Nagios anmeldung schlägt fehl

UCS - Univention Corporate Server
1

Hallo,

seit neuestem funktioniert die Anmeldung an der nagios Webkonsole nicht mehr. Der Administrator account funktioniert problemlos in der ucs Verwaltungsoberfläche, aber nicht beim web server auth.

Nun schaute ich mal in die configfiles:

/etc/apache2/conf.d/nagios3.conf:

...
	#AuthPAM_Enabled on
	#AuthPAM_Service nagios
	#AuthName "Nagios Access"
	#AuthType Basic
	#require valid-user 
...

Sieht aus als gäbe es gar kein backend für den apache. Im template ist dagegen folgendes zu finden:

if baseConfig.has_key('nagios/server/authenticate') and baseConfig['nagios/server/authenticate'] == 'yes':
         print'	AuthPAM_Enabled on'
	print'	AuthPAM_Service nagios'
	print'	AuthName "Nagios Access"'
	print'	AuthType Basic'
	print'	require valid-user'

Ein ucr get nagios/server/authenticate liefert

yes

Nun ist die Frage: Ist das auskommentieren normal? Wie bekomme ich eine funktionierenden nagios account?

viele Grüße,
Daniel

2

Hallo,

Nein, dass der Auth-Block auskommentiert ist, ist nicht normal. Da der entsprechende Abschnitt im Template okay aussieht, wird vermutlich ein Neu-Committen der Datei und ein Reload der apache-Konfiguration die Sache wieder geradebiegen:

ucr commit /etc/nagios3/apache2.conf && service apache2 reload

Hinweis: /etc/apache2/conf.d/nagios3.conf ist ein Symlink auf /etc/nagios3/apache2.conf

Schönen Gruß,
Michael Grandjean

3

Hallo,

nun sind zumindest die Zeilen wieder aktiv. Allerdings geht die Anmeldung immer noch nicht. Nun kommt im error log vom apache ein pam Fehler:

PAM: user 'Administrator' - not authenticated: Authentication service cannot retrieve authentication info, referer:

Hier ist ein ganz böses Ei drin. Das letzte was an diesem Server getan wurde, war ein großes Update auf 4.0. Ich denke hier wird nicht alles korrekt aktualisiert.

Ich habe ein “ucr commit” ausgeführt um alles neu zu lesen.

/etc/pam.d/nagios:

[code]@include common-auth
account required pam_access.so accessfile=/etc/security/access-nagios.conf listsep=, maxent=0x400001

@include common-account
@include common-session
@include common-password
[/code]

/etc/security/access-nagios.conf:

+:Administrator,Domain Admins:ALL -:ALL:ALL

Nun bin ich ein wenig ratlos.

viele Grüße,
Daniel

4

mittlerweile scheint es jemanden mit demselben Problem zu geben: HTACCESS und PAM - broken nach Update
Bei mir schaut es im auth.log haargenauso aus.

5

[quote=“twinkie”]mittlerweile scheint es jemanden mit demselben Problem zu geben: HTACCESS und PAM - broken nach Update
Bei mir schaut es im auth.log haargenauso aus.[/quote]

Ich habe im genannten Thread gerade eine Vermutung geäußert. Können Sie das bitte auch mal prüfen?

Viele Grüße,
Dirk Ahrnke

6

Hallo,

die Einstellungen und Berechtigungen sehen alle genauso aus.
Kleiner funfact am Rande: mit dem Administrator kann ich mich erfolgreich per ssh oder an der UCS Management Konsole anmelden. Nur am Nagios nicht.
Die Pam scheint also grundsätzlich in der Lage zu sein den Account zu behandeln. Nur nicht über den apache und pam.d/nagios.

Gruß,
Daniel

7

Hallo,

in dem anderen Thread terminiert die Authentifizierung beim Kerberos. Man sollte durchaus mal prüfen, ob ein “kinit Administrator” funktioniert.

Ansonsten kann man an die in Frage kommenden “auth”-Zeilen in /etc/pam.d/common-auth mal ein “debug” hängen und sieht dann etwas mehr in auth.log.

Viele Grüße,
Dirk Ahrnke

8

Schau dir mal das noch an

9

Der Kerberos Dienst war der entscheidende Hinweis! Nun funktioniert es wieder. Das debug in der pam zeigte einen nicht erreichbaren kdc.

[server] ~ #  /etc/init.d/heimdal-kdc restart
kdc-kpasswdd disabled by ucr var kerberos/autostart=no
[server] ~ # ucr set kerberos/autostart=yes
Setting kerberos/autostart
[server] ~ #  /etc/init.d/heimdal-kdc start
Starting Heimdal KDC: heimdal-kdc.
Starting Heimdal password server: kpasswdd.

Problem gelöst.

Warum nun allerdings der autostart auf “no” gesetzt war ist mir ein Rätsel. Man kann nur hoffen das nicht noch andere Dienste verstellt sind.

Großen Dank für die Hilfe!

Gruß,
Daniel

10

Hallo,

es ist an dieser Stelle anzumerken, dass “kerberos/autostart=no” bei Systemen, auf denen Samba 4 installiert ist, absichtlich gesetzt wird. Dort wird der Kerberos-Dienst durch Samba selbst bereitgestellt. Wenn man zusätzlich den Heimdal-KDC einschaltet, wird es Probleme geben.

Viele Grüße,
Dirk Ahrnke

11

Hallo,
ich hatte das selbe Problem: Anmeldung an Nagios nicht möglich.
Mit der geänderten Autostart-Einstellung funktioniert’s jetzt.

Gruß
Stephan

12

Hallo,

nachdem ich mit mit der Änderung bei Nagios anmelden kann, ist eine Anmeldung als Nutzer in der Domäne nicht mehr möglich.
Nachdem ich die Autostart-Funtkion wieder ausgeschaltet habe, ist eine Domänenanmeldung möglich, aber eine Nagios-Anmeldung nicht mehr.

Hat jemand hierzu einen Tipp, wie man beide Anmeldungen ermöglichen kann.

Viele Grüße
Stephan

13

Hallo StephanT,

wie bereits von mir angemerkt, ist die Deaktivierung des Heimdal-Kerberos bei einer Umgebung mit Samba4 durchaus beabsichtigt.
Sollte bei Ihnen die Nagios-Anmeldung ebenfalls an der Kerberos-Authentifizierung scheitern - was zunächst anhand der Logs geprüft werden müsste - sollte man wie beschrieben mit den Kerberos-Tools (z.B. kinit) testen, ob sich das Problem eingrenzen lässt.
Es gibt hier auch Querverweise zu anderen Threads die hilfreich sein könnten.

Viele Grüße,
Dirk Ahrnke

14

Hallo Herr Ahrnke,

leider kenne ich mich Kerberos und allem was dazu gehört nicht so gut aus.
Der Aufruf kinit ergibt folgende Ausgabe:

                         kinit: krb5_get_init_creds: unable to reach any KDC in realm ZUHAUSE.XX

Es scheint mir, als ist der KDC nicht erreichbarin meiner Domäne.
Wie kann man dieses Problem beheben?

Viele Grüße
Stephan

15

Hallo,

bevor wir nach dem Kerberos schauen, sollten wir uns überzeugen, dass die Anmeldeprobleme wirklich dort ihre Ursache haben. Das sollte man z.B. in /var/log/auth.log sehen.

Bzgl. Kerberos müssen wir wissen, ob auf Ihrem System Samba 4 (Active Directory-kompatibler Domänencontroller) installiert ist. Das sähe dann so aus:

root@m:~# ucr get kerberos/autostart
no
root@m:~# netstat -tulpen | grep :88
tcp        0      0 0.0.0.0:88              0.0.0.0:*               LISTEN      0          9499191     17597/samba     
tcp6       0      0 :::88                   :::*                    LISTEN      0          9499183     17597/samba     
udp        0      0 172.25.3.1:88        0.0.0.0:*                              0          9499198     17597/samba     
udp        0      0 0.0.0.0:88              0.0.0.0:*                           0          9499192     17597/samba     
udp6       0      0 :::88                   :::*                                0          9499184     17597/samba

Ohne Samba, dafür mit Heimdal:

root@d:~# ucr get kerberos/autostart yes root@d:~# netstat -tulpen | grep :88 tcp 0 0 172.25.2.1:88 0.0.0.0:* LISTEN 0 12300 2771/kdc tcp 0 0 127.0.0.1:88 0.0.0.0:* LISTEN 0 12299 2771/kdc tcp6 0 0 ::1:88 :::* LISTEN 0 12296 2771/kdc udp 0 0 172.25.2.1:88 0.0.0.0:* 0 12298 2771/kdc udp 0 0 127.0.0.1:88 0.0.0.0:* 0 12297 2771/kdc udp6 0 0 ::1:88 :::* 0 12295 2771/kdc

Viele Grüße,
Dirk Ahrnke

16

Hallo Herr Ahrnke,

auf dem System ist Samba 4 installiert:
root@server:/var/log# ucr get kerberos/autostart
no
root@server:/var/log# netstat -tulpen | grep :88
tcp 0 0 192.168.1.10:88 0.0.0.0:* LISTEN 0 402079 24465/samba
udp 0 0 192.168.1.10:88 0.0.0.0:* 0 402080 24465/samba

Eine versuchte Anmeldung an Nagios ergibt in /var/log/auth.log folgende Meldungen:

Aug 3 15:42:08 server php-mapi[6250]: pam_unix(nagios:auth): authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=192.168.1.32 user=Administrator
Aug 3 15:42:08 server php-mapi[6250]: pam_krb5(nagios:auth): authentication failure; logname=Administrator uid=33 euid=33 tty= ruser= rhost=192.168.1.32

Helfen diese Infos weiter?

Viele Grüße
Stephan Thul

17

Hallo,

bei Ihnen:

Aug 3 15:42:08 server php-mapi[6250]: pam_unix(nagios:auth): authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=192.168.1.32 user=Administrator Aug 3 15:42:08 server php-mapi[6250]: pam_krb5(nagios:auth): authentication failure; logname=Administrator uid=33 euid=33 tty= ruser= rhost=192.168.1.32
in HTACCESS und PAM - broken nach Update:

Jan 27 19:46:17 home apache2: pam_unix(login:auth): authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=178.83.193.96 user=Administrator Jan 27 19:46:17 home apache2: pam_krb5(login:auth): authentication failure; logname=Administrator uid=33 euid=33 tty= ruser= rhost=178.83.193.96

Ich frag mich gerade, was die PHP-Mapi von Zarafa in diesem Kontext zu suchen hat.
Leider habe ich gerade keine derartige Konfiguration zur Hand.

Vielleicht liest ja jemand mit, der Zarafa+S4+Nagios erfolgreich auf einem System betreibt und Informationen beisteuern kann.

Viele Grüße,
Dirk Ahrnke

18

Noch ein Nachtrag zum Kerberos:

Mit “samba-tool domain info ip-des-servers” sieht man die konfigurierte AD-Domain. Diese sollte m.E. in der UCRV kerberos/realm als auch letztendlich in /etc/krb5.conf auftauchen. In letzterer ist der KDC angegeben. Bei meiner Umgebung zu Hause zeigt es “kdc = 127.0.0.1”. Wenn ich mich recht erinnere, wird bei “kinit Administrator” (also ohne Angabe des Kerberos-Realms der default_realm aus /etc/krb5.conf benutzt.

19

Hallo Herr Ahrnke,

die Konfigurationsdatei sind wie von Ihnen beschrieben ok.

Der Aufruf “kinit Administrator” ergibt, dass kein KDC gefunden wird:

root@server:~# kinit Administrator
Administrator@ZUHAUSE.XX’s Password:
kinit: krb5_get_init_creds: unable to reach any KDC in realm ZUHAUSE.XX

Sind evtl. irgendwelche Konfigurationsdateien anzupassen?

Gruß
Stephan Thul

20

Hallo,

können Sie bitte mal Ihre krb5.conf posten, meinetwegen mit geändertem Realm?
Und mal folgendes probieren (angenommen, als kdc ist 127.0.0.1 angegeben):

# nc -v -z 127.0.0.1 88 Connection to 127.0.0.1 88 port [tcp/kerberos] succeeded!
“nc” muß ggf. installiiert werden.

Viele Grüße,
Dirk Ahrnke