Sporadisch kein Login mit 2FA

[Fischje]

Hallo Zusammen,

ich habe ein seltsames Verhalten, dass ich derzeit beobachte.

Ich habe 2FA eingerichtet und nutze das mit dem root-User übers WebUI. Kein Cluster, nur diese eine Node.

Immer mal wieder nach ein paar Tagen kann ich mich auf der Weboberfläche nicht mehr einloggen:


Zugriff mit root per SSH geht. Wo könnte ich mal gucken was das ist.

Nach einem Reboot geht das nämlich weg....

 

[Falk R.]

Kontrolliere mal die Uhrzeit.

 

[Fischje]

hmm


EDIT:
Login klappt auch schon nicht mehr am Passwort. Der 2. Screen für den 2FA Token ploppt jetzt schon nicht mehr auf.

EDIT2:

Das sagt das journal, bei 22:39:24 hatte ich nen login versuch. die anderen errors kommen, weil der pbs nicht permanent läuft....
Sperrt der mich deswegen aus?

 

[Falk R.]

Wenn du ein Storage herunterfährst solltest du den datastore vorher immer deaktivieren.
Da die MFA Token alle 30 Sekunden ablaufen und du mehr als 30 Sekunden Zeitunterschied hast, kann MFA auch nicht funktionieren.

 

[Fischje]

Oha, Abhilfe durch gleichen (oder eigenen) ntp?

 

[Falk R.]

Wenn du öffentliche NTP nutzt, muss es nicht der gleiche sein. Es muss aber funktionieren. Checke mal chrony auf dem Host und ob auf deinem Client NTP läuft.

 

[Fischje]

So nachdem ich mal alles, also opnsense, windows client und server auf den opnsense-ntp gestellt habe funktionierts. danke für den super Tipp @Falk R.

Es klappt immer noch nicht, aber ich habe im Journal diesen Eintrag beim einloggen gefunden:

Erst klappt der login, beim abfragen des 2FA dann diese meldung das die datei nicht gelesen werden kann....

 

[Fischje]

Musste 2FA erstmal wieder ausmachen....

 

[Fischje]

So, der Login klappt auch nicht ohne 2FA. Irgendwann nach ein paar Tagen ist ein Login mit "root" schon nicht mehr möglich. Zugriff per SSH geht dann ohne Probleme und nach eine reboot geht auch wieder das webinterface.

 

[Falk R.]

Da das kein reproduzierbares Verhalten ist, musst du mal die Logs durchforsten ob eventuell ein Dienst hängt oder etwas anderes. Du kannst ja per ssh drauf gehen und zuerst die Dienste kontrollieren.

 

[Fischje]

Puh, hast du eine Idee in welcher sinnvollen Reihenfolge ich da nach was suchen könnte?

 

[Falk R.]

Ja zuerst mal den pveproxy checken.

 

[Fischje]

Also pveproxy ist m.E. vollkommen unauffällig.
Auch im Jounal hab ich bishcer nichts gefunden. Seit ich auf die Beta gewechselt habe steht jetzt wenigstens am Fehler "Failed authorisation 401"

ich kenn mich mit dem logs durchsuchen noch nicht so aus, aber das gilt es leider immer noch zu finden. nur ein reboot über die console hilft mir da.

 

[DzTimo]

Hast du mal geprüft, ob /etc/pve/ noch zugreifbar ist, wenn das Problem auftritt? Wird das Problem, auch durch ein killall

pmxcfs && pmxcfs -l

behoben?