Nagios-Anmeldung nicht möglich

UCS - Univention Corporate Server
#1

Hallo,

bei Zugriff auf >/nagios wird die Anmeldung als Administrator nicht akzeptiert.

In /var/log/auth.log finde ich:

Jun 21 11:17:29 projects unix_chkpwd[17121]: password check failed for user (Administrator) Jun 21 11:17:29 projects apache2: pam_unix(nagios:auth): authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=192.168.xxx.yyy user=Administrator Jun 21 11:17:29 projects apache2: pam_krb5(nagios:auth): authentication failure; logname=Administrator uid=33 euid=33 tty= ruser= rhost=1 92.168.xxx.yyy

Das Passwort habe ich x-mal geprüft - das sollte gepasst haben.

Der Join-Status ist:

root:~# univention-check-join-status Joined successfully

Habe einige Checks wie in Thread Ldapsearch -x -ZZ -D <ldap_hostdn> beschrieben ausgeführt. Hier gibt es einen Fehler:

root@xxx:~# ldapsearch -x -ZZ -h "$ldap_master" -D "$ldap_hostdn" -w $(cat /etc/machine.secret) -b "$ldap_base" -s base ldap_bind: Invalid credentials (49) additional info: Simple Bind Failed: NT_STATUS_LOGON_FAILURE

Dagegen funktioniert:

[code]root:~# ldapsearch -x -ZZ -D “$ldap_hostdn” -w $(cat /etc/machine.secret) -b “$ldap_base” -s base

extended LDIF

LDAPv3

search result

search: 3
result: 0 Success

numResponses: 2

numEntries: 1

[/code]

Habe noch einmal die Join-Skripte angeschoben, aber die werden alle übersprungen:

[code]univention-run-join-scripts
univention-run-join-scripts: runs all join scripts existing on local computer.
copyright © 2001-2012 Univention GmbH, Germany

Running 01univention-ldap-server-init.inst skipped (already executed)
Running 02univention-directory-notifier.inst skipped (already executed)

[/code]

Hier komme ich nicht weiter und brauche einen Tipp, wie ich die LDAP-Suche von nagios erfolgreich ausführen kann.

Besten Dank vorab!
Matthias

Nagios Dienst startet nicht
Nagios-Anmeldung nicht möglich
#2

Hallo,

es wäre gut, wenn Sie hier noch einige weitere Informationen nachliefern könnten, um die möglichen Ursachen für das Verhalten eingrenzen zu können.

[ul]
[li]Um welche Systemrolle handelt es sich?

ucr get server/role

[li]Gibt es weitere UCS-Systeme innerhalb der Umgebung?[/li]
[li]Welche UCS-Version wird hier eingesetzt?

ucr search --brief version

[li]Wurde vor der Verwendung der Variablen in den “ldapsearch”-Befehlen die Augabe von ucr shell evaluiert?

eval $(ucr shell)

Mit freundlichen Grüßen,
Tim Petersen

#3

Hallo Herr Petersen,

sorry für die Verzögerung:

root@projects:~# ucr get server/role domaincontroller_master root@projects:~# ucr search --brief version repository/mirror/version/end: <empty> repository/mirror/version/start: <empty> update/umc/nextversion: true version/erratalevel: 81 version/patchlevel: 1 version/releasename: Horn-Lehe version/security-patchlevel: <empty> version/version: 3.0

Die ucr Shellvariablen habe ich brav ausgewertet:

# eval $( ucr shell )

Das Verhalten ist unverändert.

Gibt es einen Weg, die Join-Skripte auch ohne -force Parameter so anzuschieben, das nichts mit “skipped” übersprungen wird?

#4

Hallo,

um hier schneller zu einem Ergebnis zu kommen, würde ich Ihnen anbieten uns ein nach SDB-Artikel #1174 erstelltes Univention-Support-Info Archiv zur Verfügung zu stellen, welches wir kurz auf Auffälligkeiten prüfen werden.
Sie können hierzu entweder feedack@univention.de zusenden.

Mit freundlichen Grüßen,
Tim Petersen

#5

Hallo,

zum Info-Archive siehe Ticket #2012070321005808

#6

Hallo,

ich würde gern noch einmal auf zwei Punkte aus Ihrem Eingangspost eingehen:

[quote=“be-team”]Hier gibt es einen Fehler:

root@xxx:~# ldapsearch -x -ZZ -h "$ldap_master" -D "$ldap_hostdn" -w $(cat /etc/machine.secret) -b "$ldap_base" -s base ldap_bind: Invalid credentials (49) additional info: Simple Bind Failed: NT_STATUS_LOGON_FAILURE
[/quote]

Hier müssten Sie den angepassten LDAP-Port mit angeben:

eval $(ucr shell) ldapsearch -x -ZZ -h "$ldap_master" -p7389 -D "$ldap_hostdn" -w $(cat /etc/machine.secret) -b "$ldap_base" -s base

Können Sie aktuell weitere auffällige Verhaltensweisen beobachten? Können Sie sich beispielsweise mit dem Administrator-Account an der UMC authentifizieren und ausschließlich an Nagios nicht?

Mit freundlichen Grüßen,
Tim Petersen

#7

Hallo Herr Peters,

mit der Angabe von Port 7389 funktioniert der ldapsearch-Aufruf jetzt:

[code]root@projects:~# ldapsearch -x -ZZ -h “$ldap_master” -p7389 -D “$ldap_hostdn” -w $(cat /etc/machine.secret) -b “$ldap_base” -s base

extended LDIF

LDAPv3

search result

search: 3
result: 0 Success

numResponses: 2

numEntries: 1

[/code]

Es ist genau wie Sie vermutet haben: Mit dem Administrator-Account kann ich mich an der UMC authentifizieren und ausschließlich an Nagios nicht.

/var/log/auth.log nach wie vor:

Jul 6 11:16:26 projects unix_chkpwd[31364]: check pass; user unknown Jul 6 11:16:26 projects unix_chkpwd[31364]: password check failed for user (Administrator) Jul 6 11:16:26 projects apache2: pam_unix(nagios:auth): authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=192.168.12.100 user=Administrator Jul 6 11:16:26 projects apache2: pam_krb5(nagios:auth): authentication failure; logname=Administrator uid=33 euid=33 tty= ruser= rhost=192.168.12.100

Dass es mit unix_chkpwd nicht klappt, ist ja wohl noch in Ordnung, aber bei Authentifizierung via pam_krb5 sollte es eigentlich klappen, oder?

Ein Check von /var/log unmittelbar nach dem fehlgeschlagenen Login-Versuch ergibt:

root@projects:/var/log# find -mmin -2 ./apache2/other_vhosts_access.log ./apache2/error.log ./apache2/access.log ./auth.log ./ntpstats/peerstats.20120706 ./ntpstats/loopstats ./ntpstats/peerstats ./ntpstats/loopstats.20120706 ./samba/log.samba ./user.log ./syslog ./univention/connector-s4-status.log ./univention/virtual-machine-manager-daemon-errors.log ./univention/virtual-machine-manager-daemon.log

apache2/error.log sagt wenig überraschend:

[Fri Jul 06 11:34:06 2012] [error] [client 192.168.12.100] PAM: user 'Administrator' - not authenticated: User not known to the underlying authentication module

user.log entsprechend:

Jul  6 11:34:03 projects apache2: pam_ldap: ldap_search_s No such object

syslog:

Jul 6 11:34:03 projects /USR/SBIN/CRON[843]: (root) CMD ( /usr/lib/univention-virtual-machine-manager-daemon/uvmmd-check.sh) Jul 6 11:34:03 projects apache2: pam_ldap: ldap_search_s No such object

Aber samba.log sieht einschlägig aus -

[2012/07/06 11:34:03, 2] ../source4/auth/sam.c:214(authsam_account_ok) sam_account_ok: Account for user 'Administrator@BE-TEAM.ORG' password expired!. [2012/07/06 11:34:03, 2] ../source4/auth/sam.c:216(authsam_account_ok) sam_account_ok: Password expired at 'Tue May 8 21:58:07 2012 CEST' unix time.

Hmm, habe ich eine Chance, wenn ich Ihren abschließenden Tipp aus diesem Thread ([url]Administrator Passwort zurücksetzen]) umsetze?

Mit besten Grüßen
Matthias Köper

#8

Bingo,

so hat es geklappt: Tolerante Passwortrichtlinie einstellen, Passwort neu setzen, einen Augenblick auf die Replikation warten - und es geht.

Habe auf diesem Wege die Logfiles etwas kennengelernt…

Beste Grüße
Matthias Köper

Mastodon