Nach Update: Authentication failed: not enough privileges bei CARP



  • Hallo lieber Forumsleser,

    nach dem Update meiner beiden pfSense von 2.3.4 zu 2.4.3 funktioniert der Sync zwischen den beiden Systemen nicht mehr und wird auf der primären pfSense mit "Exception calling XMLRPC method host_firmware_version #-2 : Authentication failed: not enough privileges" kommentiert.

    Google brachte mir dabei bisher nichts weiter ein als das es ein Privileg gibt, welches aber anscheinend standardmäßig alle admins haben. Eine Prüfung auf beiden Systemen ergab zumindest am Webinterface, dass das Recht vergeben ist.
    Leider hat auch ein neuer User nichts daran geändert. Grüße Marcel



  • Als Ergänzung, nach dem Update gab es scheinbar auch ein Zeitproblem auf der Backupfirewall, welches ich mit dem hin- und zurückwechseln der TimeZone zumindest bereinigen konnte. Passwörter der User noch einmal eingetragen brachte auch keine Änderung.



  • Update 2:
    Die Backup pfSense bekommt die Anfrage für den Sync blockt aber mit der gleichen Meldung ab.


  • LAYER 8 Moderator

    Ist mir noch bei keinem Update untergekommen. Da würde ich das Troubleshooting wirklich komplett von oben bis unten durchgehen (was CARP angeht). Also z.B.

    • Sync Interface sauber konfiguriert
    • HA Sync sauber konfiguriert
    • User (admin) auf beiden Kisten gleich mit gleichem Passwort
    • Versionsstand
    • NTP Zeit sauber
    • Firewallregeln auf Sync Interface sauber offen?
    • Update auf beiden Kisten sauber durchgelaufen? Vielleicht noch Versionsprobleme?


  • Hi JeGr, vielen Dank für deine Zeit.

    Ich denke ich habe das Problem vor ca. 15 Minuten gefunden.
    Entgegen meines ersten Posts hat scheinbar die Gruppe "Admins" kein Recht zum HA Sync gehabt (wie es vorher funktioniert hat weiss ich leider nicht)
    Ich weiss leider auch nicht genau, wann dieses Privileg eingeführt wurde. Von daher ist der Rest wohl simple Vermutung:

    Im Bereich User Management / Group Management kann ich ja Privilegien hinzufügen.
    in der folgenden Box "Assigned Privileges" (zugewiesene Privilegien) Stand der HA-Sync drin --> daher nahm ich fälschlicherweise an das der User bzw. die Gruppe das Recht hat.
    Nach einem Reset der Backup Firewall (Neukonfiguration der Interfaces und VLANs) hat dann der initiale HA-Sync funktioniert (muss also auf dem Zielsystem schon erlaubt gewesen sein) und danach bin ich wieder in den gleichen Fehler gelaufen.
    Problem musste also an der primären liegen...
    Usermanager dann mal explizit das Recht aus der Liste "Assigned Privileges" auf beiden Systemen an den verwendeten User vergeben, gespeichert und getestet. Bisher trat der Fehler nicht mehr auf.

    Eine Erklärung habe ich leider nicht dazu. Vielleicht kannst du ja mit deiner Erfahrung etwas Licht ins Dunkel bringen.
    Grüße Marcel


  • LAYER 8 Moderator

    Das wundert mich genauso, denn der Admin User bzw. dessen Gruppe haben per default grundsätzlich alle Rechte. Daher ist es merkwürdig, dass hier welche gefehlt haben. Vorstellbar wäre das nur, wenn ihr in der Vergangenheit bei einer älteren Version ggf. versucht habt, den Admin zu beschneiden, so dass hier Rechte weggefallen sind bzw. nicht mehr die Standardgruppe übernommen wurde (auch beim Update). Aber wie gesagt, bislang ist mir das auch noch nicht untergekommen.

    Grüße



  • Ganz ehrlich :-)

    ich habe mich noch nie dahin verirrt, von daher würde ich ein Rechte beschneiden ausschließen.
    Es hat einfach funktioniert... seit über einem Jahr mit diversen Konfigurationsänderungen.

    Vielleicht hilft es ja mal jemand anderem.
    Vielen Dank für deine Zeit.


  • LAYER 8 Moderator

    Kein Problem, habe ja nicht so viel beitragen können ;)



  • @mbrabetz

    Vielen Dank! Arbeitete wie ein Zauber, um die HA Sync-Berechtigungen hinzuzufügen.
    Kratzte meinen Kopf gut 2-3 Stunden bevor ich diesen Thread fand und einen Google Translate drauf lief

    pfSense version: 2.4.3-RELEASE-p1



  • @fjasboka you're welcome, glad my post helped another person.
    Greetings Marcel


Log in to reply