Nach Update: Authentication failed: not enough privileges bei CARP



  • Hallo lieber Forumsleser,

    nach dem Update meiner beiden pfSense von 2.3.4 zu 2.4.3 funktioniert der Sync zwischen den beiden Systemen nicht mehr und wird auf der primären pfSense mit "Exception calling XMLRPC method host_firmware_version #-2 : Authentication failed: not enough privileges" kommentiert.

    Google brachte mir dabei bisher nichts weiter ein als das es ein Privileg gibt, welches aber anscheinend standardmäßig alle admins haben. Eine Prüfung auf beiden Systemen ergab zumindest am Webinterface, dass das Recht vergeben ist.
    Leider hat auch ein neuer User nichts daran geändert. Grüße Marcel



  • Als Ergänzung, nach dem Update gab es scheinbar auch ein Zeitproblem auf der Backupfirewall, welches ich mit dem hin- und zurückwechseln der TimeZone zumindest bereinigen konnte. Passwörter der User noch einmal eingetragen brachte auch keine Änderung.



  • Update 2:
    Die Backup pfSense bekommt die Anfrage für den Sync blockt aber mit der gleichen Meldung ab.


  • LAYER 8 Moderator

    Ist mir noch bei keinem Update untergekommen. Da würde ich das Troubleshooting wirklich komplett von oben bis unten durchgehen (was CARP angeht). Also z.B.

    • Sync Interface sauber konfiguriert
    • HA Sync sauber konfiguriert
    • User (admin) auf beiden Kisten gleich mit gleichem Passwort
    • Versionsstand
    • NTP Zeit sauber
    • Firewallregeln auf Sync Interface sauber offen?
    • Update auf beiden Kisten sauber durchgelaufen? Vielleicht noch Versionsprobleme?


  • Hi JeGr, vielen Dank für deine Zeit.

    Ich denke ich habe das Problem vor ca. 15 Minuten gefunden.
    Entgegen meines ersten Posts hat scheinbar die Gruppe "Admins" kein Recht zum HA Sync gehabt (wie es vorher funktioniert hat weiss ich leider nicht)
    Ich weiss leider auch nicht genau, wann dieses Privileg eingeführt wurde. Von daher ist der Rest wohl simple Vermutung:

    Im Bereich User Management / Group Management kann ich ja Privilegien hinzufügen.
    in der folgenden Box "Assigned Privileges" (zugewiesene Privilegien) Stand der HA-Sync drin --> daher nahm ich fälschlicherweise an das der User bzw. die Gruppe das Recht hat.
    Nach einem Reset der Backup Firewall (Neukonfiguration der Interfaces und VLANs) hat dann der initiale HA-Sync funktioniert (muss also auf dem Zielsystem schon erlaubt gewesen sein) und danach bin ich wieder in den gleichen Fehler gelaufen.
    Problem musste also an der primären liegen...
    Usermanager dann mal explizit das Recht aus der Liste "Assigned Privileges" auf beiden Systemen an den verwendeten User vergeben, gespeichert und getestet. Bisher trat der Fehler nicht mehr auf.

    Eine Erklärung habe ich leider nicht dazu. Vielleicht kannst du ja mit deiner Erfahrung etwas Licht ins Dunkel bringen.
    Grüße Marcel


  • LAYER 8 Moderator

    Das wundert mich genauso, denn der Admin User bzw. dessen Gruppe haben per default grundsätzlich alle Rechte. Daher ist es merkwürdig, dass hier welche gefehlt haben. Vorstellbar wäre das nur, wenn ihr in der Vergangenheit bei einer älteren Version ggf. versucht habt, den Admin zu beschneiden, so dass hier Rechte weggefallen sind bzw. nicht mehr die Standardgruppe übernommen wurde (auch beim Update). Aber wie gesagt, bislang ist mir das auch noch nicht untergekommen.

    Grüße



  • Ganz ehrlich :-)

    ich habe mich noch nie dahin verirrt, von daher würde ich ein Rechte beschneiden ausschließen.
    Es hat einfach funktioniert... seit über einem Jahr mit diversen Konfigurationsänderungen.

    Vielleicht hilft es ja mal jemand anderem.
    Vielen Dank für deine Zeit.


  • LAYER 8 Moderator

    Kein Problem, habe ja nicht so viel beitragen können ;)



  • @mbrabetz

    Vielen Dank! Arbeitete wie ein Zauber, um die HA Sync-Berechtigungen hinzuzufügen.
    Kratzte meinen Kopf gut 2-3 Stunden bevor ich diesen Thread fand und einen Google Translate drauf lief

    pfSense version: 2.4.3-RELEASE-p1



  • @fjasboka you're welcome, glad my post helped another person.
    Greetings Marcel



  • @mbrabetz

    Hi there, I don't know if you are still there guys (the topic is quite old)...

    I hope this finds you ALL - well (and healthy...)

    We have reached Version 2.4.5-RELEASE-p1 (amd64) built on Tue Jun 02 17:51:54 EDT 2020 FreeBSD 11.3-STABLE
    Our systems are on the latest version.
    Version information updated at Thu Jul 23 2:57:02 +03 2020

    • The problem related to CARP sync for a new created administrator... is still there. I just wanted to disable the default admin on the Netgate/pfSense cluster firewalls and use new created individual profiles for audit/accountant and transability reasons.

    I just wanted also to thank you very much for pin pointing the problem with admin privileges that had to be specifically added for HA System - HA node sync to work.

    There were a bunch of other privileges existing on that page, that I didn't yet manually added to the group administrators.
    I wonder if with the new created user admin, I will be able to perform all the usual administration tasks on the Netgate/pfSense cluster...

    Best regards to all.


Log in to reply