Domänenbenutzer können sich nicht an Linux-PC anmelden

german

#1

Hallo,

ich habe UCS 3.1-1 errata193 auf dem PDC laufen und wollte nun einen Linux-PC auch zur Domäne hinzufügen, damit dort auch die Domänen-Benutzer sich einloggen können.

Der Linux-PC wurde komplett frisch mit openSuSE 13.1 installiert und dann über YaST der Domäne hinzugefügt. (SAMBA Domäne)
Das hat auch nach Eingabe des admin-Passworts für die Domäne einwandfrei funktioniert… successfully joined domain… wurde in einem Dialog angezeigt. (Dies wurde als lokaler root auf dem neuen Linux-PC durchgeführt.)

Nun wollte ich mich als root ab- und als Domänen-Benutzer anmelden.

  1. Die Domäne ist im Auswahlmenü 2x vorhanden.
  2. Ich habe den ersten Eintrag ausgewählt und Benutzer und Passwort eingegeben und dann kommt “Login failed” (in rot auf login-Maske)
  3. Auch über SSH ist mit einem Domänenaccount kein login möglich (root funktioniert einwandfrei).

Über UMC sehe ich das neu erstelle Rechner-Objekt (komischerweise als “Windows Host” Typ) in den Rechnern.

Habe ich irgend eine Einstellung auf dem Client oder Server vergessen?

MfG,
F. Illenseer


Rechner wird nicht vollständig gelöscht im LDAP
#2

Hallo,

der Domain-Join über Yast dürfte eigentlich gedacht sein, um den Client einem AD anzuschließen. Daher ist es auch nicht verwunderlich, dass Sie einen Windows-Host in der UMC sehen.
Ich hätte versucht, den Client analog zu den Anleitungen in Extended domain services documentation einzubinden.
Der von Ihnen beschriebene Weg könnte natürlich auch funktionieren, aber dazu müsste man sehen, welche Konfigurationen der Yast verändert hat und was in den Logs (Authentication, ggf. auch Samba) des Clients passiert.

Viele Grüße,
Dirk Ahrnke


#3

Hallo,

ich bin glaube ich zumindest einen Schritt weiter…
Nachdem ich in /var/log/messages folgendes gefunden habe

2013-11-21T15:23:19.396977+01:00 MYHOST winbindd[5599]: [2013/11/21 15:23:19.396924, 0] ../source3/libads/kerberos_util.c:74(ads_kinit_password) 2013-11-21T15:23:19.397132+01:00 MYHOST kernel: [ 1774.185443] type=1400 audit(1385043799.396:56): apparmor="DENIED" operation="open" parent=5585 profile="/usr/sbin/winbindd" name="/var/lib/samba/smb_krb5/krb5.conf.MY-DOMAIN" pid=5599 comm="winbindd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 2013-11-21T15:23:19.397138+01:00 MYHOST kernel: [ 1774.185459] type=1400 audit(1385043799.396:57): apparmor="DENIED" operation="open" parent=5585 profile="/usr/sbin/winbindd" name="/var/lib/samba/smb_krb5/krb5.conf.MY-DOMAIN" pid=5599 comm="winbindd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 2013-11-21T15:23:19.397234+01:00 MYHOST winbindd[5599]: kerberos_kinit_password MYHOST$@MYDOMAIN.DE failed: Permission denied 2013-11-21T15:23:25.909737+01:00 MYHOST kdm: :0[5782]: gkr-pam: error looking up user information
Habe ich einmal den AppArmor komplett abgeschaltet und einen Reboot gemacht.

Danach ist zwar immer noch der doppelte Eintrag der Domäne (siehe 1) in meiner Eingangsfrage) vorhanden, die Anmeldung geht aber einen Schritt weiter (also der Fehler 2) in meiner Eingangsfrage kommt nicht mehr, sondern der Client macht etwas) und auch ein SSH login-Versuch (das war 3) in meiner Eingangsfrage) geht weiter.

Jedoch kommt dann ein neues Problem:
Beide Logins beschweren sich über “Permission denied”, wenn versucht wird, in das home-Verzeichnis zu wechseln.
Das HOME-Verzeichnis vom server hatte ich über NFS vom UCS-PDC lokal nach /home gemountet.
Auf dem UCS-PDC:

/home <= über NFS freigegeben als /home /MY-DOMAIN /illenseer
Und diese Struktur wird nun durch den NFS mount auch lokal auf den Client “gespiegelt”.

Irgendwie scheint es mir, als ob die User-IDs und Gruppen von der Domäne nicht verwendet werden, denn auf dem gemounteten /home ist alles vorhanden und von Windows aus haben die Benutzer auch Zugriff. Nur das Linux kommt nicht drauf…

Auf dem grafischen Login bricht es dann ab und per SSH bekommt man de Fehler, dass das HOME-Verzeichnis nicht benutzt werden kann. Aber über SSH wird man dann angemeldet (man landet dann in “/”). Wenn ich dann aber “id” ausführe, dann wird für meine uid=10000 angezeigt, aber auf dem UCS-PDC hat mein Account die 2008.

In den Optionen zur SAMBA Domäne in YaST gibt es auch in den Experten-Einstellungen etwas mit min und max uid, wobei der min Wert auf 10000 steht und daher habe ich das in Verdacht…

Ich dachte wirklich, dass auch das Einbinden vonn Linux-Maschinen unter UCS einfach sein würde, v.A. da openSuSE ja diesen Windows Domain Join nun hat. Und eigentlich “hängt” es ja nun “nur” noch an den Rechten für das HOME Verzeichnis… - Evtl. nicht über NFS mouunten sondern über die Experten-Settings beim Windows-Domain Dialog? - Aber was dort angeben?
=> Allgemein ist da die Doku sehr spärlich…! (Herr Ahrnke hat zwar auf eine Seite verwiesen, aber das sind ja doch einige “mühseelige” Schritte tief im System - Das sollte doch auch “leichter” gehen…)


#4

Hallo,

Die Anleitung mag umfangreich sein; letztlich enthält sie nur alle die Schritte, die automatisch passieren, wenn man ein UCS Client System zur Domäne hinzufügt. Fügen Sie nun ein anderes System hinzu, müssen Sie diese Schritte halt selbst tun, und das ist schon ein schönes Stück Arbeit mit einigen Stolpersteinen.

Stimmt. Woher soll es die Nutzerinformation (Unix-User-IDs) nehmen? Ihr System verhält sich momentan betreffs der Anmeldung wie ein Windows-Client, also haben Sie nur die Wahl:[ul]
[li] Sie sorgen dafür, daß es sich vollständig wie ein Windows verhält, dann sollten Sie nicht NFS sondern SMB/CIFS zum Mounten des Homes verwenden. Warum Ihr Client das nicht (oder nicht erfolgreich) tut, können Sie nur den entsprechenden Logs entnehmen, die sich mit Authentifizierung und den SMB-Zugriffen befassen. Möglicherweise müssen Sie nur in der UCS-Domäne die entsprechenden Einstellungen (Nutzer: Optionen->Samba, und dann HomeDrive/HomeDir) administrieren? Funktioniert denn der Zugriff über ein echtes Windows?[/li]
[li] Sie wollen NFS für das Mounten des Homes verwenden? dann müssen Sie 2.4. Access to user and group information of the UCS domain schon befolgen, damit Ihr NFS-Client auch die Nutzerinformation zur Verfügung hat. Danach wäre es zu erwarten, daß alle anderen Zugriffe über Nicht-Windows-Schnittstellen (z.B. ssh) auch funktionieren würden.[/li][/ul]

Viele Grüße
Frank Greif.

[Nachtrag: Ihre Vermutung mit UID_MIN stimmt teilweise. Auf einem standardmäßig eingerichteten UCS (siehe /etc/login.defs) steht der Wert auf 1000, und das müssen die Clients auch einhalten. Auf Ihrem Client bestimmt diese Grenze, welche UIDs aus dem LDAP (=Domäne) entnommen werden und welche lokal liegen, und muß demzufolge im “Name Service Switch” (NSS) eingetragen werden. Ob YasT dazu in der Lage ist, wäre auszuprobieren.]


#5

Ich bin leider immer noch sehr enttäuscht/frustriert…
(Nicht im Speziellen über UCS, sondernn in erster Linie über die “Gesamtsituation”.)

Ich erhoffte mir mit dem UCS eine einfache Integration der Windows und Linux-Maschinen in einer zentralisierten Umgebung. Dazu sollte auch eine in einer angemessenen Zeit durchführbahre Konfiguration der Clients gehören. Dazu evtl. auch Tests und Anleitungen für die gängigsten/größten Distributionen… Bzw. kurze “Best-Practices” oder HowTo’s würden evtl. schon reichen…
Bisher ist es eher ein “Herumprobieren” mit diversen vielleicht funktionierenden Einstellungen tief in den Konfigs… Und bisher war noch keiner meiner Versuche erfolgreich.Ich denke auch, dass ein großer Teil auch an den Herstellern der Distros (in meinem Fall SuSE) liegt, denn selbst da sind nicht ale Dinge gut dokumentiert und man muss herumprobieren. Aber evtl. sollte es einem auf Linux spezialisierten Unternehmen einfacher fallen, die Dinge auszuprobieren bzw. sich evtl. auch mit den Distro-Herstellern in Verbindung zu setzen…?

Ichh stehe nun z.B. mit der openSuSE 13.1 da und möchte der UCS-Domäne beitreten, so dass
[ul]
[li] Sich die Benutzer der Domäne mit ihren Accounts anmelden können (lokal)[/li]
[li] Sich die Benutzer der Domäne mit Ihren Accounts über SSH anmelden können (mit Public Key, der auf dem HOME liegt)[/li]
[li] Die Benutzer ihr HOME vom Server bekommen mit den korrekten Zugriffsrechten[/li][/ul]
Wie das nun gelöst wird, da bin ich offen (also mir ist mal prinzipiell egal, ob ich das HOME mit NFS oder smbmount mounte, oder ob ich samba oder LDAP für die Authentifizierung verwende). Auf dem Server steht das HOME sowohl als Windows/SAMBA Share wie auch als NFS-Export zur Verfügung.

Ich selbst könnte mir als eine einfache Lösung vorstellen, dass man irgendwie hinbekommen müsste, dass die UIDs und GIDs auf dem Client gleich sind zu denen, die im LDAP (z.B. beim User unter Konto -> Linux/Posix -> Benutzer-ID) gespeichert sind. Wenn das funktionieren würde, dann könnte man einfach das /home per NFS mounten und alles wäre schon erledigt.

Nachdem ich nun insgesamt ca. 2 Tage erfolglos versucht habe diese (wirklich nicht hohen Anforderungen) zu verwirklichen, schaut mich mein Chef (dem ich das UCS genau aus dem Grund der leichteren Integration empfohlen hatte) schon schief an und ich muss aus Zeitgründen als Workaround (da das System dringend in Benutzung gehen muss) nun wieder lokale Benutzer erstellen, da ich “nicht noch mehr Zeit vertrödeln darf”.

Ich würde mich trotzdem freuen, wenn es irgendwie gelänge, das oben geschilderte Szenario zu verwirklichen mit möglichst geringem Aufwand, bzw. wenn jemand das schon am Laufen hat oder evtl. sogar Univention vielleicht einmal ein SuSE System nimmt und versucht, das nachzustellen.
Ich bin auch für Fragen oder Anregungen immer offen.

Vielen Dank und mit freundlichen Grüßen,
F. Illenseer


#6

Meine openSUSE-Zeiten sind schon etwas länger vorbei, aber damals unter UCS 2.4 ging das eigentlich ziemlich einfach. Ich mußte nur mit Yast die LDAP- und Kerberos-Sachen einstellen, dann klappte die Authefizierung schon. Bei den HOMEs kann das wieder anderes aussehen je nachdem wie strukturiert die abgelegt sind.
btw. würde ich einen Umstieg auf UCC in Erwägung ziehen, da der UCS erst da seine stärken voll auspielen kann.