Upgrade auf 13.2 -> LDAP/Kerberos Nutzer unbekannt

      Upgrade auf 13.2 -> LDAP/Kerberos Nutzer unbekannt

      Liebe Teilnehmende diese Forums.

      Ich hatte nach dem Upgrade von 12.3 auf 13.1 und habe auch bei einem Upgrade von 12.3 auf 13.2 unter anderem folgendes Problem [nachdem über mehrere openSuSE-Version die Upgrades immer diesbezüglich glatt liefen]: LDAP/Kerberos-Nutzer können sich nicht mehr anmelden [weder per Konsole, noch per ssh]. Ein Anmeldeversuch liefert bspw. folgendes LOG:

      Quellcode

      1. sshd[12003]: Invalid user XXX.YYY.ZZZ.UUU from ...
      2. sshd[12003]: input_userauth_request: invalid user bc0-d01 [preauth]
      3. sshd[12005]: gkr-pam: error looking up user information
      4. sshd[12003]: Postponed keyboard-interactive for invalid user bc0-d01 from XXX.YYY.ZZZ.UUU port 46966 ssh2 [preauth]
      5. sshd[12005]: pam_krb5[12005]: error resolving user name 'bc0-d01' to uid/gid pair
      6. sshd[12005]: pam_krb5[12005]: error getting information about 'bc0-d01'
      7. sshd[12003]: error: PAM: Authentication failure for illegal user bc0-d01 from XXX.YYY.ZZZ.UUU
      8. sshd[12003]: Failed keyboard-interactive/pam for invalid user bc0-d01 from XXX.YYY.ZZZ.UUU port 46966 ssh2
      9. sshd[12006]: gkr-pam: error looking up user information
      10. sshd[12003]: Postponed keyboard-interactive for invalid user bc0-d01 from XXX.YYY.ZZZ.UUU port 46966 ssh2 [preauth]
      11. sshd[12003]: Connection closed by XXX.YYY.ZZZ.UUU [preauth]


      Es wird noch kein sssd verwendet. Vielemehr läuft der Anmeldevorgang über nsswitch.conf, und pam-Module, soweit ich das verstanden habe.
      Ich poste erstmal keine weiteren Config-Dateien [da diese sich nicht verändert haben].

      Im Vergleich zu einem 12.3-Client [Client ohne Upgrade] liefern auf dem 13.2-Client

      Quellcode

      1. getent passwd
      2. getent shadow


      keine Ausgaben mehr für LDAP/Kerberos-Nutzer [sondern nur noch für lokale Benutzer und NIS-Nutzer].

      Nach mehreren Monaten habe ich jetzt folgenden "Workaround" gefunden: Wenn ich die passwd-Informationen lokal auf dem 13.2 Client in der /etc/passwd ablege, dann ist der Nutzer [logischerweise] nicht mehr unbekannt; außerdem funktioniert die Anmeldung dann. Das ist aber natürlich nicht, was ich eigentlich will [insbesondere, da eine sehr große Menge Nutzer via LDAP/Kerberos Zugang haben]. Es könnte aber bei der Fehlersuche helfen, hoffe ich.

      Was ich daran insbesondere überhaupt nciht verstehe: ich lege ja nur die passwd-Informationen lokal ab. Die shadow-Informationen liegen lokal ja dennoch nicht [mehr] vor [s. oben: getent shadow]. Trotzdem funktioniert die Anmeldung dann.

      Vermutlich verstehen viele hier vom Anmeldeprozeß mehr als ich (Ich bin über mehrere Wochen auch mit Suche im Netz nicht viel weitergekomen.).
      Über Antworten, Rückfragen und insbesondere Ideen würde ich mich freuen :)

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von „bommel“ ()