Hallo,

auf dem neu aufgesetzten MemberServer - 4.1.0-ucs163-amd64 #1 SMP Debian 4.1.6-1.163.201511301312 (2015-11-30) x86_64 GNU/Linux

SSH Connect wird sofort getötet

Member:

univention-join

univention-join failed
Message: ssh-login for Administrator@master failed. Maybe you entered a wrong password.

Master:
sshd[20562]: Accepted keyboard-interactive/pam for Administrator from IP port 52705 ssh2
sshd[20562]: pam_unix(sshd:session): session opened for user Administrator by (uid=0)
sshd[20569]: Received disconnect from IP: 11: disconnected by user
sshd[20562]: pam_unix(sshd:session): session closed for user Administrator

Member:

univention-ssh /tmp/admin -v Administrator@master.tld pwd

OpenSSH_6.0p1 Debian-4.51.201510261316, OpenSSL 1.0.2d 9 Jul 2015
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 28: Applying options for *
debug1: Connecting to master [IP] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
…
debug1: Found key in /root/.ssh/known_hosts:7
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,keyboard-interactive
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file ‘/tmp/krb5cc_0’ not found

debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file ‘/tmp/krb5cc_0’ not found

debug1: Unspecified GSS failure. Minor code may provide more information

debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file ‘/tmp/krb5cc_0’ not found

debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/id_rsa
debug1: Trying private key: /root/.ssh/id_dsa
debug1: Trying private key: /root/.ssh/id_ecdsa
debug1: Next authentication method: keyboard-interactive
debug1: read_passphrase: can’t open /dev/tty: No such device or address
debug1: permanently_drop_suid: 0
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to uucs1cgn ([ip]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = de_DE.UTF-8
debug1: Sending command: pwd
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
debug1: channel 0: free: client-session, nchannels 1
Transferred: sent 1912, received 2024 bytes, in 0.1 seconds
Bytes per second: sent 13285.2, received 14063.4
debug1: Exit status 1

Member:

univention-ssh /tmp/admin Administrator@uucs1cgn.nrg.loc

Univention DC Master 4.1-0:

The UCS management system is available at master.tld/ (ip)

You can log into the Univention Management Console - the principal tool to manage
users, groups, etc. - using the “Administrator” account and the password selected
for the root user on the master domain controller.

Last login: Tue Jan 12 12:26:20 2016 from member.tld
Connection to master.tld closed.

Master:
sshd[21435]: Accepted keyboard-interactive/pam for Administrator from ip port 52733 ssh2
sshd[21435]: pam_unix(sshd:session): session opened for user Administrator by (uid=0)
sshd[21442]: Received disconnect from ip: 11: disconnected by user
sshd[21435]: pam_unix(sshd:session): session closed for user Administrator

Member:

ssh administrator@master.tld

Password:
Univention DC Master 4.1-0:

The UCS management system is available at master.tld/ (ip)

You can log into the Univention Management Console - the principal tool to manage
users, groups, etc. - using the “Administrator” account and the password selected
for the root user on the master domain controller.

Connection to master closed.

Master:

su - Administrator

su[22258]: Successful su for Administrator by root
su[22258]: + /dev/pts/0 root:Administrator
su[22258]: pam_unix(su:session): session opened for user Administrator by root(uid=0)
su[22258]: pam_unix(su:session): session closed for user Administrator

Master noch paar Variablen:
auth/sshd/group/Domain Admins=yes
auth/sshd/restrict=yes

samba/homedirserver=otherMemberServer

Was nun???

Hallo,

ich bin mir nicht sicher, ob ich das richtig interpretiere:

Ist es korrekt, dass “normales” ssh mit dem Administrator-Konto geht und mit “univention-ssh” nicht?

Können wir ein “ucr search --brief auth/sshd” sehen?

Viele Grüße,
Dirk Ahrnke

Die Verbindung wird sofort geschlossen.

Master:
auth/sshd/group/Administrators: yes
auth/sshd/group/Computers: yes
auth/sshd/group/DC Backup Hosts: yes
auth/sshd/group/DC Slave Hosts: yes
auth/sshd/group/Domain Admins: yes
auth/sshd/restrict: yes
auth/sshd/user/root: yes

Member:
funktioniert wie gewohnt
ssh root@master

baut die Verbindung auf und sofort zu bei richtigem Passwort
ssh administrator@master

[quote=“MixeryMan”]
baut die Verbindung auf und sofort zu bei richtigem Passwort
ssh administrator@master[/quote]

Ich nehm mal an, dass das beides im Kontext steht.
Gibt es auf der Serverseite keine weiteren Logs zu den Loginversuchen?

[quote=“ahrnke”]
Ich nehm mal an, dass das beides im Kontext steht.
Gibt es auf der Serverseite keine weiteren Logs zu den Loginversuchen?[/quote]

Wie oben beschrieben. Welche weiteren Log-Auszüge?

Es gibt in dieser Forensoftware die Möglichkeit, die eigenen Beiträge so zu formatieren, dass jemand anderes, von dem man sich Hilfe erhofft, die Chance hat den Sachverhalt möglichst schnell und effektiv zu erfassen.
Bei hingeschluderten Fakten hat man das Problem zwar selbst vom Hals, bürdet anderen aber die Last auf.

Deshalb bin ich jetzt raus aus diesem Thread.

[quote=“MixeryMan”][quote=“ahrnke”]
Ich nehm mal an, dass das beides im Kontext steht.
Gibt es auf der Serverseite keine weiteren Logs zu den Loginversuchen?[/quote]

Wie oben beschrieben. Welche weiteren Log-Auszüge?[/quote]

Z.B. die /var/log/auth.log auf dem Master. Ich würde zusätzlich einmal ein:

kinit Administrator klist
auf Master und dem neuen Member prüfen.

Master:

klist

klist: No ticket file: /tmp/krb5cc_0

kinit Administrator

Administrator@domain.tld Password:

klist

Credentials cache: FILE:/tmp/krb5cc_0
Principal: Administrator@domain.tld

Member, da er nicht joinen kann:

kinit Administrator

Administrator@UNASSIGNED-DOMAIN’s Password:
kinit: krb5_get_init_creds: unable to reach any KDC in realm UNASSIGNED-DOMAIN

univention-ssh /tmp/admin Administrator@domain.tld ls -la /

Nichts

Master:/var/log/auth:
sshd[22030]: Accepted keyboard-interactive/pam for Administrator from IP port 53914 ssh2
sshd[22030]: pam_unix(sshd:session): session opened for user Administrator by (uid=0)
sshd[22037]: Received disconnect from IP: 11: disconnected by user
sshd[22030]: pam_unix(sshd:session): session closed for user Administrator

Member: ssh Administrator@domain.tld ls -la /

Master:/var/log/auth:
sshd[22807]: Accepted keyboard-interactive/pam for Administrator from IP port 53915 ssh2
sshd[22807]: pam_unix(sshd:session): session opened for user Administrator by (uid=0)
sshd[22814]: Received disconnect from IP: 11: disconnected by user
sshd[22807]: pam_unix(sshd:session): session closed for user Administrator

Member: ssh root@domain.tld pwd
/root

Master:/var/log/auth:
Accepted keyboard-interactive/pam for root from IP port 53917 ssh2
sshd[22883]: pam_unix(sshd:session): session opened for user root by (uid=0)
sshd[22883]: Received disconnect from IP: 11: disconnected by user
sshd[22883]: pam_unix(sshd:session): session closed for user root

meine /etc/machine.secret sieht auf dem Master auch anders aus, wie die /etc/machine.secret.old

Authentifizierung mit dem Maschinen-Konto ist fehlgeschlagen - Der Login auf dem entfernten Rechner mit der uid master$ und dem Passwort aus /etc/machine.secret is fehlgeschlagen. Bitte prüfen Sie /var/log/auth.log auf dem entfernten Rechner für weitere Informationen.

wie kann man das denn für alle Clients testen bzw. wieder herstellen? Da ich parallel auch Probleme mit den Gruppenrichtlinien habe, die Fehlermeldung ebenfalls beinhaltet “Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.”

Nach meinem Verständnis müsste ja der Master auf dem Member irgendwo hinterlegt sein.

Member: /var/log/auth
Invalid user MASTER$ from IP_MASTER
input_userauth_request: invalid user MASTER$ [preauth]
Postponed keyboard-interactive for invalid user MASTER$ from IP_MASTER port 57090 ssh2 [preauth]
pam_unix(sshd:auth): check pass; user unknown
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=MASTER.nrg.loc
pam_krb5(sshd:auth): authentication failure; logname=MASTER$ uid=0 euid=0 tty=ssh ruser= rhost=MASTER.nrg.loc
error: PAM: Authentication service cannot retrieve authentication info for illegal user MASTER$ from MASTER.nrg.loc
Failed keyboard-interactive/pam for invalid user MASTER$ from IP_MASTER port 57090 ssh2
Invalid user MASTER$ from IP_MASTER
input_userauth_request: invalid user MASTER$ [preauth]
Postponed keyboard-interactive for invalid user MASTER$ from IP_MASTER port 57091 ssh2 [preauth]
pam_unix(sshd:auth): check pass; user unknown
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=MASTER.nrg.loc
pam_krb5(sshd:auth): authentication failure; logname=MASTER$ uid=0 euid=0 tty=ssh ruser= rhost=MASTER.nrg.loc
error: PAM: Authentication service cannot retrieve authentication info for illegal user MASTER$ from MASTER.nrg.loc
Failed keyboard-interactive/pam for invalid user MASTER$ from IP_MASTER port 57091 ssh2
Connection closed by IP_MASTER [preauth]
Connection closed by IP_MASTER [preauth]

auf dem Member existiert die Datei /etc/machine.secret noch gar nicht

Wie kann ich den Standard für univention für ssh testen?
als test sollte doch folgenden funktionieren:

univention-ssh /tmp/pwd user@master pwd

Braucht mein Gruppenmitglied eine aktive Shell? statt bin/false
Darf die primäre Gruppe Domain Users sein?

Der Server wurde von jemand anderem aufgesetzt.

Die UCR-Variablen sehen soweit gut aus. (s.o.)

Allgemein: kann ich mir die Unterschiede vom Standard anzeigen lassen, welche Variablen bisher geändert wurden?

Danke

muss sshd/passwordauthentication=yes stehen für den Join falls keine Keys im Home-Verzeichnis vom MItglied der Domain Admins gibt???

Moin,

stellen Sie sicher, dass der User »Administrator« eine echte Shell als Loginshell eingetragen hat. Das von Ihnen beschriebene Verhalten gleicht dem Fall, wenn als Loginshell z.B. »/bin/false« eingetragen ist.

Nach einer Änderung der Shell im LDAP müssen Sie unbedingt den Cache des nscd invalidieren und anschließend die Loginshell prüfen. Das ist auf dem master auszuführen:

nscd --invalidate=passwd getent passwd administrator

Gruß,
mosu

Nachtrag: die Einstellungen dürfen durchaus wie folgt gesetzt sein:

auth/sshd/group/Domain Admins: yes auth/sshd/restrict: yes auth/sshd/user/root: yes sshd/passwordauthentication: no

Trotzdem funktioniert »univention-ssh«, auch wenn, wie bei mir momentan, es keine Keys in ~administrator/.ssh gibt. Bei mir gibt’s das komplette Verzeichnis nicht. Hat keine Auswirkung.

Relevant: Loginshell muss eine echte Shell sein (/bin/bash, /bin/dash, /bin/zsh…).

Danke für die Antwort.
Ich denke daran lag es.