Benutzer können sich nicht mehr anmelden

german

#1

Hallo,

ich komme nicht mehr weiter. Ich wollte auf einem Produktivsystem Zarafa zu Kopano mirgrieren. Was ich bereits auf mehreren System erfolgreich gemacht habe. Hier ist aber irgendetwas schief gelaufen und nun habe ich ein großes Problem.

Ich habe Zarafa über die UMC deinstalliert und wollte dann Kopano installieren. Dies schlug aber auf hälfte der Installation fehl. Ich habe dann die Kopano Installation über die Konsole durchgeführt, wo sie auch sauber durchlief. Im Anschluss habe ich das Migrationsskript laufen lassen. Jedoch konnte ich mich nicht an der WebApp anmelden. Er sagte mir das meine Zugangsdaten nicht stimmen würden. Nach einem Neustart des Servers, keine Besserung. Schlimmer, ich konnte mich nun nicht nur an der WebApp nicht anmelden sondern nirgends mehr. Die Clients haben die Anmeldedaten an der Domain abgelehnt und selbst der Administrator kann sich weder an der UMC noch an der Konsole anmelden. “Anmeldedaten nicht korrekt”. Es funktioniert nur noch eine Anmeldung mit “root”

Ich hoffe ihr könnt mir helfen den Fehler zu finden. Hier mal ein paar Dinge die ich bereits probiert habe um den Fehler einzugrenzen:

root@fps-server:~# kinit Administrator Administrator@SEEBLICK.LOKAL's Password: kinit: Password incorrect

root@fps-server:~# klist klist: No ticket file: /tmp/krb5cc_0

root@fps-server:~# ucr search --brief kerberos kerberos/adminserver: fps-server.seeblick.lokal kerberos/adminusers: <empty> kerberos/afscell: <empty> kerberos/allow/weak/crypto: <empty> kerberos/autostart: no kerberos/defaults/debug: <empty> kerberos/defaults/dns_lookup_kdc: <empty> kerberos/defaults/dns_lookup_realm: <empty> kerberos/defaults/enctypes/permitted: <empty> kerberos/defaults/enctypes/tgs: <empty> kerberos/defaults/enctypes/tkt: <empty> kerberos/defaults/forwardable: <empty> kerberos/defaults/kdc_timesync: <empty> kerberos/defaults/proxiable: <empty> kerberos/domain_realms: <empty> kerberos/kadmin/default/keys: <empty> kerberos/kdc: 127.0.0.1 kerberos/kpasswdserver: 127.0.0.1 kerberos/password/quality/check: yes kerberos/realm: SEEBLICK.LOKAL

root@fps-server:~# passwd Administrator Current Kerberos password: passwd: Fehler beim ändern des Authentifizierungstoken passwd: Passwort nicht geändert

root@fps-server:~# smbclient -UAdministrator //$(ucr get hostname)/sysvol -c quit Enter Administrator's password: session setup failed: NT_STATUS_LOGON_FAILURE

Auszug aus der auth.log

Jan 22 21:20:34 fps-server login[6132]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=administr$ Jan 22 21:20:34 fps-server login[6132]: pam_krb5(login:auth): authentication failure; logname=administrator uid=0 euid=0 tty=/dev/tty1 ruser= rhost= Jan 22 21:20:36 fps-server login[6132]: FAILED LOGIN (1) on '/dev/tty1' FOR 'administrator', Authentication failure Jan 22 21:20:47 fps-server login[6132]: pam_krb5(login:auth): authentication failure; logname=administrator uid=0 euid=0 tty=/dev/tty1 ruser= rhost= Jan 22 21:20:47 fps-server login[6132]: pam_ldap: error trying to bind as user "uid=Administrator,cn=users,dc=seeblick,dc=lokal" (Invalid credentials) Jan 22 21:20:49 fps-server login[6132]: FAILED LOGIN (2) on '/dev/tty1' FOR 'administrator', Authentication failure Jan 22 21:21:10 fps-server login[6132]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)

root@fps-server:~# ldapsearch SASL/GSSAPI authentication started ldap_sasl_interactive_bind_s: Local error (-2) additional info: SASL(-1): generic failure: GSSAPI Error: Miscellaneous failure (see text) (open(/tmp/krb5cc_0): No such file or directory)

[code]root@fps-server:~# ldbsearch -debug-stderr -H ldaps://$(ucr get ldap/master) -UAdministrator
debug_parse_params: unrecognized debug class name or format [ebug-stderr]
Password for [SEEBLICKAdministrator]:
Password for [SEEBLICKAdministrator]:
Password for [SEEBLICKAdministrator]:
Wrong username or password: kinit for Administrator@SEEBLICK.LOKAL failed (Preauthentication failed)

SPNEGO(gssapi_krb5) creating NEG_TOKEN_INIT failed: NT_STATUS_LOGON_FAILURE
Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS - <SASL:[GSS-SPNEGO]: NT_STATUS_LOGON_FAILURE> <>
Failed to connect to ‘ldaps://fps-server.seeblick.lokal’ with backend ‘ldaps’: (null)
Failed to connect to ldaps://fps-server.seeblick.lokal - (null)
[/code]

[code]root@fps-server:~# univention-ldapsearch -x -s base

extended LDIF

LDAPv3

base <dc=seeblick,dc=lokal> (default) with scope baseObject

filter: (objectclass=*)

requesting: ALL

seeblick.lokal

dn: dc=seeblick,dc=lokal
dc: seeblick
univentionObjectType: container/dc
krb5RealmName: SEEBLICK.LOKAL
nisDomain: seeblick.lokal
associatedDomain: seeblick.lokal
univentionPolicyReference: cn=default-settings,cn=thinclient,cn=policies,dc=se
eblick,dc=lokal
univentionPolicyReference: cn=default-settings,cn=pwhistory,cn=users,cn=polici
es,dc=seeblick,dc=lokal
univentionPolicyReference: cn=default-users,cn=admin-settings,cn=users,cn=poli
cies,dc=seeblick,dc=lokal
objectClass: top
objectClass: krb5Realm
objectClass: univentionPolicyReference
objectClass: nisDomainObject
objectClass: domainRelatedObject
objectClass: domain
objectClass: univentionBase
objectClass: univentionObject
objectClass: msGPO
msGPOLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=Sy
stem,DC=seeblick,DC=lokal;0]

search result

search: 3
result: 0 Success

numResponses: 2

numEntries: 1

[/code]


#2

Hallo mx-hero,

auch wenn das vermutlich nicht die Antwort ist, die du hören willst, aber ich würde mich auf ein Restore des Backups vorbereiten. Da scheint etwas während der Migration nach Kopano schief gegangen zu sein. Näheres sollte das Migrationslog (in /var/log/kopano) erzählen können.


#3

Hab das Log mal angehangen
kopano-migration-log-2.txt (469 KB)
kopano-migration-log-1.txt (412 KB)


#4

das Migrationslog ist unauffällig, aber die vielen Loginfailures für den Administrator sind dagegen schon auffällig. Wenigstens das ldap-secret scheint noch Okay zu sein, sonst würde der univention-ldapsearch auch nicht mehr funktionieren. Das Administrator Kennwort ist aber bekannt und korrekt und wurde nicht verändert oder zurückgesetzt auf ein älteres?


#5

Ja, das ist bekannt und auch richtig. Auch andere Benutzer können sich nicht mehr an ihren Arbeitsplätzen anmelden weil die Zugänge angeblich falsch sind.


#6

Ich kann im Migrationslog leider auch keinen Fehler erkennen.


#7

was sagt denn das “/var/log/univention/listener.log”? Ggf. auch “/var/log/univention/connectors4.log” (wenn Samba 4 eingesetzt wird) und die Ausgabe von “univention-s4-connector-list-rejected” wäre interessant. Ich würde parallel tatsächlich zumindest mal schauen ob Backups vorhanden sind.


#8

Ausgabe von univention-s4connector-list-rejected

[code]root@fps-server:~# univention-s4connector-list-rejected

UCS rejected

S4 rejected

There may be no rejected DNs if the connector is in progress, to be
sure stop the connector before running this script.

    last synced USN: 3731

[/code]

Full Backup´s sehen nicht so gut aus. Habe nur Backups von den Datenbanken und sowas. Werde die Kiste also wohl neu aufsetzen müssen.
listener.log (118 KB)


#9

Hmm… Ich habe da leider auch keine Idee mehr. Das sich Administrator und Benutzeraccounts während einer Migration zurücksetzen wäre mir neu, aber die “Passwort falsch” Meldungen klingen irgendwie danach als ob das passiert wäre.