AD Connector UCS 2.2.3.4 <-> W2KSRV SP4 Host-Record-Objekt

german

#1

Hallo Zusammen,

hab derzeit das Problem das ich mit dem AD von einem W2KSRV SP4 nicht kommunizieren kann (UCS 2.2.3.4 Master).

Laut der Dokumentation benötige ich einen Host-Record-Objekt wo kann ich den im UDM anlegen?

Vielen Dank,

LG
Franz


#2

Gefunden Dank :slight_smile:

jedoch ist mir der DN des Replikationsbenutzers etwas Unklar welchen User muss ich da eintragen?

Fehlermeldung aus der less +F /var/log/univention/connector-status.log

[code]Fri Mar 5 10:19:33 2010
— connect failed, failure was: —

Traceback (most recent call last):
File “/usr/lib/python2.4/site-packages/univention/connector/ad/main.py”, line 216, in main
connect()
File “/usr/lib/python2.4/site-packages/univention/connector/ad/main.py”, line 142, in connect
ad_ldap_bindpw, baseConfig[‘connector/ad/ldap/certificate’], baseConfig[‘connector/ad/listener/dir’])
File “/usr/lib/python2.4/site-packages/univention/connector/ad/init.py”, line 565, in init
self.lo_ad=univention.uldap.access(host=ad_ldap_host, port=int(ad_ldap_port), base=ad_ldap_base, binddn=ad_ldap_binddn, bindpw=ad_ldap_bindpw, start_tls=2
, ca_certfile=ad_ldap_certificate, decode_ignorelist=[‘objectSid’, ‘objectGUID’, ‘repsFrom’, ‘replUpToDateVector’, ‘ipsecData’, ‘logonHours’, 'userCertificate
', ‘dNSProperty’, ‘dnsRecord’, ‘member’])
File “/usr/lib/python2.4/site-packages/univention/uldap.py”, line 115, in init
self.__smart_open()
File “/usr/lib/python2.4/site-packages/univention/uldap.py”, line 137, in __smart_open
self.lo=ldap.ldapobject.SmartLDAPObject(uri=“ldap://”+str(self.host)+":"+str(self.port), start_tls=self.start_tls, tls_cacertfile=self.ca_certfile)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 861, in init
self.start_tls_s()
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 762, in start_tls_s
res = SimpleLDAPObject.start_tls_s(self)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 505, in start_tls_s
return self._ldap_call(self._l.start_tls_s)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 94, in _ldap_call
result = func(*args,**kwargs)
DECODING_ERROR: {‘desc’: ‘Decoding error’}

— retry in 30 seconds —
[/code]

LG
Franz



#3

habe den Dienst noch starten müssen mal sehen ob es jetzt geht :slight_smile:

Ausgabe der less +F /var/log/univention/connector.log mit Debug

05.03.2010 10:40:12,820 MAIN (------ ): DEBUG_INIT 05.03.2010 10:40:12,820 MAIN (------ ): DEBUG_INIT 05.03.2010 10:40:12,820 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.init_debug 05.03.2010 10:40:12,820 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.init_debug 05.03.2010 10:40:12,903 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.__init__ 05.03.2010 10:40:12,903 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.__init__ 05.03.2010 10:40:12,907 MAIN (------ ): UNIVENTION_DEBUG_BEGIN : ldap.close_debug 05.03.2010 10:40:12,907 MAIN (------ ): UNIVENTION_DEBUG_BEGIN : ldap.close_debug 05.03.2010 10:40:12,908 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.close_debug 05.03.2010 10:40:12,908 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.close_debug 05.03.2010 10:40:42,961 MAIN (------ ): DEBUG_INIT 05.03.2010 10:40:42,961 MAIN (------ ): DEBUG_INIT 05.03.2010 10:40:42,962 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.init_debug 05.03.2010 10:40:42,962 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.init_debug 05.03.2010 10:40:43,40 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.__init__ 05.03.2010 10:40:43,40 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.__init__ 05.03.2010 10:40:43,44 MAIN (------ ): UNIVENTION_DEBUG_BEGIN : ldap.close_debug 05.03.2010 10:40:43,44 MAIN (------ ): UNIVENTION_DEBUG_BEGIN : ldap.close_debug 05.03.2010 10:40:43,44 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.close_debug 05.03.2010 10:40:43,44 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.close_debug

LG
Franz



#4

Wie sehen die UCR-Einstellungen aus? univention-config-registry search connector

Ist die Konfiguration per UMC-Modul durchgeführt worden?

Viele Grüße
Stefan Gohmann


#5

noch nicht aber das ist das Ergebnis

univention-config-registry search connector connector/ad/ldap/base: beech.local connector/ad/ldap/binddn: univention connector/ad/ldap/bindpw: /etc/univention/connector/ad/bindpw connector/ad/ldap/certificate: /etc/univention/connector/ad/ad_cert_20100305_101242.pem connector/ad/ldap/host: win2ksrv2010.beech.local connector/ad/ldap/port: 389 connector/ad/listener/dir: /var/lib/univention-connector/ad connector/ad/mapping/group/language: de connector/ad/mapping/group/primarymail: false connector/ad/mapping/group/win2000/description: false connector/ad/mapping/language: de connector/ad/mapping/syncmode: sync connector/ad/mapping/user/primarymail: false connector/ad/mapping/user/win2000/description: false connector/ad/poll/sleep: 5 connector/ad/retryrejected: 10 connector/ad/windows_version: win2000 connector/debug/function: 1 connector/debug/level: 1 connector/password/service/encoding: iso8859-15

die Fehlermeldung besteht weiterhin welcher User sollte in der Konfiguration eingetragen werden?

LG
Franz


#6

Die Einrichtung des AD Connectors geht am einfachsten über das UMC-Modul. Dort kann man bspw. die LDAP-Basis des AD-System automatisch ermitteln lassen, sobald der FQDN des AD-Systems eingetragen wurde.

Die beiden Einstellungen sehen auf jeden Fall falsch aus:

[quote=“FJE_84”] connector/ad/ldap/base: beech.local connector/ad/ldap/binddn: univention
[/quote]
Dort müsste bspw. so etwas stehen - die genauen Werte hängen aber von der Konfiguration des AD-Systems ab: connector/ad/ldap/base: dc=beech,dc=local connector/ad/ldap/binddn: cn=Administrator,cn=users,dc=beech,dc=local

In der AD Connector Dokumentation sollte dazu auch einiges stehen: univention.de/doku_admin.html

Viele Grüße
Stefan Gohmann


#7

[code]Wed Mar 10 10:22:51 2010
— connect failed, failure was: —

Traceback (most recent call last):
File “/usr/lib/python2.4/site-packages/univention/connector/ad/main.py”, line 216, in main
connect()
File “/usr/lib/python2.4/site-packages/univention/connector/ad/main.py”, line 142, in connect
ad_ldap_bindpw, baseConfig[‘connector/ad/ldap/certificate’], baseConfig[‘connector/ad/listener/dir’])
File “/usr/lib/python2.4/site-packages/univention/connector/ad/init.py”, line 565, in init
self.lo_ad=univention.uldap.access(host=ad_ldap_host, port=int(ad_ldap_port), base=ad_ldap_base, binddn=ad_ldap_binddn, bindpw=ad_ldap_bindpw, start_tls=2
, ca_certfile=ad_ldap_certificate, decode_ignorelist=[‘objectSid’, ‘objectGUID’, ‘repsFrom’, ‘replUpToDateVector’, ‘ipsecData’, ‘logonHours’, 'userCertificate
', ‘dNSProperty’, ‘dnsRecord’, ‘member’])
File “/usr/lib/python2.4/site-packages/univention/uldap.py”, line 115, in init
self.__smart_open()
File “/usr/lib/python2.4/site-packages/univention/uldap.py”, line 137, in __smart_open
self.lo=ldap.ldapobject.SmartLDAPObject(uri=“ldap://”+str(self.host)+":"+str(self.port), start_tls=self.start_tls, tls_cacertfile=self.ca_certfile)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 861, in init
self.start_tls_s()
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 762, in start_tls_s
res = SimpleLDAPObject.start_tls_s(self)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 505, in start_tls_s
return self._ldap_call(self._l.start_tls_s)
File “/usr/lib/python2.4/site-packages/ldap/ldapobject.py”, line 94, in _ldap_call
result = func(*args,**kwargs)
DECODING_ERROR: {‘desc’: ‘Decoding error’}

— retry in 30 seconds —
[/code]

leider geht es noch immer nicht wirklich :frowning:

univention-config-registry search connector connector/ad/ldap/base: dc=beech,dc=local connector/ad/ldap/binddn: cn=Administrator,cn=users,dc=beech,dc=local connector/ad/ldap/bindpw: /etc/univention/connector/ad/bindpw connector/ad/ldap/certificate: /etc/univention/connector/ad/ad_cert_20100305_101242.pem connector/ad/ldap/host: win2ksrv2010.beech.local connector/ad/ldap/port: 389 connector/ad/listener/dir: /var/lib/univention-connector/ad connector/ad/mapping/group/language: de connector/ad/mapping/group/primarymail: false connector/ad/mapping/group/win2000/description: false connector/ad/mapping/language: de connector/ad/mapping/syncmode: sync connector/ad/mapping/user/primarymail: false connector/ad/mapping/user/win2000/description: false connector/ad/poll/sleep: 5 connector/ad/retryrejected: 10 connector/ad/windows_version: win2000 connector/debug/function: 1 connector/debug/level: 1 connector/password/service/encoding: iso8859-15

LG
Franz


#8

Wenn es ein amd64-System ist, dann könnte der folgende Bug die Ursache sein: Bug #17853.

An dem Bug ist ein Patch, der das Problem lösen kann, dieser kann folgendermaßen eingespielt werden:

cd /tmp/
wget --no-check-certificate https://forge.univention.org/bugzilla/attachment.cgi?id=2280
cd /usr/share/pyshared/univention/connector/
patch -p3 </tmp/attachment.cgi\?id\=2280

Am einfachsten kann dann mit dem Befehl univention-adsearch cn=Administrator geprüft werden ob die Verbindung funktioniert und bspw. die LDAP-Basis-DN des AD-Systems richtig eingerichtet ist.

Viele Grüße
Stefan Gohmann


#9

eigentlich ist das ganze auf einem 23 Bit System und nicht auf amd64

deswegen kann ich auch den Pfad

cd /usr/share/py pycentral/ pycentral-data/ python/ python-support/
nicht finden.

[code]univention-adsearch cn=Administrator

univention-adsearch

filter: cn=Administrator

DN: CN=Administrator,CN=Users,DC=beech,DC=local
primaryGroupID: 513
isCriticalSystemObject: TRUE
logonCount: 15
cn: Administrator
countryCode: 0
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
adminCount: 1
instanceType: 4
sAMAccountName: Administrator
distinguishedName: CN=Administrator,CN=Users,DC=beech,DC=local
sAMAccountType: 805306368
objectSid: S-1-5-21-1960408961-920026266-725345543-500
whenCreated: 20100304131455.0Z
uSNCreated: 1410
badPasswordTime: 0
pwdLastSet: 129121710328125000
description: Vordefiniertes Konto für die Verwaltung des Computers bzw. der Domäne
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=beech,DC=local
objectGUID: [’\xb0\x99\xfd\xe3w\x8b4@\xa40U\x9b\x9e\xf6\x9eR’]
whenChanged: 20100304141339.0Z
badPwdCount: 0
accountExpires: 9223372036854775807
name: Administrator
memberOf: CN=Richtlinien-Ersteller-Besitzer,OU=Gruppen,DC=beech,DC=local
memberOf: CN=Domänen-Admins,OU=Gruppen,DC=beech,DC=local
memberOf: CN=Organisations-Admins,OU=Gruppen,DC=beech,DC=local
memberOf: CN=Schema-Admins,OU=Gruppen,DC=beech,DC=local
memberOf: CN=Administratoren,CN=Builtin,DC=beech,DC=local
codePage: 0
userAccountControl: 66048
lastLogon: 129127035785937500
uSNChanged: 2795
lastLogoff: 0

results: 1

[/code]

die Kommunikation schein Möglich zu sein da ich auch zB Builtin sehe wie es im AD angezeigt wird.

LG
Franz


#10

Vielen Dank Hr. Gohmann,

der Fehler bestand in dieser kleinen Datei :slight_smile:

mv /etc/univention/connector/internal.cfg /etc/univention/connector/internal.cfg.BAK

(dp1 S'UCS rejected' p2 (dp3 sS'DN Mapping UCS' p4 (dp5 sS'DN Mapping CON' p6 (dp7 s.

Falls mal bei euch auch das Problem besteht das der Connector trotzdem nicht läuft wenn man das AD durchsuchen kann.

wir haben auch noch folgendes gemacht:

Zeit vom W2K SP4(AD) korrigiert sowie am UCServer

die ältere Version von dem phyton installiert:

[code]apt-cache policy python-univention
python-univention:
Installiert:3.0.1-1.54.200809221035
Mögliche Pakete:3.0.3-1.66.201002031615
Versions-Tabelle:
3.0.3-1.66.201002031615 0
500 http://apt.univention.de 2.2-3/all/ Packages
*** 3.0.1-1.54.200809221035 0
500 http://apt.univention.de 2.1-1/all/ Packages
500 http://apt.univention.de 2.2-0/all/ Packages
100 /var/lib/dpkg/status
3.0.0-1.52.200806271034 0
500 http://apt.univention.de 2.1-0/all/ Packages
2.2.2-2.51.200711071008 0
500 http://apt.univention.de 2.0-0/all/ Packages

apt-get install python-univention=3.0.1-1.54.20080922103[/code]

ich habe jetzt wieder den neueren für ucs 2.2-3 installiert und überprüfe noch ob es funktioniert.

LG
Franz


#11

jetzt hab ich noch den Schönheitsfehler das er mir zB. die goups von UCS nicht im AD anzeigt.

LG
Franz

im 2. könnt ihr sehen das ich im AD Explorer die Gruppen sehe ist das ein Fehler bei W2KS SP4 oder UCS?





#12

Wenn ich den “Schönheitsfehler” richtig interpretiere, dann geht es darum, dass die Gruppen im AD-Tool nicht angezeigt werden. Wenn dem so ist, dann steht die Lösung hier in Kapitel 3: Ansicht -> Erweiterte Funktionen.

Viele Grüße
Stefan Gohmann


#13

Tja wiedermal ein Hacken der zu setzen ist g

Danke LG
Franz