Login nach Update auf 4.1 nach einiger Zeit nicht mehr mögl

german

#1

Hallo,

ich habe vorgestern auf 4.1 upgedated und gestern zusätzlich errate 1 installiert. Nach einem Neustart kann ich mich problemlos einloggen. Nach einem halben Tag geht dann aber gar nix mehr. Ich komme weder über SSH, noch über UCS-Website und Zarafa Webapp rein. Alle Website erscheinen, doch die Authentifizierung klappt dann nicht.
Ich welchem Log müssten man denn da nachschauen? Im /var/log/syslog ist mir auf den ersten Blick nichts aufgefallen. Da ich Univention aber noch nicht so lange nutze kenne ich mir auch nicht so gut aus.
Bitte um Hilfe!

Gruß Tobi


UCS friert ein
#2

Hallo,

die folgenden Log-Dateien sind hilfreich:

/var/log/auth.log
/var/log/univention/management-console-web-server.log
/var/log/univention/management-console-server.log
/var/log/apache2/error.log
/var/log/apache2/access.log

Was erzeugt die Ausgabe vom folgenden Befehl als root auf dem System:

dpkg -l univention-system-activation

(Das Paket sollte nicht installiert sein.)


#3

Zusätzlich wäre die Ausgabe des folgenden Befehls hilfreich:

univention-check-templates

#4

Hallo ,

ich hatte genau das gleiche Problem.
Kein login mehr möglich (ssh,Web)
Lustig über Nagios schon,folgende Fehler wurden dort gezeigt:
UNIVENTION_LDAP_AUTH;CRITICAL;notify-service-by-email;CHECK_NRPE: Socket timeout after 10 seconds

Der Server steht in einer externen Firma.
Zu Arbeitsbegin bat ich um einen manuellen Neustart.
Das Problem war danch gelöst.

Der LDAP Server scheint mir keinen join gemacht zu haben,nach dem errata1.
Grüße


#5

Ich kann das gleiche Verhalten bestätigen. Bei mir mit UCS 4.1 und mit installiertem Zarafa. Erst nach einem harten Neustart der VM läuft alles normal…


#6

Wir konnten das Verhalten bisher intern noch nicht nachstellen. Bitte stellen Sie die oben angefragten Informationen zur Verfügung oder laden Sie ein univention-support-info Archiv hoch (sdb.univention.de/1182).

Einige Lösungsvorschläge sind bereits in Kein login mehr nach Update auf 4.1 genannt.


#7

Hallo hier die gewünschten relevanten logs

Mit den template hatte ich schon mit 4.1 Probleme,
webserver lies sich nicht starten wegen fehlender ssl-sites, dies wurde von mir manuell gelöst.

root@gpemaster:/tmp# univention-check-templates

WARNING: The following UCR templates are modified locally.
Updated versions will be named FILENAME.dpkg-*.
The files should be checked for differences.

/etc/univention/templates/files/etc/apache2/sites-available/default.d/10univention-appcenter
/etc/univention/templates/files/etc/postfix/main.cf.d/10_general

dpkg -l univention-system-activation
dpkg-query: Kein Paket gefunden, das auf univention-system-activation passt

/var/log/univention/management-console-server.log

19.11.15 21:46:17.274 MAIN ( WARN ) : Socket died (module=ucr)
19.11.15 21:46:17.274 MAIN ( WARN ) : Module process ucr died (pid: 6667, exit status: -1, signal: -1, status: -1)
19.11.15 21:46:17.274 MAIN ( WARN ) : Cleaning up requests
19.11.15 21:46:17.274 MAIN ( WARN ) : Remove inactivity timer
19.11.15 21:46:17.274 MAIN ( PROCESS ) : ModuleProcess: child died
19.11.15 21:56:22.228 SSL ( WARN ) : SSL error in _receive: (-1, ‘Unexpected EOF’). Probably the socket was closed by the client.
19.11.15 21:56:22.228 MAIN ( PROCESS ) : Processor: dying
20.11.15 01:58:02.972 SSL ( WARN ) : SSL error in _receive: (-1, ‘Unexpected EOF’). Probably the socket was closed by the client.
20.11.15 01:58:02.972 SSL ( WARN ) : SSL error in _receive: (-1, ‘Unexpected EOF’). Probably the socket was closed by the client.
20.11.15 02:00:05.084 AUTH ( WARN ) : Canonicalization of username was not possible: {‘desc’: “Can’t contact LDAP server”}
20.11.15 02:02:37.292 SSL ( WARN ) : SSL error in _response: (32, ‘Daten\xc3\xbcbergabe unterbrochen (broken pipe)’). Probably the socket was closed by the client.
20.11.15 02:04:35.036 AUTH ( WARN ) : Canonicalization of username was not possible: {‘desc’: “Can’t contact LDAP server”}
20.11.15 02:10:53.413 SSL ( WARN ) : SSL error in _response: (32, ‘Daten\xc3\xbcbergabe unterbrochen (broken pipe)’). Probably the socket was closed by the client.
20.11.15 02:10:53.413 SSL ( WARN ) : SSL error in _receive: (-1, ‘Unexpected EOF’). Probably the socket was closed by the client.


#8

Hallo,

das Support Archiv habe ich unter der ID “upload_gBWWUt.bin” hochgeladen. Nach 5 Stunden laufzeit konnte man sich heute auch wieder nicht mehr einloggen. Auch direkt am Rechner kann man sich per Administrator nicht mehr einloggen. Habe dann den Ausschalter kurz gedrückt, um das System herunterzufahren, es hat sich jedoch zwischendrin aufgehängt.

Das Paket univention-system-activation existiert nicht auf dem System.

Der andere Befehl liefert folgende Ausgabe:
root@ucs:/home/Administrator# univention-check-templates
WARNING: The following UCR templates are modified locally.
Updated versions will be named FILENAME.dpkg-*.
The files should be checked for differences.
/etc/univention/templates/files/etc/ejabberd/ejabberd.cfg

In diesem Template habe ich nur die Änderungen wie von Zarafa beschrieben vorgenommen (siehe hier http://www.zarafa.com/wiki/index.php/Configuring_instant_messaging_in_Zarafa_WebApp)

Vielen Dank schonmal für die Hilfe!

Gruß Tobi


#9

Hallo,

ich habe in der Zwischenzeit Plucs (EJabber) deinstalliert, doch das Problem besteht immer noch. Die Zeit bis zum Problem ist jedoch etwas länger.

Gruß Tobi


#10

Hallo,

das Problem tritt bei mir auf einem System, welches ich gestern auf 4.1 aktualisiert habe, auch auf. Ein anderes System zeigt die Symptome nicht, hat aber auch nur einen Mailserver.
Gestern hat jemand einen Bug angelegt. [bug]40059[/bug].

Es ist zu sehen, dass irgendwann der LDAP-Server nicht mehr reagiert. Der Prozess läuft noch, zeigt aber auch in strace keinerlei Aktivität. Ein Reboot ist kaum möglich. Erst nach SIGKILL auf den slapd hat man eine Chance.

Vielleicht sammeln wir mal, was auf den betroffenen Systemen installiert ist. Eventuell liefert das einen Anhaltspunkt.
Bei mir sind folgende Apps mit LDAP-Anbindung vorhanden:

  • Samba 4
  • UVMM
  • Open-Xchange (mit Cyrus)
  • ownCloud
  • PLUCS (hier glaub ich eher nicht an eine Ursache, meine Instanz ist unbenutzt).

Viele Grüße,
Dirk Ahrnke


#11

Hallo Dirk,

funktioniert ein ldapsearch weiterhin?
Kannst du einmal den Inhalt von /etc/ldap/sasl2/slapd.conf löschen und slapd neuzustarten. Behebt das das Problem?
Die Datei kann später per ucr commit /etc/ldap/sasl2/slapd.conf wiederhergestellt werden.

Ist das Problem auch bei einem System ohne errata-1 aufgetreten?
Ich setzte mal ein System mit den genannten Apps auf.


#12

Hallo,

univention-ldapsearch bleibt stecken.

Die erwähnte slapd.conf habe ich gerade gelöscht, mal schauen.
Meine beiden 4.1er sind auf Erratum 1, ich habe allerdings gleich komplett aktualisiert und kann nicht sagen, ob es ohne anders wäre.

Viele Grüße,
Dirk


#13

Hallo zusammen,

kann den Fehler bestätigen.
Ende letzter Woche UCS auf 4 Servern upgedated.
Bei allen 4 ist kein Login übers Webinterface möglich.

Server 1 läuft als AD-Master; Server 2 als Fileserver und Server 3 als Mailserver. Bei diesen auch kein Login über SSH möglich.

Server 2 läuft als Backup AD. Auch hier kein Login über Webinterface möglich. Allerdings kann ich mich hier über SSH als root einloggen.

Viele Grüße,

Oliver Bertgen


#14

Hallo,

bei mir laufen folgende Applikationen:
Domain Controller
Zarafa / Zarafa-Webmail / Zarafa-Webmeeting
Owncloud
Radius
UVMM


#15

So, DC-Master einmal neu gestartet…

Jetzt kann ich mich auch an den anderen Servern anmelden.

In /var/log/auth.log auf dem DC-Master erscheinen folgende Fehlermeldungen:

Nov 22 12:07:22 admaster sshd[2986]: nss_ldap: ldap_start_tls failed: Timed out
Nov 22 12:07:22 admaster sshd[2986]: nss_ldap: reconnecting to LDAP server…
Nov 22 12:07:52 admaster sshd[2986]: nss_ldap: ldap_start_tls failed: Timed out
Nov 22 12:07:52 admaster sshd[2986]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)…
Nov 22 12:08:23 admaster sshd[2986]: nss_ldap: ldap_start_tls failed: Timed out
Nov 22 12:08:23 admaster sshd[2986]: nss_ldap: could not search LDAP server - Server is unavailable

Vielleicht hilft das ja weiter …

VG,
Oliver Bertgen


#16

Auch der letzte Report zeigt, dass der LDAP-Server nicht reagiert.

Bei meinem Problemkind läuft der slapd seit gestern abend (und nach dem Löschen von /etc/ldap/sasl2/slapd.conf) ohne erkennbare Ausfälle. In den 24 Stunden zuvor ist er zwei Mal hängengeblieben.


#17

Hallo,

das das Löschen von /etc/ldap/sasl2/slapd.conf irgendwelche Sicherheitsimplikationen? Sonst würde ich das auch tun. Derzeit hängt sich der Server nach einem halben Tag auf.


#18

Hallo zusammen,

dann klinke ich mich auch mal ein, denn ich habe exakt das gleiche Verhalten bei meinem DC, in meinem Syslog tauchen ebenfalls plötzlich irgendwann diese Meldungen auf und ein Login ist nicht mehr möglich:

[quote=“O. Bertgen”]So, DC-Master einmal neu gestartet…

Jetzt kann ich mich auch an den anderen Servern anmelden.

In /var/log/auth.log auf dem DC-Master erscheinen folgende Fehlermeldungen:

Nov 22 12:07:22 admaster sshd[2986]: nss_ldap: ldap_start_tls failed: Timed out
Nov 22 12:07:22 admaster sshd[2986]: nss_ldap: reconnecting to LDAP server…
Nov 22 12:07:52 admaster sshd[2986]: nss_ldap: ldap_start_tls failed: Timed out
Nov 22 12:07:52 admaster sshd[2986]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)…
Nov 22 12:08:23 admaster sshd[2986]: nss_ldap: ldap_start_tls failed: Timed out
Nov 22 12:08:23 admaster sshd[2986]: nss_ldap: could not search LDAP server - Server is unavailable

Vielleicht hilft das ja weiter …

VG,
Oliver Bertgen[/quote]

Ich habe sofort nach Bemerken des Problems diesen Bug gemeldet:

forge.univention.org/bugzilla/s … i?id=40059

Darin wird zuletzt nach einem core-dump des slapd gefragt. Leider war ich bis jetzt nicht in der Lage, einen solchen zu erstellen, da man sich ja in dem Moment nicht mehr Anmelden kann und ich bis dato nirgendwo eine “Notfall” - Shell Sitzung offen gelassen habe. Das werde ich als n. versuchen.

Habe jedoch mal das Logging des slapd heraufgesetzt. Sobald ich später wieder an den Server herankomme (aktuell ist er wieder in diesem Zustand und ich bin nicht vor Ort) schaue ich mal, ob das schon brauchbare Hinweise liefert.

Hat sonst noch jmd. ne Idee?

Viele Grüße


#19

Wir können das Problem leider immer noch nicht reproduzieren. Eine andere Vermutung ist, dass es an bestimmten LDAP Daten liegt. Uns würde vielleicht ein LDAP Dump + LDAP Config helfen:

slapcat >ldif tar czvf ldap.tgz /etc/ldap/
Die Daten können dann einfach hier hochgeladen werden und wir brauchen lediglich die ID: upload.univention.de/

Bitte beachten, dass vor allem in dem ldif sensible Daten sind, zumindest, wenn es ein produktives System ist.


#20

Hallo,

heute morgen wurde UCS Server von Mitarbeitern in der Firma, wieder neu gestartet (kein login möglich)
jetzt läuft es wieder.
Das Problem ist also noch vorhanden und tritt anscheinend alle paar Tage auf.

Blöd ist man kann sich nicht als Admin einloggen und Hilfe leisten