[gelöst] PVE 6 - VM Konsole auf anderem Node quitiert mit "Authentication failed"

Was meinst du mit konkretem Aufruf? Von dem SSH-Befehl oben? Das ist der konkrete Aufruf, den ich getestet habe, die Ausgabe davon ist leer.
 
mit dem richtigen nodenamen + ip... (die kann auch anonymisiert sein)
aber wenn da nichts kommt (auch in die gegenrichtung) dann mal bitte vor dem /bin/true ein -vvv dranhängen
und der tasklog vom vnc aufruf wäre noch gut
 
sorry für die späte antwort...

das einzige was mir noch aufgefallen ist sind ist das 'agent-forwarding'

wie wurde denn das ssh versucht ? via ssh auf dem node zu dem anderen node? wenn ja, mal bitte über das webinterface machen (node -> shell)
 
Meinst du mit Tasklog das Ding unten im Browser? Das wäre das hier:
ja wenn man dort auf einen task doppelklick, kommt das log dazu

hier wäre ein fehlschlagender interessant...
 
eine frage, funktioniert es wenn du dich direkt einloggst auf der node wo die vm ist?
auch : wie sieht denn die vm config aus? (qm config ID)
 
Die Konsole klappt immer dann, wenn ich sie vom selben Node aufrufe, auf dem auch die VM (aktuell) liegt. Bewege ich die VM auf einen anderen Node, bekomme ich beim Versuch die Konsole zu öffnen wieder den Authentication-Fehler. Wechsle ich dann mit dem Browser auf den Node, wo die VM hinverschoben wurde, geht es wieder.

Config:
Code:
bootdisk: scsi0
cores: 3
memory: 2048
name: test2
net0: virtio=C6:BA:36:A0:C9:32,bridge=vmbr0,firewall=1
numa: 0
ostype: l26
scsi0: ceph-default:vm-104-disk-0,size=60G
scsihw: virtio-scsi-pci
smbios1: uuid=39b76d2d-6ad3-48ca-b6b2-a8413a6392f3
sockets: 2
vmgenid: 155c6393-e2d5-438d-8a67-9d319da6a1f3
 
gleiche pve version auf allen nodes? ansonsten fällt mir nichts mehr ein...
 
Ja.

Das ist... doof, mir nämlich auch nicht. Kann man noVNC irgendwie dazu bewegen, mehr Details über seine Fehler auszuspucken?
 
ok eine sache ist mir noch eingefallen.. irgendwelche besonderen konfigurationen in der ssh_config oder sshd_config ?
(vielleicht am besten von 2 hosts mal posten)
 
Ich komme gerade (von unterwegs) nicht auf die Maschine drauf, habe da aber einen Verdacht. Wir verwenden ein Ansible-Playbook für SSH-Hardening - welches massiv in die sshd_config eingreift. Da hätte ich selbts drauf kommen müssen, dass das an der Stelle knirschen kann. Allerdings ist die Frage: Was ist denn nun der tatsächliche Befehl, der für die noVNC-Verbindung genutzt wird? Oder wird der noVNC-Port über SSH getunnelt?
 
Gibt es dazu irgendeine Dokumentation oder so, oder einen Tip auf die Stelle im Quelltext, wo ich herausfinden kann, welche?
 
Guten Abend,

danke für den Hinweis. Nach einer langen, langen Suche hab ich es endlich gefunden.

Unsere Server werden mit ansible konfiguriert. Darüber wird u.A. die SSH-Verbindung mittels der Rolle dev-sec.ssh-hardening abgesichert. Dadurch wurde tatsächlich die Variable nicht mehr übertragen - und sogar an zwei Stellen gefiltert: In der /etc/ssh/ssh_config (Client-Konfiguration) muss einmal SendEnv entsprechend gesetzt sein, zum Anderen aber eben auch das Pendant in der /etc/ssh/sshd_config (Server-Konfiguration). Das war, als ich das vorhin entdeckt habe, ein echt schöner Kopf->Tisch-Moment...

Danke für die Geduld und die Hilfe!

Viele Grüße
Matthias Lohr
 
  • Like
Reactions: ph0x
Danke für die Fehlerlösung. Auf dem Server muss in der /etc/ssh/sshd_config folgendes stehen:

Code:
AcceptEnv LC_PVE_TICKET

Das kann man auch in eine Match-Section setzen und somit nur für bestimmte Verbindungen erlauben. Damit ist das Thema erledigt.
 
Herr Jesus, endlich habe ich eine Lösung für dieses Problem gefunden.
Auch ich nutze die ssh-hardening Rolle und bin schon fast verrückt geworden.
Danke, danke, danke @mlohr!
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!