Domäne ist nicht mehr erreichbar

UCS - Univention Corporate Server
#1

Hallo,

wir haben ein ganz dringendes und akutes Problem, denn User können sich von einem auf den anderen Moment nicht mehr an der Domäne anmelden. Netzwerkproblem sind auszuschleissen. Kann mich per ssh auf dem Master einloggen. Merkwürdigerweise erschein bei der Eingabe von “smbstatus” folgendes.

Global parameter ldap idmap suffix found in service section!
Global parameter idmap uid found in service section!
Global parameter idmap gid found in service section!
Global parameter winbind trusted domains only found in service section!
Global parameter winbind enum users found in service section!
Global parameter winbind enum groups found in service section!
Global parameter winbind separator found in service section!
Global parameter template shell found in service section!
Global parameter template homedir found in service section!
Global parameter pam password change found in service section!
Global parameter unix password sync found in service section!
Global parameter passwd program found in service section!
Global parameter passwd chat found in service section!
Global parameter passwd chat timeout found in service section!
Global parameter obey pam restrictions found in service section!
Global parameter encrypt passwords found in service section!
Global parameter load printers found in service section!
Global parameter printcap name found in service section!
Global parameter security found in service section!
Global parameter domain logons found in service section!
Global parameter domain master found in service section!
Global parameter preferred master found in service section!
Global parameter local master found in service section!
Global parameter os level found in service section!
Global parameter wins support found in service section!
Global parameter workgroup found in service section!
Global parameter kernel oplocks found in service section!
Global parameter large readwrite found in service section!
Global parameter deadtime found in service section!
Global parameter read raw found in service section!
Global parameter write raw found in service section!
Global parameter max xmit found in service section!
Global parameter getwd cache found in service section!
Global parameter logon home found in service section!
Global parameter logon drive found in service section!
Global parameter logon path found in service section!
Global parameter time server found in service section!
Global parameter host msdfs found in service section!
Global parameter guest account found in service section!
Global parameter map to guest found in service section!
Global parameter set quota command found in service section!
Global parameter add user script found in service section!
Global parameter delete user script found in service section!
Global parameter add group script found in service section!
Global parameter delete group script found in service section!
Global parameter add user to group script found in service section!
Global parameter delete user from group script found in service section!
Global parameter add machine script found in service section!
Global parameter set primary group script found in service section!

Samba version 3.0.23d
PID     Username      Group         Machine
-------------------------------------------------------------------

Service      pid     machine       Connected at
-------------------------------------------------------

No locked files

Ich meine, dass die Angaben der Global Parameter dort sonst nicht gestanden hätten.

ps -ax liefert

PID TTY      STAT   TIME COMMAND
    1 ?        Ss     0:01 init [2]
    2 ?        S      0:00 [migration/0]
    3 ?        SN     0:00 [ksoftirqd/0]
    4 ?        S      0:00 [migration/1]
    5 ?        SN     0:00 [ksoftirqd/1]
    6 ?        S<     0:00 [events/0]
    7 ?        S<     0:00 [events/1]
    8 ?        S<     0:00 [khelper]
    9 ?        S<     0:00 [kthread]
   13 ?        S<     0:00 [kblockd/0]
   14 ?        S<     0:00 [kblockd/1]
   15 ?        S<     0:00 [kacpid]
  118 ?        S<     0:00 [kseriod]
  178 ?        S      0:00 [pdflush]
  179 ?        S      0:00 [pdflush]
  180 ?        S<     0:00 [kswapd0]
  181 ?        S<     0:00 [aio/0]
  182 ?        S<     0:00 [aio/1]
  183 ?        S<     0:00 [cifsoplockd]
  184 ?        S<     0:00 [cifsdnotifyd]
  185 ?        S<     0:00 [xfslogd/0]
  186 ?        S<     0:00 [xfslogd/1]
  187 ?        S<     0:00 [xfsdatad/0]
  188 ?        S<     0:00 [xfsdatad/1]
  831 ?        S<     0:00 [ata/0]
  832 ?        S<     0:00 [ata/1]
  833 ?        S<     0:00 [ata_aux]
  835 ?        S<     0:00 [scsi_eh_0]
  836 ?        S<     0:00 [scsi_eh_1]
  837 ?        S<     0:00 [scsi_eh_2]
  838 ?        S<     0:00 [scsi_eh_3]
  884 ?        S<     0:00 [kpsmoused]
  890 ?        S      0:00 [kirqd]
  958 ?        S<     0:00 [khubd]
 1039 ?        S<     0:00 [kjournald]
 1351 ?        S<     0:00 [md0_raid1]
 1378 ?        S<     0:00 [kjournald]
 1380 ?        S<     0:00 [kjournald]
 1382 ?        S<     0:00 [kjournald]
 1384 ?        S<     0:00 [kjournald]
 1501 ?        Ss     0:00 /sbin/portmap
 1581 ?        Ss     0:00 /sbin/syslogd -m0
 1584 ?        Ss     0:00 /sbin/klogd -c2
 1588 ?        Ss     0:00 runsvdir /var/service log: .......................................................................................................
 1592 ?        S      0:00 runsv univention-bind
 1593 ?        S      0:00 runsv univention-ldap-listener
 1594 ?        S      0:00 runsv univention-ldap-notifier
 1595 ?        S      0:00 runsv univention-dhcp
 1596 ?        S      0:00 runsv univention-bind-proxy
 1603 ?        Ss     0:00 /usr/sbin/slapd -h ldap:/// ldapi:/// ldaps:///
 1618 ?        Ss     0:00 /usr/sbin/spamd -m 10 -H -d --pidfile=/var/run/spamd.pid
 1625 ?        Ss     0:00 /usr/sbin/cupsd -F
 1641 ?        S      0:00 spamd child
 1642 ?        S      0:00 spamd child
 1643 ?        Ss     0:00 /usr/sbin/cyrmaster -d
 1649 ?        Ss     0:00 /usr/bin/dbus-daemon-1 --system
 1653 ?        Ss     0:00 /usr/lib/heimdal-servers/kdc
 1655 ?        Ss     0:00 /usr/lib/heimdal-servers/kpasswdd
 1662 ?        Ss     0:00 /usr/sbin/inetd
 1697 ?        S<     0:00 [nfsd4]
 1698 ?        S      0:00 [nfsd]
 1699 ?        S      0:00 [nfsd]
 1700 ?        S      0:00 [nfsd]
 1701 ?        S      0:00 [nfsd]
 1702 ?        S      0:00 [nfsd]
 1703 ?        S      0:00 [nfsd]
 1704 ?        S      0:00 [nfsd]
 1705 ?        S      0:00 [nfsd]
 1707 ?        S      0:00 [lockd]
 1708 ?        S<     0:00 [rpciod/0]
 1709 ?        S<     0:00 [rpciod/1]
 1712 ?        Ss     0:00 /usr/sbin/rpc.mountd
 1719 ?        Ss     0:00 /usr/sbin/nscd
 1753 ?        S      0:00 notifyd
 1836 ?        Ss     0:00 /usr/lib/postfix/master
 1838 ?        S      0:00 pickup -l -t fifo -u -c
 1839 ?        S      0:00 qmgr -l -t fifo -u -c
 1897 ?        S      0:00 /usr/lib/postgresql/bin/postmaster -D /var/lib/postgres/data
 1901 ?        S      0:00 postgres: stats buffer process
 1902 ?        S      0:00 postgres: stats collector process
 1912 ?        Ss     0:00 /usr/sbin/saslauthd -r -a pam
 1913 ?        S      0:00 /usr/sbin/saslauthd -r -a pam
 1914 ?        S      0:00 /usr/sbin/saslauthd -r -a pam
 1915 ?        S      0:00 /usr/sbin/saslauthd -r -a pam
 1916 ?        S      0:00 /usr/sbin/saslauthd -r -a pam
 1922 ?        Ss     0:00 /usr/sbin/sshd
 1925 ?        S      0:00 /usr/sbin/named -c /etc/bind/named.conf -p 7777 -u bind -f
 1929 ?        S      0:00 /usr/sbin/named -c /etc/bind/named.conf.proxy -u bind -f
 1933 ?        S      0:00 /usr/sbin/univention-ldap-notifier -d 1 -S 500000 -F
 1939 ?        Ss     0:00 /sbin/rpc.statd
 1946 ?        SLs    0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid
 1949 ?        Ss     0:00 /sbin/mdadm -F -i /var/run/mdadm.pid -m root -f -s
 1964 ?        S      0:00 /usr/sbin/apache
 1971 ?        Ss     0:00 /usr/sbin/nmbd -D
 1973 ?        Ss     0:00 /usr/sbin/smbd -D
 1975 ?        S      0:00 /usr/sbin/apache
 1976 ?        S      0:00 /usr/sbin/apache
 1977 ?        S      0:00 /usr/sbin/apache
 1978 ?        S      0:00 /usr/sbin/apache
 1979 ?        S      0:00 /usr/sbin/apache
 1987 ?        Ss     0:00 /usr/sbin/winbindd
 1988 ?        S      0:00 /usr/sbin/smbd -D
 1990 ?        S      0:00 /usr/sbin/winbindd
 1995 ?        Ss     0:00 /usr/sbin/atd
 1998 ?        Ss     0:00 /usr/sbin/cron
 2029 ?        S      0:00 /usr/sbin/apache
 2048 tty1     Ss+    0:00 /sbin/getty 38400 tty1
 2050 tty2     Ss+    0:00 /sbin/getty 38400 tty2
 2051 tty3     Ss+    0:00 /sbin/getty 38400 tty3
 2052 tty4     Ss+    0:00 /sbin/getty 38400 tty4
 2054 tty5     Ss+    0:00 /sbin/getty 38400 tty5
 2055 tty6     Ss+    0:00 /sbin/getty 38400 tty6
 2066 ?        S      0:00 /usr/sbin/univention-ldap-listener -F -b dc=gri-oekonet,dc=de -m /usr/lib/univention-ldap-listener/system -c /var/lib/univention-l
 2176 ?        Ss     0:00 sshd: root@pts/0
 2318 pts/0    Ss     0:00 -bash
 3006 pts/0    R+     0:00 ps -ax

Es wurde absolut nicht geänder, lediglich auf einem Client der Befehl

net user username /domain

ausgeführt, um zu schauen, welche Skripts ausgeführt werden.
Kann da aber keinen Zusammenhang sehen.

Wäre schön, wenn mir da jemand Zeitnah eine Lösung anbieten könnte.

MfG

#2

Hier noch ein Auszug aus der /var/log/syslog

Apr 11 13:56:27 dmoeko python2.4: pam_krb5: authenticate error: Client not found in Kerberos database (-1765328378)
Apr 11 13:56:27 dmoeko python2.4: pam_krb5: authentication fails for `administrator'
Apr 11 13:56:27 dmoeko python2.4: pam_krb5: pam_sm_authenticate returning 10 (User not known to the underlying authentication module)
#3

Hallo,

bitte versuchen Sie zunächst, die Samba-Konfigurationsdateien automatisch neu erstellen zu lassen und starten den Samba-Dienst anschließend neu.
Dies kann über die beiden Befehle

univention-baseconfig commit /etc/samba/smb.conf /etc/init.d/samba restart

erreicht werden. Falls dies keine Besserung bringt:
Wurden über Univention Admin Samba-Freigaben eingerichtet?
Wurden manuell zusätzliche Konfigurationsdateien in /etc/samba abgelegt oder die vorhandenen Dateien manuell modifiziert?

Mit freundlichem Gruß,

Sönke Schwardt

#4

Hallo,

ich danke Ihnen für die schnelle Hilfe. Es hat funktioniert.

Manuelle Änderungen in der /etc/samba/smb.conf wurden nicht vorgenommen. Als einziges sind 2 includes gesetzt in /etc/univention/templates/files/etc/samba/smb.conf.d/91univention-samba_shares

MfG

#5

[quote=“hightower”]Hier noch ein Auszug aus der /var/log/syslog

Apr 11 13:56:27 dmoeko python2.4: pam_krb5: authenticate error: Client not found in Kerberos database (-1765328378) Apr 11 13:56:27 dmoeko python2.4: pam_krb5: authentication fails for `administrator' Apr 11 13:56:27 dmoeko python2.4: pam_krb5: pam_sm_authenticate returning 10 (User not known to the underlying authentication module) [/quote]

Diese Fehlermeldung habe ich auch, könnten Sie evtl darauf kurz eingehen? Was sagt diese Fehlermeldung aus? Ich kann sie zeitlich mit einem Clientproblem in Verbindung bringen. Zur gleichen Zeit als die Fehlermeldung kam, hatte ein Client Probleme mit einer share und die Fehlermeldung ist bis jetzt mein einziger Ansatzpunkt, alle restlichen logs sehen ok aus.

mfg

#6

[quote=“migges”]

Apr 11 13:56:27 dmoeko python2.4: pam_krb5: authenticate error: Client not found in Kerberos database (-1765328378)
Apr 11 13:56:27 dmoeko python2.4: pam_krb5: authentication fails for `administrator'
Apr 11 13:56:27 dmoeko python2.4: pam_krb5: pam_sm_authenticate returning 10 (User not known to the underlying authentication module)

Diese Fehlermeldung habe ich auch, könnten Sie evtl darauf kurz eingehen? Was sagt diese Fehlermeldung aus? Ich kann sie zeitlich mit einem Clientproblem in Verbindung bringen. Zur gleichen Zeit als die Fehlermeldung kam, hatte ein Client Probleme mit einer share und die Fehlermeldung ist bis jetzt mein einziger Ansatzpunkt, alle restlichen logs sehen ok aus.[/quote]

Diese Fehlermeldung deutet daraufhin, dass der besagte Benutzer keinen Kerberos-Account hat. Da der Benutzer Administrator unter UCS aber normalerweise einen Kerberos-Account hat, ist hier von einem Konfigurationsproblem auszugehen. Können andere Benutzer auf dem System Kerberos benutzen (kinit, klist, kdestroy)? Können Sie sich auf dem System beispielsweise für den Benutzer Administrator ein Kerberos-Ticket holen?

kinit Administrator

Mit freundlichen Grüßen
Andreas Büsching

Mastodon