Nagios-Anmeldung nicht möglich

Hallo,

bei Zugriff auf >/nagios wird die Anmeldung als Administrator nicht akzeptiert.

In /var/log/auth.log finde ich:

Jun 21 11:17:29 projects unix_chkpwd[17121]: password check failed for user (Administrator) Jun 21 11:17:29 projects apache2: pam_unix(nagios:auth): authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=192.168.xxx.yyy user=Administrator Jun 21 11:17:29 projects apache2: pam_krb5(nagios:auth): authentication failure; logname=Administrator uid=33 euid=33 tty= ruser= rhost=1 92.168.xxx.yyy

Das Passwort habe ich x-mal geprüft - das sollte gepasst haben.

Der Join-Status ist:

root:~# univention-check-join-status Joined successfully

Habe einige Checks wie in Thread Ldapsearch -x -ZZ -D <ldap_hostdn> beschrieben ausgeführt. Hier gibt es einen Fehler:

root@xxx:~# ldapsearch -x -ZZ -h "$ldap_master" -D "$ldap_hostdn" -w $(cat /etc/machine.secret) -b "$ldap_base" -s base ldap_bind: Invalid credentials (49) additional info: Simple Bind Failed: NT_STATUS_LOGON_FAILURE

Dagegen funktioniert:

[code]root:~# ldapsearch -x -ZZ -D “$ldap_hostdn” -w $(cat /etc/machine.secret) -b “$ldap_base” -s base

extended LDIF

LDAPv3

search result

search: 3
result: 0 Success

numResponses: 2

numEntries: 1

[/code]

Habe noch einmal die Join-Skripte angeschoben, aber die werden alle übersprungen:

[code]univention-run-join-scripts
univention-run-join-scripts: runs all join scripts existing on local computer.
copyright © 2001-2012 Univention GmbH, Germany

Running 01univention-ldap-server-init.inst skipped (already executed)
Running 02univention-directory-notifier.inst skipped (already executed)

[/code]

Hier komme ich nicht weiter und brauche einen Tipp, wie ich die LDAP-Suche von nagios erfolgreich ausführen kann.

Besten Dank vorab!
Matthias

Hallo,

es wäre gut, wenn Sie hier noch einige weitere Informationen nachliefern könnten, um die möglichen Ursachen für das Verhalten eingrenzen zu können.

[ul]
[li]Um welche Systemrolle handelt es sich?

ucr get server/role

[li]Gibt es weitere UCS-Systeme innerhalb der Umgebung?[/li]
[li]Welche UCS-Version wird hier eingesetzt?

ucr search --brief version

[li]Wurde vor der Verwendung der Variablen in den “ldapsearch”-Befehlen die Augabe von ucr shell evaluiert?

eval $(ucr shell)

Mit freundlichen Grüßen,
Tim Petersen

Hallo Herr Petersen,

sorry für die Verzögerung:

root@projects:~# ucr get server/role domaincontroller_master root@projects:~# ucr search --brief version repository/mirror/version/end: <empty> repository/mirror/version/start: <empty> update/umc/nextversion: true version/erratalevel: 81 version/patchlevel: 1 version/releasename: Horn-Lehe version/security-patchlevel: <empty> version/version: 3.0

Die ucr Shellvariablen habe ich brav ausgewertet:

# eval $( ucr shell )

Das Verhalten ist unverändert.

Gibt es einen Weg, die Join-Skripte auch ohne -force Parameter so anzuschieben, das nichts mit “skipped” übersprungen wird?

Hallo,

um hier schneller zu einem Ergebnis zu kommen, würde ich Ihnen anbieten uns ein nach SDB-Artikel #1174 erstelltes Univention-Support-Info Archiv zur Verfügung zu stellen, welches wir kurz auf Auffälligkeiten prüfen werden.
Sie können hierzu entweder feedack@univention.de zusenden.

Mit freundlichen Grüßen,
Tim Petersen

Hallo,

zum Info-Archive siehe Ticket #2012070321005808

Hallo,

ich würde gern noch einmal auf zwei Punkte aus Ihrem Eingangspost eingehen:

[quote=“be-team”]Hier gibt es einen Fehler:

root@xxx:~# ldapsearch -x -ZZ -h "$ldap_master" -D "$ldap_hostdn" -w $(cat /etc/machine.secret) -b "$ldap_base" -s base ldap_bind: Invalid credentials (49) additional info: Simple Bind Failed: NT_STATUS_LOGON_FAILURE
[/quote]

Hier müssten Sie den angepassten LDAP-Port mit angeben:

eval $(ucr shell) ldapsearch -x -ZZ -h "$ldap_master" -p7389 -D "$ldap_hostdn" -w $(cat /etc/machine.secret) -b "$ldap_base" -s base

Können Sie aktuell weitere auffällige Verhaltensweisen beobachten? Können Sie sich beispielsweise mit dem Administrator-Account an der UMC authentifizieren und ausschließlich an Nagios nicht?

Mit freundlichen Grüßen,
Tim Petersen

Hallo Herr Peters,

mit der Angabe von Port 7389 funktioniert der ldapsearch-Aufruf jetzt:

[code]root@projects:~# ldapsearch -x -ZZ -h “$ldap_master” -p7389 -D “$ldap_hostdn” -w $(cat /etc/machine.secret) -b “$ldap_base” -s base

extended LDIF

LDAPv3

search result

search: 3
result: 0 Success

numResponses: 2

numEntries: 1

[/code]

Es ist genau wie Sie vermutet haben: Mit dem Administrator-Account kann ich mich an der UMC authentifizieren und ausschließlich an Nagios nicht.

/var/log/auth.log nach wie vor:

Jul 6 11:16:26 projects unix_chkpwd[31364]: check pass; user unknown Jul 6 11:16:26 projects unix_chkpwd[31364]: password check failed for user (Administrator) Jul 6 11:16:26 projects apache2: pam_unix(nagios:auth): authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=192.168.12.100 user=Administrator Jul 6 11:16:26 projects apache2: pam_krb5(nagios:auth): authentication failure; logname=Administrator uid=33 euid=33 tty= ruser= rhost=192.168.12.100

Dass es mit unix_chkpwd nicht klappt, ist ja wohl noch in Ordnung, aber bei Authentifizierung via pam_krb5 sollte es eigentlich klappen, oder?

Ein Check von /var/log unmittelbar nach dem fehlgeschlagenen Login-Versuch ergibt:

root@projects:/var/log# find -mmin -2 ./apache2/other_vhosts_access.log ./apache2/error.log ./apache2/access.log ./auth.log ./ntpstats/peerstats.20120706 ./ntpstats/loopstats ./ntpstats/peerstats ./ntpstats/loopstats.20120706 ./samba/log.samba ./user.log ./syslog ./univention/connector-s4-status.log ./univention/virtual-machine-manager-daemon-errors.log ./univention/virtual-machine-manager-daemon.log

apache2/error.log sagt wenig überraschend:

[Fri Jul 06 11:34:06 2012] [error] [client 192.168.12.100] PAM: user 'Administrator' - not authenticated: User not known to the underlying authentication module

user.log entsprechend:

Jul  6 11:34:03 projects apache2: pam_ldap: ldap_search_s No such object

syslog:

Jul 6 11:34:03 projects /USR/SBIN/CRON[843]: (root) CMD ( /usr/lib/univention-virtual-machine-manager-daemon/uvmmd-check.sh) Jul 6 11:34:03 projects apache2: pam_ldap: ldap_search_s No such object

Aber samba.log sieht einschlägig aus -

[2012/07/06 11:34:03, 2] ../source4/auth/sam.c:214(authsam_account_ok) sam_account_ok: Account for user 'Administrator@BE-TEAM.ORG' password expired!. [2012/07/06 11:34:03, 2] ../source4/auth/sam.c:216(authsam_account_ok) sam_account_ok: Password expired at 'Tue May 8 21:58:07 2012 CEST' unix time.

Hmm, habe ich eine Chance, wenn ich Ihren abschließenden Tipp aus diesem Thread ([url]Administrator Passwort zurücksetzen]) umsetze?

Mit besten Grüßen
Matthias Köper

Bingo,

so hat es geklappt: Tolerante Passwortrichtlinie einstellen, Passwort neu setzen, einen Augenblick auf die Replikation warten - und es geht.

Habe auf diesem Wege die Logfiles etwas kennengelernt…

Beste Grüße
Matthias Köper

Mastodon