Problem nach Update auf 17.1-20190808 - Beständiges Logout

StefS 2019-08-22 17:58:49 UTC #1

Hallo,

ich hatte unseren Server jetzt mal auf die letzte 17.1.20190808 gebracht (via Debian Stretch Packages).

Nun das Problem, das ich wenige Sekunden bis Minuten nach dem Login sofort wieder ausgeloggt werden.
Hier mal die Fehlermeldungen etc. soweit ich das sehe:

Im Apache Errorlog steht folgendes:

[Thu Aug 22 17:24:13.451771 2019] [:error] [pid 1759] [client 2003:6:21f1:6e36:99b2:425b:275c:b2db:60302] An error happened (EGroupware\\Api\\Exception\\AssertionFailed): CreateObject() file /usr/share/egroupware/api/inc/class..inc.php not found!, referer: https://domain/egw/login.php
[Thu Aug 22 17:24:13.451808 2019] [:error] [pid 1759] [client 2003:6:21f1:6e36:99b2:425b:275c:b2db:60302] #0 /usr/share/egroupware/index.php(151): CreateObject('api.'), referer: https://domain/egw/login.php
[Thu Aug 22 17:24:13.451817 2019] [:error] [pid 1759] [client 2003:6:21f1:6e36:99b2:425b:275c:b2db:60302] #1 {main}, referer: https://domain/egw/login.php
[Thu Aug 22 17:24:13.451829 2019] [:error] [pid 1759] [client 2003:6:21f1:6e36:99b2:425b:275c:b2db:60302] # Instance=domain, User=stefan, Request=GET https://domain/egw/index.php?cd=yes, User-agent=Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.110 Safari/537.36 Vivaldi/2.7.1628.28, referer: https://domain/egw/login.php

Im Browser sehe ich auch etliche Fehlermeldungen in der JavaSCript-Konsole:

Navigated to https://domain/egw/login.php
Resource interpreted as Stylesheet but transferred with MIME type text/html: "https://domain/egw/login.php?phpgw_forward=%252Fapi%252Fcategories.php%253Fapp%253Dphpgw%261346607937%261565284342". 
  login.php:17
egw: 4676.382080078125ms
  VM1257 egw.js:214
Uncaught (in promise) DOMException
  login.php:1 
GET https://group.trilobyte-se.de/egw/index.php?cd=yes 500 (An error happened)
  index.php?cd=yes:1 
Navigated to https://group.trilobyte-se.de/egw/index.php?cd=yes
egw: 11020.23095703125ms
  egw.js?1565284342:214 
[Deprecation] Synchronous XMLHttpRequest on the main thread is deprecated because of its detrimental effects to the end user's experience. For more help, check https://xhr.spec.whatwg.org/.
  jquery.js:10208 
Widget class registered for nextmatch-taglistheader will be overwritten.
  egw_debug.js:353

Im Firefox gibt es beim Laden der Loginseite in der Console folgende Meldung:

Navigated to https://domain/egw/
egw: 58619ms
  egw.js:214:56
Content Security Policy: The page’s settings blocked the loading of a resource at self (“script-src”). Source: onfocusin attribute on DIV element.
  login.php

Ein Problem scheint wohl der HTTP 500 der immer beim Zugriff auf “https://domain/egw/index.php?cd=yes” erfolgt zu sein…

Serverseitige Umgebung:

Debian 9.9 mit Apache und PHP-FPM, installation via deb-Pakete

Viele Grüße,
Stefan Seide

Wie automatisches ausloggen verhindern?

RalfBecker 2019-08-23 06:36:38 UTC #2

Keine der Fehlermeldungen hat offensichtlich was mit dem beschriebenen Problem zu tun.

Generell gibt es eine php.ini Einstellung session.gc_max_lifetime die besagt nach wievielen Sekunden die Sitzung ablaufen bzw. gelöscht wird. Der default sind 1440 = 20min. Wird unter Debian in /etc/php/7.X/fpm/php.ini eingestellt (danach fpm, nicht Apache, neu starten).

Ein anderes häufiges Problem ist eine volle Platte oder Partition auf der die Sitzungen gespeichert werden.

Ralf

StefS 2019-08-23 14:36:51 UTC #3

Vielen Dank für die Antwort.
Für FPM gibt es nur eine Konfigurationsdatei unter /etc/php/7.0/fpm/php.ini, diese hat ziemlich die Standard-Werte zum Session-Management:

session.gc_maxlifetime = 1440
session.save_handler = files
session.save_path = /var/lib/php/sessions
session.use_cookies = 1
session.use_only_cookies = 1
session.name = PHPSESSID
session.auto_start = 0
session.cookie_lifetime = 0
session.cookie_path = /
session.cookie_domain =
session.cookie_httponly =
session.serialize_handler = php
session.gc_probability = 1
session.gc_divisor = 1000
session.bug_compat_42 = Off
session.bug_compat_warn = Off
session.referer_check =
session.cache_limiter = nocache
session.cache_expire = 180
session.use_trans_sid = 0
session.hash_function = 0
session.hash_bits_per_character = 5

Also Standard-Zeit, Verzeichnis existiert, mehrere GB freier Platz und die Session-Datei wird auch darin angelegt - eine passende Datei zu meiner Session-ID aus dem Browser hab ich da gefunden.

Eine Sache die ich jetzt beim Test in Chromium-basiertem Browser gesehen habe ist folgendes:

Habe mich eingelogt, etliche Sekunden gewartet (alles ok) und auf Adressbuch geklickt (war im Kalender). Hier wurde ich sofort wieder ausgeloggt.

Wenn ich mir im Netzwerk-Tab die einzelnen Requests anschaue sehe ich viele wo das Cookie mitgesendet wird und auf einmal kommt ein Redirect zur login.php, die dann alle Session-Cookies löscht. Danach ist der Cookie-Header immer leer und ich sehe die Loginseite geladen…

Das einzige was mir hier auffällt, ist das der Browser die meiste Zeit IPv6 Requests sendet, aber der eine Request, der via HTTP302 zur Login-Seite redirected wird, IPv4 nutzt. Kann es sein, das die Session an die IP gebunden ist und PHP nicht mit mit dem automatischen Wechsel des Browser zwischen IPv4 und IPv6 klar kommt?

Hier die Request in Frage (gekürzter Auszug aus dem Browser Network Tab:

Request URL: https://domain/egw/index.php?menuaction=addressbook.addressbook_ui.photo&contact_id=159&etag=5
  Request Method: GET
  Status Code: 302 Found
  Remote Address: [2a01:4f8:200:502d::x]:443
Response Headers
  ...
  Location: /egw/addressbook/templates/pixelegg/images/photo.png
Request Headers
  ...
  Cookie: eGW_cookie_test=enabled; last_loginid=stefan; last_domain=domain; sessionid=3a888vpaja5l315b25cimaiml2; kp3=Tss3s956hqcM7pMuqWwS96Zv; domain=domain

Request URL: https://domain/egw/index.php?menuaction=addressbook.addressbook_ui.photo&contact_id=99&etag=4
  Request Method: GET
  Status Code: 302 Found
  Remote Address: 148.251.249.x:443
Response Headers
  ...
  Location: https://domain/egw/login.php?cd=10&phpgw_forward=%252Findex.php%253Fmenuaction%253Daddressbook.addressbook_ui.photo%26contact_id%253D99%26etag%253D4
Request Headers
  ...
  Cookie: eGW_cookie_test=enabled; last_loginid=stefan; last_domain=domain; sessionid=3a888vpaja5l315b25cimaiml2; kp3=Tss3s956hqcM7pMuqWwS96Zv; domain=domain

Request URL: https://domain/egw/login.php?cd=10&phpgw_forward=%252Findex.php%253Fmenuaction%253Daddressbook.addressbook_ui.photo%26contact_id%253D99%26etag%253D4
  Request Method: GET
  Status Code: 200 OK
  Remote Address: 148.251.249.x:443
Response Headers
  ...
  Content-Security-Policy: script-src 'self' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; connect-src 'self' ; frame-src 'self'
  Set-Cookie: sessionid=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; Max-Age=0; path=/; domain=domain; secure; HttpOnly
  Set-Cookie: kp3=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; Max-Age=0; path=/; domain=domain; secure; HttpOnly
  Set-Cookie: domain=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; Max-Age=0; path=/; domain=domain; secure; HttpOnly
Request Headers
  ...
  Cookie: eGW_cookie_test=enabled; last_loginid=stefan; last_domain=domain; sessionid=3a888vpaja5l315b25cimaiml2; kp3=Tss3s956hqcM7pMuqWwS96Zv; domain=domain

Dann etwas später (alle diese Requests sind ja quasi kurz nacheinander wenn er das Adressbuch mit allen Einträgen anzeigen will - ist das Session-Cookie weg beim Request und noch eine kurze Zeit später wird dann auch die Loginseite angezeigt

Request URL: https://domain/egw/index.php?menuaction=addressbook.addressbook_ui.photo&contact_id=56&etag=5
  Request Method: GET
  Status Code: 302 Found
  Remote Address: [2a01:4f8:200:502d::x]:443
Response Headers
  ...
  Location: https://domain/egw/login.php?phpgw_forward=%252Findex.php%253Fmenuaction%253Daddressbook.addressbook_ui.photo%26contact_id%253D56%26etag%253D5
Request Headers
  ...
  Cookie: eGW_cookie_test=enabled; last_loginid=stefan; last_domain=domain

RalfBecker 2019-08-27 19:17:18 UTC #4

Sitzungen sind bei Default an die IP gebunden, kann man aber abschalten: Administration >> Konfiguration der Anwendung >> Sicherheit >> IP-Adresse für alle Sessions überprüfen

Ralf

StefS 2019-08-30 08:34:43 UTC #5

Vielen Dank - damit scheint es zu funktionieren.

Keine Ahnung warum der da andauernd die IP gewechselt hat - ob das nun das neueste Verhalten von Chromium ist oder eine Nebenwirkung von unserem Telekom Hybrid-Anschluss ist… zumindest werde ich nicht mehr regelmäßig ausgeloggt.