Keine Anmeldung über die Weboberfläche möglich - ssh geht

[Donauratte]

Schönen guten Abend

Jetzt habe ich wieder ein bißchen Zeit gefunden um mich um mein Proxmox Problem zu kümmern.

Der ssh-Zugriff (kitty) funktioniert so wie er soll. Ich kann überall hin, Updates etc laufen durch.

Der Webzugriff (192.168.1.250:8006) geht nicht. Die Oberfläche erscheint, die Anmeldung (root) wird mit "falsches Paßwort" veweigert.

Er ist bis zur 6er-Version eigentlich tadellos gelaufen, beim Upgrade auf eine 7er hat das begonnen und jetzt hat er die 8er, alles UpToDate und geht noch immer nicht. Während der 7er Zeit habe ich den Provider gewechselt und somit das Netz von 192.168.178.X auf 192.168.1.X umgestellt, hat nichts verbessert, aber auch nichts verschlechtert. Desweiteren habe ich einiges aus diesem Forum und dem Internet ausprobiert ...... keinerlei Änderungen.

Der Server steht bei mir zuhause und ist ein Übungs- bzw Weiterbildungsserver, darum würde ich gerne wissen, was das sein könnte. Irgendwelche Tips?

Danke
Franz

 

[waltar]

Schon mal über neues backup der vm+lxc mit /etc und dann einfach neu installieren und restore nachgedacht (dauert zB keine 1/2h, wenn man alles auf nfs-server hat) ?

 

[Donauratte]

Guten Abend

Danke, nur wie geht das?

 

[Donauratte]

Okay, sehe ich das jetzt richtig?

Folgende Ordner (VMs + deren Config) wegsichern:
/etc/pve
/var/lib/vz/images
..... dann drüberbügeln

 

[Hannes Laimer]

Hey,

hast du den richtigen realm ausgewählt?

 

[Donauratte]

Ja

 

[Hannes Laimer]

Kannst du dir journalctl -f beim Anmelden ansehen? Speziell pvedaemon sollte was zur Anmeldung sagen. Und gibt's irgendwas in der Browser Konsole?

 

[Donauratte]

Ausgabe von journalctl:

Jul 28 13:17:01 proxmox CRON[482581]: (root) CMD (cd / && run-parts --report /etc/cron.hourly)
Jul 28 13:17:01 proxmox CRON[482580]: pam_unix(cron:session): session closed for user root
Jul 28 13:42:45 proxmox sshd[486328]: Accepted password for root from 192.168.1.3 port 52669 ssh2
Jul 28 13:42:45 proxmox sshd[486328]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0)
Jul 28 13:42:45 proxmox systemd-logind[521]: New session 58 of user root.
Jul 28 13:42:45 proxmox sshd[486328]: pam_env(sshd:session): deprecated reading of user environment enabled
Jul 28 13:42:45 proxmox systemd[1]: Started session-58.scope - Session 58 of User root.
Jul 28 14:17:01 proxmox CRON[491305]: pam_unix(cron:session): session opened for user root(uid=0) by (uid=0)
Jul 28 14:17:01 proxmox CRON[491306]: (root) CMD (cd / && run-parts --report /etc/cron.hourly)
Jul 28 14:17:01 proxmox CRON[491305]: pam_unix(cron:session): session closed for user root


Keine Browseranmeldung = keine Browserkonsole

 

[Hannes Laimer]

Also ich meinte journalctl -f offen haben während du dich im Browser anmeldest.
Sowas wie

Jul 28 14:50:02 nana unix_chkpwd[165445]: password check failed for user (root)
Jul 28 14:50:02 nana IPCC.xs[20070]: pam_unix(proxmox-ve-auth:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=::ffff:192.168.16.16  user=root
Jul 28 14:50:04 nana pvedaemon[20070]: authentication failure; rhost=::ffff:192.168.16.16 user=root@pam msg=Authentication failure

oder

Jul 28 14:51:09 nana pvedaemon[20070]: <root@pam> successful auth for user 'root@pam'

solltest du da sehen.

Hast du 2FA für root@pam konfiguriert? Meldest du dich mit key oder passwort bei SSH an?

Was meinst du mit

Keine Browseranmeldung = keine Browserkonsole

? In Firefox ist es einfach F12, bin mir bei Chrome gerade nicht ganz sicher, aber glaube entweder F11 oder F12.

 

[Donauratte]

Da kommt das raus:

Jul 28 15:22:30 proxmox pveproxy[156782]: problem with client ::ffff:192.168.1.3; error:0A0000B9:SSL routines::no cipher match
Jul 28 15:22:30 proxmox pvedaemon[83652]: <root@pam> successful auth for user 'root@pam'
Jul 28 15:22:30 proxmox pveproxy[156782]: proxy detected vanished client connection

 

[Hannes Laimer]

Hmm, und in der Browser Konsole(also nicht die shell in PVE, die normale Browser-Konsole)? Irgendwelche Fehler/Warnungen? Und im Netzwerk-Tab (vom Browser, da wo auch die Konsole ist) sollte es einen POST request zu /api2/extjs/access/ticket beim Anmelden geben, ist der OK? Was kommt da als Antwort?

 

[Donauratte]

Da kommt nur das:

Starting Proxmox VE Manager pvemanagerlib.js:1456:9
downloadable font: Glyph bbox was incorrect (glyph ids 33 55 62 81 82 83 84 87 88 89 90 112 119 120 123 139 159 162 164 166 178 184 185 217 218 272 273 274 275 279 281 284 290 291 292 309 310 319 321 323 326 329 330 331 332 333 334 339 341 347 349 351 352 353 354 357 358 361 366 367 370 371 414 431 436 444 445 458 460 464 465 483 505 508 511 514 516 517 518 520 521 538 539 546 568 574 579 580 585 586 594 596 599 602 603 616 618 622 627 629 630 633 634 638 643 645 651 654 665 675 685 686 688 691) (font-family: "FontAwesome" style:normal weight:400 stretch:100 src index:1) source: https://192.168.1.250:8006/pve2/fa/fonts/fontawesome-webfont.woff2?v=4.7.0


Für mich unverständlich, ausgenommen die IP vom Proxmox



username=root&password=MeinPaßWD%3F&realm=pam&new-format=1

 

[Hannes Laimer]

Wenn du einen der zwei Requests anklickst sollte da mehr dazu stehen. Aber generell sollte das funktionieren, die Antwort, welche hier fehlt würde dann ca. so aussehen

status    "401"
success    0
message    "authentication failure\n"
data    null

jedenfalls würde es eine Antwort geben. Beim IP wechseln hast du sowohl /etc/network/interfaces als auch /etc/hosts angepasst, richtig? Hast du sowas wie einen Ad Blocker oder derartiges installiert? Hast du das gleiche Problem mit einem anderen Browser? Hast du sonst noch was am PVE gemacht, user scripts etc.?

 

[Donauratte]

Ja, interfaces, hosts und resolv.conf, kein Addblocker, alle Browser (Firefox, Chrome und Edge), nix g'macht (behauptens immer alle )


Wenn ich den anklicke, dann kommt das:

 

[Hannes Laimer]

Eher der Header, der request selbst und die response wäre interessant gewesen, also nicht "Aufrufliste" was anscheinend Standardmäßig ausgewählt. Hätte ich aber vermutlich erwähnen sollen. Nicht so wichtig.

Könntest du einfach mal mit curl den API Endpoint selbst aufrufen?

curl -X POST \
     -v \
     -k \
     https://192.168.1.250:8006/api2/json/access/ticket \
     -d "username=root&password=<PASSWORD>&realm=pam&new-format=1"

<PASSWORD> natürlich anpassen. Einfach vom gleiche PC auf von dem du dich versuchst anzumelden. Was kommt da als Antwort, oder gibt es schon vor dem eigentlichen request Errors/Warnungen?

Zu erwarten wäre ein JSON Objekt das sowas enthält

{
  "data": {
    ...
    "username": "root@pam",
    "CSRFPreventionToken": "...",
    "ticket": "PVE:root@pam:..."
  }
}

# bzw. falls auth nicht ok, glaube aber nicht das es daran liegt
{ "message": "authentication failure\n",  "data": null }

 

[Donauratte]

Da kommt ein

-bash <Password>: event not found
>

..... und anschließend:

* Trying 192.168.1.250:8006...
* Connected to 192.168.1.250 (192.168.1.250) port 8006 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN: server did not agree on a protocol. Uses default.
* Server certificate:
* subject: OU=PVE Cluster Node; O=Proxmox Virtual Environment; CN=proxmox.MyDomain.info
* start date: Jul 25 16:11:23 2025 GMT
* expire date: Jul 25 16:11:23 2027 GMT
* issuer: CN=Proxmox Virtual Environment; OU=4534147e-6711-4e32-908b-afc22cee1eae; O=PVE Cluster Manager CA
* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
* using HTTP/1.x
> POST /api2/json/access/ticket HTTP/1.1
> Host: 192.168.1.250:8006
> User-Agent: curl/7.88.1
> Accept: */*
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* Empty reply from server
* Closing connection 0
* TLSv1.3 (OUT), TLS alert, close notify (256):
curl: (52) Empty reply from server
root@proxmox:~#

 

[Hannes Laimer]

< und > waren Teil vom Platzhalten. Also <PASSWORD> muss weg, dein PW hin, alles nach dem = bis zum & wird als Passwort interpretiert. (Falls & im PW einfach url encoden)

 

[Donauratte]

Genauso habe ich es interpretiert, die < > sind Teil des Passwortes. Also = dann kommt das strenggeheime und dann & und es ist kein & im Passwort