Keine Anmeldung für Nagois-Web möglich!

german

#1

Guten Morgen,

ich kann mich nicht an Nagios Webinterface anmelden.

In der /var/log/auth.log steht folgendes:

[quote] 08:07:58 pegasus apache2: (pam_unix) authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=192.168.100.5 user=Administrator
[/quote]

Was läuft das schief?

Gruß

Marko

Ps. Benutzer + Passwort sind natürlich richtig.


#2

Hallo,

bitte prüfen Sie die folgenden Punkte:

  • Gibt es dazu Fehlermeldungen in den Apache Logdateien?
  • Kann sich ein anderes Mitglied der Gruppe “Domain Admins” am Nagios-Frontend Anmelden?
  • Ist die generelle Anmeldung als Administrator (z.B. über SSH) möglich?
  • Ist die Anmeldung als root möglich?

Mit freundlichen Grüßen
Janis Meybohm


#3

Guten Morgen Herr Meybohm,

Danke für die Antwort.

Hier die Antwort zu ihren Fragen:

zu 1. Auzug aus der apache2.log

[Sun Oct 18 06:25:17 2009] [notice] Apache/2.2.3 (Univention) PHP/5.2.11-0.dotdeb.0 with Suhosin-Patch mod_ssl/2.2.3 OpenSSL/0.9.8c configured -- resuming normal operations /usr/share/univention-directory-manager/uniconf/univention-directory-manager.py:58: SyntaxWarning: import * only allowed at module level def main(argv): /usr/share/univention-directory-manager/uniconf/univention-directory-manager.py:58: SyntaxWarning: import * only allowed at module level def main(argv): [Tue Oct 20 09:21:32 2009] [error] Internal error: pcfg_openfile() called with NULL filename [Tue Oct 20 09:21:32 2009] [error] [client 192.168.100.5] (9)Bad file descriptor: Could not open password file: (null), referer: https://pegasus.bafoeg.studentenwerk-magdeburg.de/ucs-overview/de.html [Tue Oct 20 09:21:32 2009] [error] [client 192.168.100.5] PAM: user 'root' - not authenticated: Error in service module, referer: https://pegasus.bafoeg.studentenwerk-magdeburg.de/ucs-overview/de.html [Tue Oct 20 09:21:47 2009] [error] Internal error: pcfg_openfile() called with NULL filename [Tue Oct 20 09:21:47 2009] [error] [client 192.168.100.5] (9)Bad file descriptor: Could not open password file: (null), referer: https://pegasus.bafoeg.studentenwerk-magdeburg.de/ucs-overview/de.html [Tue Oct 20 09:21:49 2009] [error] [client 192.168.100.5] PAM: user 'Administrator' - not authenticated: Authentication failure, referer: https://pegasus.bafoeg.studentenwerk-magdeburg.de/ucs-overview/de.html [Tue Oct 20 09:21:56 2009] [error] [client 192.168.100.5] File does not exist: /var/www/favicon.ico [Tue Oct 20 09:21:59 2009] [error] [client 192.168.100.5] File does not exist: /var/www/favicon.ico

zu 2. es gibt nur den Administrator

zu 3. Ja, sonst kann sich der Administrator anmelden SSH / UDM…

zu 4. Nein, auch eine root Anmeldung funktioniert nicht.

Gruß

Marko


#4

Hallo,

die “Could not open password file”-Meldungen sind soweit normal (anstatt der shadow-File wird PAM verwendet). Bitte stellen Sie sicher das Kerberos in Ihrer Domäne korrekt funktioniert und die Uhrzeiten aller Server Synchron sind.

Mit freundlichen Grüßen
Janis Meybohm


#5

Hallo,

Die Uhrzeit ist synchron. Wie kann ich Kerberos testen?

Gruß

Marko


#6

Hallo,

Kerberos können Sie beispielsweise Testen indem Sie auf einem Server mittels “kinit” ein Ticket beziehen (einsehbar durch “klist”) und sich anschließend per SSH auf anderen Server verbinden. Die Anmeldung sollte dann ohne erneute Passwortabfrage durchgeführt werden.

Mit freundlichen Grüßen
Janis Meybohm


#7

Hallo,

anscheinend ist der Kerberosserver defekt.

Beim Befehl “kinit” erhalte ich folgende Fehlermeldung:

[code]kinit

root@BAFOEG.STUDENTENWERK-MAGDEBURG.DE’s Password:
kinit: krb5_get_init_creds: Client (root@BAFOEG.STUDENTENWERK-MAGDEBURG.DE) unknown
[/code]

Aber wenn ich es als User Rappholz versuche dann klappt es:

[code]kinit Rappholz

Rappholz@BAFOEG.STUDENTENWERK-MAGDEBURG.DE’s Password:

root@pegasus:~# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: Rappholz@BAFOEG.STUDENTENWERK-MAGDEBURG.DE

Issued Expires Principal
Nov 2 13:58:37 Nov 2 23:58:37 krbtgt/BAFOEG.STUDENTENWERK-MAGDEBURG.DE@BAFOEG.STUDENTENWERK-MAGDEBURG.DE
[/code]

Warum geht es als “root” nicht?

Gruß

Marko


#8

Hallo,

root ist kein Kerberos Account (da auch nicht im LDAP).
Bitte prüfen Sie ob die Anmeldung über ein Kerberos Ticket an anderen Servern (z.B. per SSH) möglich ist und ob Sie auf allen Servern Tickets beziehen können (vorhandene Tickets können mit kdestroy gelöscht werden).

Mit freundlichen Grüßen
Janis Meybohm