081 of process 5078 (n/a) owned by '108' RT at priority 5.
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Supervising 11 threads of 3 processes of 3 users.
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Supervising 11 threads of 3 processes of 3 users.
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Successfully made thread 5082 of process 5078 (n/a) owned by '108' RT at priority 5.
Nov 30 10:40:37 ucc-BetaPhys rtkit-daemon[4041]: Supervising 12 threads of 3 processes of 3 users.
Nov 30 10:40:40 ucc-BetaPhys lightdm[5008]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "borni"
Nov 30 10:40:42 ucc-BetaPhys lightdm[5008]: pam_krb5(lightdm:auth): authentication failure; logname=borni uid=0 euid=0 tty=:2 ruser= rhost=
Nov 30 10:40:43 ucc-BetaPhys lightdm[5008]: Libgcrypt warning: missing initialization - please fix the application
Nov 30 10:40:43 ucc-BetaPhys PAM-runasroot[5008]: continuing as normal user
Nov 30 10:40:43 ucc-BetaPhys lightdm[5008]: pam_group(lightdm:setcred): field too long - ignored
Nov 30 10:40:43 ucc-BetaPhys lightdm[3850]: ** (lightdm:3850): WARNING **: Error using VT_WAITACTIVE 7 on /dev/tty0: Interrupted system call
Nov 30 10:40:43 ucc-BetaPhys org.gtk.vfs.Daemon[4965]: A connection to the bus can't be made
Nov 30 10:40:43 ucc-BetaPhys lightdm[4951]: pam_unix(lightdm-greeter:session): session closed for user lightdm
Nov 30 10:41:02 ucc-BetaPhys dbus[3441]: [system] Failed to activate service 'org.bluez': timed out

das gesamte syslog wäre hier interessant, um zu sehen mit was die Authentifizierung fehlschlägt und wie sie funktioniert. Es sieht so aus als ob beim Entsperren Kerberos und LDAP beide versagen, daher wäre es interessant zu sehen was beim ersten Einloggen geschieht (die Erwartung wäre, dass bei einem konkreten LDAP/Kerberos Problem ein Login immer fehlschlägt und nicht zuerst funktioniert und dann plötzlich nicht mehr).

anbei die Ausgabe von journalctl:
logs.txt (149 KB)

Der Kerberos Login und das Entsperren scheinen nicht zu funktionieren, ob das ein generelles Problem mit UCC im Membermode ist, ist noch zu prüfen. Funktioniert denn ein # kinit - wenn Sie vorher die /etc/krb5.conf erweitern:

/etc/krb5.conf erweitern [logging] krb5 = 0-/STDERR

Kann man auch verfolgen warum das ggf. fehlschlägt.

…der KDC ist nicht erreichbar? siehe Screenshot…

Kann es damit im Zusammenhang stehen, dass per DHCP (Windows-Server) nur die Windows-DNS-Server mitgeteilt werden, nicht aber der UCS?

in der krb5.conf ist der UCS eindeutig als Kerberos Server benannt und laut der Ping Ausgabe kann der Name auch aufgelöst werden.
Nachdem die Informationen in allen DNS Servern gleich sein müssten, ist es möglich testweise den verteilten DNS Server auf den UCS zeigen zu lassen?

Mastodon