Nagios anmeldung schlägt fehl

UCS - Univention Corporate Server
#21

Hallo Herr Ahrnke,

der Befehlt nc zeigt folgendes Ergebnis:
root@server:~# nc -v -z 127.0.0.1 88
nc: connect to 127.0.0.1 port 88 (tcp) failed: Connection refused

Hier die krb5.conf:

[color=#FF0000][libdefaults]
default_realm = ZUHAUSE.XX
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md4 des-cbc-md5 des3-cbc-sha1 arcfour-hmac-md5 aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md4 des3-cbc-sha1 aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
permitted_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md4 des-cbc-md5 des3-cbc-sha1 arcfour-hmac-md5 aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
krb4_get_tickets=no
allow_weak_crypto=true
dns_lookup_kdc = true
dns_lookup_realm = false
forwardable = true
proxiable = true
kdc_timesync = 1
debug = false
[realms]
ZUHAUSE.XX = {
acl_file = /var/lib/heimdal-kdc/kadmind.acl
kdc = 127.0.0.1
admin_server = server.zuhause.xx
kpasswd_server = 127.0.0.1
}

ZUHAUSE = {
kdc = 127.0.0.1
admin_server = server.zuhause.xx
default_domain = zuhause.xx
}

[kdc]
hdb-ldap-create-base = cn=kerberos,dc=zuhause,dc=xx
v4-realm = ZUHAUSE.XX

[kadmin]
v4-realm = ZUHAUSE.XX

database = {
label = {
acl_file = /var/lib/heimdal-kdc/kadmind.acl
dbname = ldap:dc=zuhause,dc=xx
realm = ZUHAUSE.XX

	log_file = /var/log/heimdal-database.log
	mkey_file = /var/heimdal/m-key
}

}[/color]

Viele Grüße
Stephan Thul

#22

Hallo,

damit wäre klar, warum kinit nicht geht (als kdc ist localhost definiert, da lauscht aber nichts). Das stand auch schon in einem früheren Post, ich habs aber nicht gesehen, sorry.

Im Normalfall horcht der Kerberos vom Samba auf Port 88 von allen IP-Adressen.
Ich kann mir aktuell nur 2 Situationen vorstellen, dass nur die IP(s) von ethx genommen werden:

  1. Zum Startzeitpunkt von samba war etwas anderes auf Port 88 aktiv.
    Zum Beispiel Heimdal. Das sollte sich ändern, wenn Samba mal neu gestartet wird.

  2. Eine Konfiguration verhindert, dass Samba auf localhost horcht.
    Originaldokumentation: Prevent Samba from listening on all interfaces.
    Umsetzung in UCS über UCR-Variablen:

# ucr search samba/interfaces samba/interfaces/bindonly: <empty> If this variable is set to 'yes', Samba only listens to requests on the network interfaces specified in the variable 'samba/interfaces'. If the variable is unset, Samba listens on all interfaces. samba/interfaces: <empty> If the variable 'samba/interfaces/bindonly' is set to 'yes', Samba only binds to the interfaces listed in this variable. Multiple entries need to be separated by blanks.

Viele Grüße,
Dirk Ahrnke

#23

Hallo Herr Ahrnke,

das war der entscheidende Tip. Jetzt funkitionierts.
Herzlichen Dank

VIele Grüße
Stephan Thul

#24

Hallo,

prima, aber was ist “das”? Nummer 1 oder Nummer 2?

Viele Grüße,
Dirk Ahrnke

#25

Hallo Ahrnke,

ich war etwas vorschnell.
Wenn ich beide Variablen auf ‘empty’ setze, klappt die Anmeldung an Nagios.
Allerdings musste ich feststellen, dass dann alle Samba-Freigaben / -Laufwerke nicht mehr zugreifbar sind.

Bei mir sind/waren die Variablen wie folgt definiert:
root@server:/etc/init.d# ucr search samba/interfaces
samba/interfaces/bindonly: yes
samba/interfaces: eth0

Die Sambafreigaben sind verfügbar, Nagiosanmeldung funktioniert jetzt wieder nicht.
Auch die Veränderung nur einer Variablen bringt keinen Erfolg.

Viele Grüße
Stephan Thul

#26

Hallo,

kerberos/kdc: 127.0.0.1 kerberos/kpasswdserver: 127.0.0.1

Änderungen an diesen Variablen auf die Adresse von eth0 würden natürlich dazu führen, dass die krb5.conf angepasst wird und “kinit” funktionieren würde. Ich überblicke allerdings im Moment nicht, welche Seiteneffekte dies hat.

Viele Grüße,
Dirk Ahrnke

#27

Wie setzt die Variablen auf ‘empty’?

#28

Hallo SirTux,

der Wert der Variablen in der UCR einfach löschen. Dann ist er leer.

Gruß
Stephan

#29

Demnach also über die UMC? Es gibt da ja schließlich mehrere denkbare Möglichkeiten:
[ul]
[li] eben über die UMC[/li]
[li] ucr unset var[/li]
[li] ucr set var=’’[/li]
[li] ucr set var=empty ;)[/li][/ul]

Die dritte könnte ja problematisch sein, weil es bei dir ja immer noch nicht funktioniert hat. Und die vierte erst :wink:

Ansonsten fällt mir auch noch ein möglicher Workaround ein (ungetestet!):

ucr set samba/interfaces='eth0 lo'
#30

Hallo Herr Ahrnke,

ich habe gerade nochmal nachgechaut.
Die Kerberos-Variablen /kdc und /kpasswdserver sind auf 127.0.0.1 gesetzt.
Dies ist wohl standardmäßig so, da ich diese Variablen nicht geändert habe.
Trotzdessen ist eine Anmeldung nicht möglich.

Hat jemand eine Idee ???

Gruß
Stephan

Mastodon