Leider führt die Anleitung, wie sie im Handbuch beschrieben ist (docs.univention.de/domain-3.2.html#ext-dom-unix) nicht zum Erfolg. Kerberos funktioniert. LDAP nicht.
Die Konfiguration war, wie durch die Anleitung vorgegeben. Es gab nur marginale Abweichungen.
Der Server lässt sich mit:
ldapsearch -x ‘(nc158-muc-v4)’
bei Kenntnis des Zertifikats abfragen:[code]# extentestd LDIF
LDAPv3
base <dc=test,dc=test> (testfault) with scope subtree
filter: (cn=nc158-muc-v4)
requesting: ALL
nc158-muc-v4, clients, computers, muc, test.test
dn: cn=nc158-muc-v4,cn=clients,cn=computers,ou=muc,dc=test,dc=test
aRecord: 10.160.2.45
displayName: nc158-muc-v4
cn: nc158-muc-v4
krb5PrincipalName: host/nc158-muc-v4.test.test@TEST.TEST
macAddress: 00:50:56:39:d8:e4
objectClass: top
objectClass: person
objectClass: univentionHost
objectClass: univentionLinuxClient
objectClass: krb5Principal
objectClass: krb5KDCEntry
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
objectClass: univentionObject
loginShell: /bin/bash
univentionObjectType: computers/linux
uidNumber: 3144
sambaAcctFlags: [W ]
krb5MaxRenew: 604800
sn: nc158-muc-v4
univentionNetworkLink: cn=muc-client-10.160,cn=networks,dc=test,dc=test
homeDirectory: /testv/null
krb5MaxLife: 86400
associatedDomain: test.test
uid: nc158-muc-v4$
gidNumber: 5007
sambaPrimaryGroupSID: S-1-5-21-2139631211-2656284875-1790543244-11015
sambaSID: S-1-5-21-2139631211-2656284875-1790543244-157564
testscription: Schweikle - Testsystem intern
nc158-muc-v4, test.test, dhcp, test.test
dn: cn=nc158-muc-v4,cn=test.test,cn=dhcp,dc=test,dc=test
objectClass: top
objectClass: univentionDhcpHost
cn: nc158-muc-v4
univentionDhcpFixedAddress: 10.160.2.45
dhcpHWAddress: ethernet 00:50:56:39:d8:e4
search result
search: 2
result: 0 Success
numResponses: 3
numEntries: 2[/code]
auf dem Client abfragen. Aber der Versuch dasselbe mit
Authentifizierung durchzuführen schlägt fehl:ldapsearch -y /etc/ldap.secret \
-D cn=nc158-muc-v4,cn=clients,cn=computers,ou=muc,dc=test,dc=test
'(cn=nc158-muc-v4)
ldap_bind: Invalid credentials (49)
Entsprechend fällt “getent passwd” auf die Nase und liefert nur die lokalen User. Was zu merkwürdigen Effekten führt, da die User erfolgreich via pam authentifiziert werden können, aber die Autorisierungen, die im LDAP abgelegt sind nicht abgefragt werden können.
Es fiel auf, dass sich anscheinend ein Passwort über die Web-Oberfläche des UCS für den Host setzen lässt, aber nirgends angezeigt wird, ob dies auch erfolgreich ist.
Für Solaris existiert keine eigene Anleitung? Ich hab’ jedenfalls mal ein Ubuntu 14.04 aufgesetzt um weitere Probleme durch Solaris-Eigenheiten ausschliessen zu können.