Nagios anmeldung schlägt fehl

StephanT · August 5, 2015, 5:12pm

Hallo Herr Ahrnke,

der Befehlt nc zeigt folgendes Ergebnis:
root@server:~# nc -v -z 127.0.0.1 88
nc: connect to 127.0.0.1 port 88 (tcp) failed: Connection refused

Hier die krb5.conf:

[color=#FF0000][libdefaults]
default_realm = ZUHAUSE.XX
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md4 des-cbc-md5 des3-cbc-sha1 arcfour-hmac-md5 aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md4 des3-cbc-sha1 aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
permitted_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md4 des-cbc-md5 des3-cbc-sha1 arcfour-hmac-md5 aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
krb4_get_tickets=no
allow_weak_crypto=true
dns_lookup_kdc = true
dns_lookup_realm = false
forwardable = true
proxiable = true
kdc_timesync = 1
debug = false
[realms]
ZUHAUSE.XX = {
acl_file = /var/lib/heimdal-kdc/kadmind.acl
kdc = 127.0.0.1
admin_server = server.zuhause.xx
kpasswd_server = 127.0.0.1
}

ZUHAUSE = {
kdc = 127.0.0.1
admin_server = server.zuhause.xx
default_domain = zuhause.xx
}

[kdc]
hdb-ldap-create-base = cn=kerberos,dc=zuhause,dc=xx
v4-realm = ZUHAUSE.XX

[kadmin]
v4-realm = ZUHAUSE.XX

database = {
label = {
acl_file = /var/lib/heimdal-kdc/kadmind.acl
dbname = ldap:dc=zuhause,dc=xx
realm = ZUHAUSE.XX

	log_file = /var/log/heimdal-database.log
	mkey_file = /var/heimdal/m-key
}

}[/color]

Viele Grüße
Stephan Thul

ahrnke · August 6, 2015, 1:25pm

Hallo,

damit wäre klar, warum kinit nicht geht (als kdc ist localhost definiert, da lauscht aber nichts). Das stand auch schon in einem früheren Post, ich habs aber nicht gesehen, sorry.

Im Normalfall horcht der Kerberos vom Samba auf Port 88 von allen IP-Adressen.
Ich kann mir aktuell nur 2 Situationen vorstellen, dass nur die IP(s) von ethx genommen werden:

Zum Startzeitpunkt von samba war etwas anderes auf Port 88 aktiv.
Zum Beispiel Heimdal. Das sollte sich ändern, wenn Samba mal neu gestartet wird.
Eine Konfiguration verhindert, dass Samba auf localhost horcht.
Originaldokumentation: Prevent Samba from listening on all interfaces.
Umsetzung in UCS über UCR-Variablen:

# ucr search samba/interfaces samba/interfaces/bindonly: <empty> If this variable is set to 'yes', Samba only listens to requests on the network interfaces specified in the variable 'samba/interfaces'. If the variable is unset, Samba listens on all interfaces. samba/interfaces: <empty> If the variable 'samba/interfaces/bindonly' is set to 'yes', Samba only binds to the interfaces listed in this variable. Multiple entries need to be separated by blanks.

Viele Grüße,
Dirk Ahrnke

StephanT · August 6, 2015, 4:08pm

Hallo Herr Ahrnke,

das war der entscheidende Tip. Jetzt funkitionierts.
Herzlichen Dank

VIele Grüße
Stephan Thul

ahrnke · August 6, 2015, 4:19pm

Hallo,

prima, aber was ist “das”? Nummer 1 oder Nummer 2?

Viele Grüße,
Dirk Ahrnke

StephanT · August 7, 2015, 1:09pm

Hallo Ahrnke,

ich war etwas vorschnell.
Wenn ich beide Variablen auf ‘empty’ setze, klappt die Anmeldung an Nagios.
Allerdings musste ich feststellen, dass dann alle Samba-Freigaben / -Laufwerke nicht mehr zugreifbar sind.

Bei mir sind/waren die Variablen wie folgt definiert:
root@server:/etc/init.d# ucr search samba/interfaces
samba/interfaces/bindonly: yes
samba/interfaces: eth0

Die Sambafreigaben sind verfügbar, Nagiosanmeldung funktioniert jetzt wieder nicht.
Auch die Veränderung nur einer Variablen bringt keinen Erfolg.

Viele Grüße
Stephan Thul

ahrnke · August 7, 2015, 1:15pm

Hallo,

kerberos/kdc: 127.0.0.1 kerberos/kpasswdserver: 127.0.0.1

Änderungen an diesen Variablen auf die Adresse von eth0 würden natürlich dazu führen, dass die krb5.conf angepasst wird und “kinit” funktionieren würde. Ich überblicke allerdings im Moment nicht, welche Seiteneffekte dies hat.

Viele Grüße,
Dirk Ahrnke

SirTux · August 7, 2015, 1:17pm

Wie setzt die Variablen auf ‘empty’?

StephanT · August 8, 2015, 9:45am

Hallo SirTux,

der Wert der Variablen in der UCR einfach löschen. Dann ist er leer.

Gruß
Stephan

SirTux · August 8, 2015, 10:00am

Demnach also über die UMC? Es gibt da ja schließlich mehrere denkbare Möglichkeiten:
[ul]
[li] eben über die UMC[/li]
[li] ucr unset var[/li]
[li] ucr set var=’’[/li]
[li] ucr set var=empty ;)[/li][/ul]

Die dritte könnte ja problematisch sein, weil es bei dir ja immer noch nicht funktioniert hat. Und die vierte erst

Ansonsten fällt mir auch noch ein möglicher Workaround ein (ungetestet!):

ucr set samba/interfaces='eth0 lo'

StephanT · August 10, 2015, 7:24pm

Hallo Herr Ahrnke,

ich habe gerade nochmal nachgechaut.
Die Kerberos-Variablen /kdc und /kpasswdserver sind auf 127.0.0.1 gesetzt.
Dies ist wohl standardmäßig so, da ich diese Variablen nicht geändert habe.
Trotzdessen ist eine Anmeldung nicht möglich.

Hat jemand eine Idee ???

Gruß
Stephan