Hallo, ich habe folgendes Problem:
Ich habe bisher etwa 27 Benutzer angelegt. Von dem was ich bisher herausgefunden hatte, den letzten am 18.06 mit dem ich mich auch an allen UCC Clients (Desktop) anmelden kann. Jetzt habe ich am 02.07. einen neuen Benutzer angelegt (n.benutzer28), mit dem ich mich nicht mehr an irgendeinem UCC Client anmelden kann.
Desktop startet normal, bis zur Eingabemaske, gebe ich jetzt die Daten von n.benutzer28 ein, verschwindet kurz der loginscreen und ich bin wieder am Anfang (Eingabemaske). Selbiges auch bei einem weiteren neu angelegtem Benutzer (n.benutzer29)
Ich habe einige Services im Einsatz, deren Login via LDAP Authentifizierung erfolgen. Mit benutzer28 kann ich mich an diesen anderen Services anmelden, eben nur nicht an den UCC Clients.
Hat jmd evetl. eine Idee oder könnte mir sagen was ich evtl. für logfiles posten könnte, die aufschluss geben könnten?
UCS-1004:
VUCS-04002001 - DC Slave (Mailserver, Fetchmail)
VUCS-04002002 - Windows Server 2008 Standard (genutzt derzeit zur Migration alter Backups, CLoud und Mailarchive)
UCS-1005:
VUCS-05002010 - Memberserver (Proxyserver / Webcache (Squid) / Dansguardian) Update: derzeit deinstalliert
VUCS-05002011 - DC Slave (derzeit keine weiteren Pakete installier)
habe mit putty eben mal versucht auf ucc client anzumelden und werde direkt gekickt. (also putty geht einfach zu, während ich mit einem alten benutzer anmelden konnte)
[quote=“SirTux”]
Auf einem UCC könntest du auch mal testweise
ausführen.[/quote]
hat leider auch nichts gebracht. Anmeldebilschirm wie oben beschrieben und wenn ich mich mit putty anmelden will auch wie gerade beschrieben.
Gebe ich testweise ein falsches passwort an, werde ich aufgefordert es nochmal zu versuchen.
Wie gehabt: Melde ich mich auf einer webseite an, wo ich ldap als auth methode konfigueriert habe, kann ich mich anmelden…
Melde ich mich via putty an einem UCC client an kommt kein eintrag in die auth.log auf UCS-1001 hinzu. Nehme ich einen “alten Benutzer” dann habe ich
auth.log von einem ucc client (nach anmeldung via putty) während die auth.log auf dem UCS-1001 leer bleibt
Jul 12 17:43:35 ucc-10123 sshd[6079]: pam_krb5(sshd:auth): user gast.leitstelle authenticated as gast.leitstelle@CORP.DOMAIN.DE
Jul 12 17:43:35 ucc-10123 PAM-runasroot[6079]: continuing as normal user
Jul 12 17:43:35 ucc-10123 sshd[6077]: Accepted keyboard-interactive/pam for gast.leitstelle from 10.10.4.101 port 54646 ssh2
Jul 12 17:43:35 ucc-10123 sshd[6077]: pam_group(sshd:setcred): field too long - ignored
Jul 12 17:43:35 ucc-10123 mkhomedir_helper: PAM unable to create directory /home/gast.leitstelle: Permission denied
Jul 12 17:43:35 ucc-10123 sshd[6077]: pam_unix(sshd:session): session opened for user gast.leitstelle by (uid=0)
Jul 12 17:43:35 ucc-10123 sshd[6077]: error: PAM: pam_open_session(): Permission denied
Jul 12 17:43:35 ucc-10123 sshd[6109]: pam_group(sshd:setcred): field too long - ignored
das machts schonmal etwas klarer… hatte bisher nur auf die UCS auth logs geschaut und nicht auf die auth.logs auf den UCCs
Wenn ich jetzt testweise 777 dem homedir gebe, kommt folgende meldung
...
Jul 12 17:50:59 ucc-10123 mkhomedir_helper: PAM unable to change perms on copy /home/gast.leitstelle/.bash_logout: Operation not permitted
...
der Ordner gast.leitstelle wird mit nobody – nogroup angelegt
Auch hier testweise 777, erneuter Anmeldeversuch
via putty => funktioniert
via ucc => teste ich gleich (muss erst wieder ins andere gebäude)
auch files und folders unter /home/gast.leitstelle haben ab hier die korrekte benutzer/gruppenzugehörigkeit
Das ist schon normal so, daß in der /var/log/auth.log Meldungen zu Logins auf dem jeweiligen System erscheinen. Auf dem UCS könntest du höchstens was in den Log-Dateien von Heimdal bzw. Samba 4 finden.
also, den gast.leitstelle hat er im home ja angelegt mit home dir 777, allerdings hat er den ordner gast.leitstelle wie oben beschrieben mit nobody und nogroup angelegt. wenn ich den jetzt auch chmod 777 mache dann kann ich mich auch jetzt am ucc anmelden (gerade getestet)
das problem wird sein:
A: warum kann kein folder im home dir angelegt werden,
und B: wenn ers könnte warum mit user: nobody und gruppe nogroup?
So langsam gehen mir die Ideen aus. Zumindest ist klar, daß das Problem bei der Erstellung des Homeverzeichnis liegt.
Du könntest mal testen, ob es da Unterschiede beim Login auf der Framebufferkonsole, beim Login am Lightdm und beim Login per SSH gibt. Also vorher das Homeverzeichnis immer entfernen.
Ich habe jetzt die vorhandenen benutzer verzeichnisse unter home in einem unterordner gesichert, alle richtlinien und das home verzeichnis auf dem memberserver (UCS-1002) entfernt und neu aufgesetzt.
Mit dem gast.leitstelle account angemeldet und ich konnte mich jetzt anmelden. Die vorhandenen verzeichnisse wieder zurück geschoben. funktioniert auch.
Woran das jetzt letztendlich lag… evtl ein problem mit der nfs freigaberichtlinie?
Ich hatte eine Freigabe auf UCS-1002 erstellt (/user) und eine nfs richtlinie erstellt, die das auf den UCCs ins /home verzeichnis mounted damit jeder user auf allen ucc clients die selben einstellungen hat.
Bevor ich das mit der nfs richtlinie hatte, hatte ich bei den Benutzern unter “Konto/Posix(Linux/UNIX)” Heimatverzeichnisfreigabe die “User-Freigabe” ausgewählt und bei Pfad zum Heimatverzeichnis (um bei gast.leitstelle jetzt zu bleiben) “gast.leitstelle” eingetragen. Nach dem Abspeichern wurde zwar in der Freigabe der entsprechende benutzer (ordner) erstellt, jedoch wurden Daten hier nie gespeichert. stattdessen wurden diese auf den ucc clients im homeverzeichniss angelegt. der gast.leitstelle ordner auf der freigabe blieb leer. Eventuell habe ich was übersehen?
Mit der nfs richtlinie das komplette user verzeichniss in /home auf den uccs zu mounten hatte als kurzfristige lösung dann damals erstmal funktioniert…