Univention Bugzilla – Bug 30973
Administrator kann sich nicht auf Nagios-Webseite einloggen nach Installation
Last modified: 2022-06-27 17:48:58 CEST
+++ This bug was initially created as a clone of Bug #23863 +++ Ein MS2-UCS-3.0-Master wurde installiert ohne univention-nagios-server. Nachdem das Paket manuell nachinstalliert wurde, konnte sich Administrator nicht auf der Nagios-Webseite anmelden. Die UCR-Variablen scheinen korrekt gesetzt: ==================== root@master:~# ucr search nagios auth/nagios/accessfile: <empty> auth/nagios/group/Domain Admins: yes auth/nagios/restrict: yes auth/nagios/user/Administrator: yes directory/manager/web/modules/nagios/service/search/default: name nagios/client/allowedhosts: <empty> nagios/client/autoregister: <empty> nagios/client/autostart: yes nagios/client/checkraid: no nagios/common/defaultservices/autocreate: yes nagios/plugin/check_nrpe/timeout: 10 nagios/server/authenticate: yes nagios/server/autostart: yes nagios/server/checkexternalcmd: no nagios/server/hostcheck/enable: yes nagios/server/hostcheck/notificationinterval: 180 nagios/server/refreshrate: 90 nagios/server/theme: nuvola nagios/server/user/allcmd: * nagios/server/user/allinfo: * nagios/server/user/configinfo: * nagios/server/user/systemcmd: * nagios/server/user/systeminfo: * security/services/nagios: <empty> ==================== Auch nach Nagios-Neustart keine Veränderung. Apaches Error-Log sagt folgendes: [Thu Sep 29 12:26:25 2011] [error] [client 192.168.0.81] PAM: user 'Administrator' - not authenticated: Authentication service cannot retrieve authentication info, referer: http://10.200.26.32/ucs-overview/de.html Gute Tag Wir haben das selbe Problem auf einem DC-Backup UCS3.1-1 wurde nchträglich Nagios3 installiert. Die UCR Variable "nameserver1" stand auf 127.0.0.1 dann konnte sich Administrator nicht beim Nagios3 htaccess anmelden. Apr 4 11:10:38 server-dc-backup CRON[10936]: pam_unix(cron:session): session closed for user root Apr 4 11:10:41 server-dc-backup unix_chkpwd[11069]: check pass; user unknown Apr 4 11:10:41 server-dc-backup unix_chkpwd[11069]: password check failed for user (Administrator) Apr 4 11:10:41 server-dc-backup apache2: pam_unix(nagios:auth): authentication failure; logname= uid=33 euid=33 tty= ruser= rhost=222.222.222.222 user=Administrator Apr 4 11:10:41 server-dc-backup apache2: pam_krb5(nagios:auth): authentication failure; logname=Administrator uid=33 euid=33 tty= ruser= rhost=222.222.222.222 ==> apache2/error.log <== [Thu Apr 04 11:10:43 2013] [error] [client 222.222.222.222] PAM: user 'Administrator' - not authenticated: Authentication service cannot retrieve authentication info Sobald man die UCR Variable "nameserver1" angepasst hat auf die IP Adresse des DC-Masters funktionierte das Anmelden. Wo liegt hier das Problem, wieso sollte man nicht den lokal laufenden bind verwenden? Nachtrag, auf dem DC-Backup läuft Samba4 und deswegen ist der Heimdal-KDC deaktiviert. kerberos/autostart=no Auf dem DC-Master läuft der Heimdal-KDC. Hat das einen Einfluss? Freundliche Grüsse RolandB
(In reply to comment #0) > Wo liegt hier das Problem, wieso sollte man nicht den lokal laufenden bind > verwenden? > > Nachtrag, auf dem DC-Backup läuft Samba4 und deswegen ist der Heimdal-KDC > deaktiviert. > kerberos/autostart=no > > Auf dem DC-Master läuft der Heimdal-KDC. > > Hat das einen Einfluss? Ja, daran kann es liegen. kerberos/autostart=no auf dem Backup ist richtig. Funktioniert "kinit Administrator" auf Master und Backup? Vielleicht sollte auf dem Backup noch sichergestellt werden, dass der lokale KDC verwendet wird: Bug #29291
(In reply to comment #1) > (In reply to comment #0) > > Wo liegt hier das Problem, wieso sollte man nicht den lokal laufenden bind > > verwenden? > > > > Nachtrag, auf dem DC-Backup läuft Samba4 und deswegen ist der Heimdal-KDC > > deaktiviert. > > kerberos/autostart=no > > > > Auf dem DC-Master läuft der Heimdal-KDC. > > > > Hat das einen Einfluss? > > Ja, daran kann es liegen. > > kerberos/autostart=no auf dem Backup ist richtig. > > Funktioniert "kinit Administrator" auf Master und Backup? > > Vielleicht sollte auf dem Backup noch sichergestellt werden, dass der lokale > KDC verwendet wird: Bug #29291 Das versteh ich nun aber nicht, der Installations Prozess von Samba4 deaktiviert den lokal laufenden heimdal-KDC mit kerberos/autostart=no DC-Backup netstat -tulpn | grep :88 tcp 0 0 0.0.0.0:88 0.0.0.0:* LISTEN 27518/samba tcp6 0 0 :::88 :::* LISTEN 27518/samba udp 0 0 10.9.4.11:88 0.0.0.0:* 27518/samba udp 0 0 192.168.255.11:88 0.0.0.0:* 27518/samba udp 0 0 0.0.0.0:88 0.0.0.0:* 27518/samba udp6 0 0 fe80::4e4:34ff:fe00::88 :::* 27518/samba udp6 0 0 fe80::4e4:34ff:fe00::88 :::* 27518/samba udp6 0 0 :::88 :::* 27518/samba DC-Master netstat -tulpn | grep :88 tcp 0 0 192.168.255.10:88 0.0.0.0:* LISTEN 19052/kdc tcp 0 0 10.9.4.10:88 0.0.0.0:* LISTEN 19052/kdc tcp 0 0 127.0.0.1:88 0.0.0.0:* LISTEN 19052/kdc tcp6 0 0 ::1:88 :::* LISTEN 19052/kdc udp 0 0 192.168.255.10:88 0.0.0.0:* 19052/kdc udp 0 0 10.9.4.10:88 0.0.0.0:* 19052/kdc udp 0 0 127.0.0.1:88 0.0.0.0:* 19052/kdc udp6 0 0 ::1:88 :::* 19052/kdc Hier sieht man dass samba4 den kerberos Dienst selber bereitstellt. im Bug #29291 wird aber dann wieder verwiesen, dass man den Heimdal-KDC auf localhost aktivieren soll? Warum funktioniert nach der nameserver1 Umstellung dann plötzlich die auth. bei Nagios-HTACCESS? Gibt es unterschiedliche SRV Records für kerberos oder was hat das hier für einen Einfluss? Grüsse RolandB
(In reply to comment #2) > > Vielleicht sollte auf dem Backup noch sichergestellt werden, dass der lokale > > KDC verwendet wird: Bug #29291 > > Das versteh ich nun aber nicht, der Installations Prozess von Samba4 > deaktiviert den lokal laufenden heimdal-KDC mit kerberos/autostart=no Genau, Samba 4 deaktiviert Heimdal-KDC und liefert selbst einen KDC. In Bug #29291 geht es darum, dass bei einem kinit auf einem Samba 4 DC nicht immer der lokale KDC verwendet wird, sondern eine SRV-Record Auflösung per DNS. Somit wird vielleicht nicht der lokale KDC verwendet, sondern ein anderer. [..] > im Bug #29291 wird aber dann wieder verwiesen, dass man den Heimdal-KDC auf > localhost aktivieren soll? Nein.
(In reply to comment #3) > (In reply to comment #2) > > > Vielleicht sollte auf dem Backup noch sichergestellt werden, dass der lokale > > > KDC verwendet wird: Bug #29291 > > > > Das versteh ich nun aber nicht, der Installations Prozess von Samba4 > > deaktiviert den lokal laufenden heimdal-KDC mit kerberos/autostart=no > > Genau, Samba 4 deaktiviert Heimdal-KDC und liefert selbst einen KDC. In Bug > #29291 geht es darum, dass bei einem kinit auf einem Samba 4 DC nicht immer der > lokale KDC verwendet wird, sondern eine SRV-Record Auflösung per DNS. Somit > wird vielleicht nicht der lokale KDC verwendet, sondern ein anderer. Das habe ich mittlerweile auch verstanden, dazu habe ich im Forum einen Eintrag eröffnet. Weil der DNS-Server auf dem Samba4-Server nicht mehr die selben Einträge hat wie die "normalen" Univention-DNS-Server. Deswegen wurde kein Kerberos SRV Records mehr gefunden und die Nagios Auth. hatte nicht mehr funktioniert. http://forum.univention.de/viewtopic.php?f=48&t=2539 Das Problem liegt hier beim Samba4-DNS, warum sind die Einträge nicht mehr identisch und wie kann man einen "resync" eines Samba4-DNS forcieren? Weswegen gibt es keine DNS Kerbereos SRV Einträge für Samba4 Server? Freundliche Grüsse RolandB
This issue has been filed against UCS 3. UCS 3 is out of the normal maintenance and many UCS components have vastly changed in UCS 4. If this issue is still valid, please change the version to a newer UCS version otherwise this issue will be automatically closed in the next weeks.
This issue has been filed against UCS 3.1. UCS 3.1 is out of maintenance and many UCS components have vastly changed in later releases. Thus, this issue is now being closed. If this issue still occurs in newer UCS versions, please use "Clone this bug" or reopen this issue. In this case please provide detailed information on how this issue is affecting you.