Hallo Zusammen,
hab derzeit das Problem das ich mit dem AD von einem W2KSRV SP4 nicht kommunizieren kann (UCS 2.2.3.4 Master).
Laut der Dokumentation benötige ich einen Host-Record-Objekt wo kann ich den im UDM anlegen?
Vielen Dank,
LG
Franz
Gefunden Dank 
jedoch ist mir der DN des Replikationsbenutzers etwas Unklar welchen User muss ich da eintragen?
Fehlermeldung aus der less +F /var/log/univention/connector-status.log
[code]Fri Mar 5 10:19:33 2010
— connect failed, failure was: —
Traceback (most recent call last):
File “/usr/lib/python2.4/site-packages/univention/connector/ad/main.py”, line 216, in main
connect()
File “/usr/lib/python2.4/site-packages/univention/connector/ad/main.py”, line 142, in connect
ad_ldap_bindpw, baseConfig[‘connector/ad/ldap/certificate’], baseConfig[‘connector/ad/listener/dir’])
File “/usr/lib/python2.4/site-packages/univention/connector/ad/init.py”, line 565, in init
self.lo_ad=univention.uldap.access(host=ad_ldap_host, port=int(ad_ldap_port), base=ad_ldap_base, binddn=ad_ldap_binddn, bindpw=ad_ldap_bindpw, start_tls=2
, ca_certfile=ad_ldap_certificate, decode_ignorelist=[‘objectSid’, ‘objectGUID’, ‘repsFrom’, ‘replUpToDateVector’, ‘ipsecData’, ‘logonHours’, 'userCertificate
', ‘dNSProperty’, ‘dnsRecord’, ‘member’])
File “/usr/lib/python2.4/site-packages/univention/uldap.py”, line 115, in init
self.__smart_open()
File “/usr/lib/python2.4/site-packages/univention/uldap.py”, line 137, in __smart_open
self.lo=ldap.ldapobject.SmartLDAPObject(uri=“ldap://”+str(self.host)+":"+str(self.port), start_tls=self.start_tls, tls_cacertfile=self.ca_certfile)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 861, in init
self.start_tls_s()
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 762, in start_tls_s
res = SimpleLDAPObject.start_tls_s(self)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 505, in start_tls_s
return self._ldap_call(self._l.start_tls_s)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 94, in _ldap_call
result = func(*args,**kwargs)
DECODING_ERROR: {‘desc’: ‘Decoding error’}
— retry in 30 seconds —
[/code]
LG
Franz
habe den Dienst noch starten müssen mal sehen ob es jetzt geht
Ausgabe der less +F /var/log/univention/connector.log mit Debug
05.03.2010 10:40:12,820 MAIN (------ ): DEBUG_INIT
05.03.2010 10:40:12,820 MAIN (------ ): DEBUG_INIT
05.03.2010 10:40:12,820 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.init_debug
05.03.2010 10:40:12,820 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.init_debug
05.03.2010 10:40:12,903 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.__init__
05.03.2010 10:40:12,903 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.__init__
05.03.2010 10:40:12,907 MAIN (------ ): UNIVENTION_DEBUG_BEGIN : ldap.close_debug
05.03.2010 10:40:12,907 MAIN (------ ): UNIVENTION_DEBUG_BEGIN : ldap.close_debug
05.03.2010 10:40:12,908 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.close_debug
05.03.2010 10:40:12,908 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.close_debug
05.03.2010 10:40:42,961 MAIN (------ ): DEBUG_INIT
05.03.2010 10:40:42,961 MAIN (------ ): DEBUG_INIT
05.03.2010 10:40:42,962 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.init_debug
05.03.2010 10:40:42,962 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.init_debug
05.03.2010 10:40:43,40 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.__init__
05.03.2010 10:40:43,40 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.__init__
05.03.2010 10:40:43,44 MAIN (------ ): UNIVENTION_DEBUG_BEGIN : ldap.close_debug
05.03.2010 10:40:43,44 MAIN (------ ): UNIVENTION_DEBUG_BEGIN : ldap.close_debug
05.03.2010 10:40:43,44 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.close_debug
05.03.2010 10:40:43,44 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.close_debug
LG
Franz
Wie sehen die UCR-Einstellungen aus? univention-config-registry search connector
Ist die Konfiguration per UMC-Modul durchgeführt worden?
Viele Grüße
Stefan Gohmann
noch nicht aber das ist das Ergebnis
univention-config-registry search connector
connector/ad/ldap/base: beech.local
connector/ad/ldap/binddn: univention
connector/ad/ldap/bindpw: /etc/univention/connector/ad/bindpw
connector/ad/ldap/certificate: /etc/univention/connector/ad/ad_cert_20100305_101242.pem
connector/ad/ldap/host: win2ksrv2010.beech.local
connector/ad/ldap/port: 389
connector/ad/listener/dir: /var/lib/univention-connector/ad
connector/ad/mapping/group/language: de
connector/ad/mapping/group/primarymail: false
connector/ad/mapping/group/win2000/description: false
connector/ad/mapping/language: de
connector/ad/mapping/syncmode: sync
connector/ad/mapping/user/primarymail: false
connector/ad/mapping/user/win2000/description: false
connector/ad/poll/sleep: 5
connector/ad/retryrejected: 10
connector/ad/windows_version: win2000
connector/debug/function: 1
connector/debug/level: 1
connector/password/service/encoding: iso8859-15
die Fehlermeldung besteht weiterhin welcher User sollte in der Konfiguration eingetragen werden?
LG
Franz
Die Einrichtung des AD Connectors geht am einfachsten über das UMC-Modul. Dort kann man bspw. die LDAP-Basis des AD-System automatisch ermitteln lassen, sobald der FQDN des AD-Systems eingetragen wurde.
Die beiden Einstellungen sehen auf jeden Fall falsch aus:
[quote=“FJE_84”]
connector/ad/ldap/base: beech.local
connector/ad/ldap/binddn: univention
[/quote]
Dort müsste bspw. so etwas stehen - die genauen Werte hängen aber von der Konfiguration des AD-Systems ab:
connector/ad/ldap/base: dc=beech,dc=local
connector/ad/ldap/binddn: cn=Administrator,cn=users,dc=beech,dc=local
In der AD Connector Dokumentation sollte dazu auch einiges stehen: univention.de/doku_admin.html
Viele Grüße
Stefan Gohmann
[code]Wed Mar 10 10:22:51 2010
— connect failed, failure was: —
Traceback (most recent call last):
File “/usr/lib/python2.4/site-packages/univention/connector/ad/main.py”, line 216, in main
connect()
File “/usr/lib/python2.4/site-packages/univention/connector/ad/main.py”, line 142, in connect
ad_ldap_bindpw, baseConfig[‘connector/ad/ldap/certificate’], baseConfig[‘connector/ad/listener/dir’])
File “/usr/lib/python2.4/site-packages/univention/connector/ad/init.py”, line 565, in init
self.lo_ad=univention.uldap.access(host=ad_ldap_host, port=int(ad_ldap_port), base=ad_ldap_base, binddn=ad_ldap_binddn, bindpw=ad_ldap_bindpw, start_tls=2
, ca_certfile=ad_ldap_certificate, decode_ignorelist=[‘objectSid’, ‘objectGUID’, ‘repsFrom’, ‘replUpToDateVector’, ‘ipsecData’, ‘logonHours’, 'userCertificate
', ‘dNSProperty’, ‘dnsRecord’, ‘member’])
File “/usr/lib/python2.4/site-packages/univention/uldap.py”, line 115, in init
self.__smart_open()
File “/usr/lib/python2.4/site-packages/univention/uldap.py”, line 137, in __smart_open
self.lo=ldap.ldapobject.SmartLDAPObject(uri=“ldap://”+str(self.host)+":"+str(self.port), start_tls=self.start_tls, tls_cacertfile=self.ca_certfile)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 861, in init
self.start_tls_s()
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 762, in start_tls_s
res = SimpleLDAPObject.start_tls_s(self)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 505, in start_tls_s
return self._ldap_call(self._l.start_tls_s)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 94, in _ldap_call
result = func(*args,**kwargs)
DECODING_ERROR: {‘desc’: ‘Decoding error’}
— retry in 30 seconds —
[/code]
leider geht es noch immer nicht wirklich 
univention-config-registry search connector
connector/ad/ldap/base: dc=beech,dc=local
connector/ad/ldap/binddn: cn=Administrator,cn=users,dc=beech,dc=local
connector/ad/ldap/bindpw: /etc/univention/connector/ad/bindpw
connector/ad/ldap/certificate: /etc/univention/connector/ad/ad_cert_20100305_101242.pem
connector/ad/ldap/host: win2ksrv2010.beech.local
connector/ad/ldap/port: 389
connector/ad/listener/dir: /var/lib/univention-connector/ad
connector/ad/mapping/group/language: de
connector/ad/mapping/group/primarymail: false
connector/ad/mapping/group/win2000/description: false
connector/ad/mapping/language: de
connector/ad/mapping/syncmode: sync
connector/ad/mapping/user/primarymail: false
connector/ad/mapping/user/win2000/description: false
connector/ad/poll/sleep: 5
connector/ad/retryrejected: 10
connector/ad/windows_version: win2000
connector/debug/function: 1
connector/debug/level: 1
connector/password/service/encoding: iso8859-15
LG
Franz
Wenn es ein amd64-System ist, dann könnte der folgende Bug die Ursache sein: Bug #17853.
An dem Bug ist ein Patch, der das Problem lösen kann, dieser kann folgendermaßen eingespielt werden:
cd /tmp/
wget --no-check-certificate https://forge.univention.org/bugzilla/attachment.cgi?id=2280
cd /usr/share/pyshared/univention/connector/
patch -p3 </tmp/attachment.cgi\?id\=2280Am einfachsten kann dann mit dem Befehl univention-adsearch cn=Administrator geprüft werden ob die Verbindung funktioniert und bspw. die LDAP-Basis-DN des AD-Systems richtig eingerichtet ist.
Viele Grüße
Stefan Gohmann
eigentlich ist das ganze auf einem 23 Bit System und nicht auf amd64
deswegen kann ich auch den Pfad
cd /usr/share/py
pycentral/ pycentral-data/ python/ python-support/
nicht finden.
[code]univention-adsearch cn=Administrator
univention-adsearch
filter: cn=Administrator
DN: CN=Administrator,CN=Users,DC=beech,DC=local
primaryGroupID: 513
isCriticalSystemObject: TRUE
logonCount: 15
cn: Administrator
countryCode: 0
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
adminCount: 1
instanceType: 4
sAMAccountName: Administrator
distinguishedName: CN=Administrator,CN=Users,DC=beech,DC=local
sAMAccountType: 805306368
objectSid: S-1-5-21-1960408961-920026266-725345543-500
whenCreated: 20100304131455.0Z
uSNCreated: 1410
badPasswordTime: 0
pwdLastSet: 129121710328125000
description: Vordefiniertes Konto für die Verwaltung des Computers bzw. der Domäne
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=beech,DC=local
objectGUID: [’\xb0\x99\xfd\xe3w\x8b4@\xa40U\x9b\x9e\xf6\x9eR’]
whenChanged: 20100304141339.0Z
badPwdCount: 0
accountExpires: 9223372036854775807
name: Administrator
memberOf: CN=Richtlinien-Ersteller-Besitzer,OU=Gruppen,DC=beech,DC=local
memberOf: CN=Domänen-Admins,OU=Gruppen,DC=beech,DC=local
memberOf: CN=Organisations-Admins,OU=Gruppen,DC=beech,DC=local
memberOf: CN=Schema-Admins,OU=Gruppen,DC=beech,DC=local
memberOf: CN=Administratoren,CN=Builtin,DC=beech,DC=local
codePage: 0
userAccountControl: 66048
lastLogon: 129127035785937500
uSNChanged: 2795
lastLogoff: 0
results: 1
[/code]
die Kommunikation schein Möglich zu sein da ich auch zB Builtin sehe wie es im AD angezeigt wird.
LG
Franz
Vielen Dank Hr. Gohmann,
der Fehler bestand in dieser kleinen Datei 
mv /etc/univention/connector/internal.cfg /etc/univention/connector/internal.cfg.BAK
(dp1
S'UCS rejected'
p2
(dp3
sS'DN Mapping UCS'
p4
(dp5
sS'DN Mapping CON'
p6
(dp7
s.
Falls mal bei euch auch das Problem besteht das der Connector trotzdem nicht läuft wenn man das AD durchsuchen kann.
wir haben auch noch folgendes gemacht:
Zeit vom W2K SP4(AD) korrigiert sowie am UCServer
die ältere Version von dem phyton installiert:
[code]apt-cache policy python-univention
python-univention:
Installiert:3.0.1-1.54.200809221035
Mögliche Pakete:3.0.3-1.66.201002031615
Versions-Tabelle:
3.0.3-1.66.201002031615 0
500 http://apt.univention.de 2.2-3/all/ Packages
*** 3.0.1-1.54.200809221035 0
500 http://apt.univention.de 2.1-1/all/ Packages
500 http://apt.univention.de 2.2-0/all/ Packages
100 /var/lib/dpkg/status
3.0.0-1.52.200806271034 0
500 http://apt.univention.de 2.1-0/all/ Packages
2.2.2-2.51.200711071008 0
500 http://apt.univention.de 2.0-0/all/ Packages
apt-get install python-univention=3.0.1-1.54.20080922103[/code]
ich habe jetzt wieder den neueren für ucs 2.2-3 installiert und überprüfe noch ob es funktioniert.
LG
Franz
jetzt hab ich noch den Schönheitsfehler das er mir zB. die goups von UCS nicht im AD anzeigt.
LG
Franz
im 2. könnt ihr sehen das ich im AD Explorer die Gruppen sehe ist das ein Fehler bei W2KS SP4 oder UCS?
Wenn ich den “Schönheitsfehler” richtig interpretiere, dann geht es darum, dass die Gruppen im AD-Tool nicht angezeigt werden. Wenn dem so ist, dann steht die Lösung hier in Kapitel 3: Ansicht -> Erweiterte Funktionen.
Viele Grüße
Stefan Gohmann
Tja wiedermal ein Hacken der zu setzen ist g
Danke LG
Franz