AD-User-Authentifizierung via UCS

Hallo,

Evaluation von UCS für folgendes Szenario:

Betrieb eienes Master- und eines Backup-UCS-Servers, die User-Konten einer Microsoft AD-Domain in ihre LDAP-DB syncen, damit sich User der AD-Domain gegenüber den UCS-Servern anstatt gegenüber den Microsoft AD-Controlern authentifizieren können. Dadurch erhoffen wir uns eine Vereinfachung der Konfiguration verschiedener Solaris- und Linux-Systeme. Insbesondere eine einfache Administration der UNIX-Attribute der User. Außerdem ist geplant weitere Netzwerkdienste auf UCS-Basis zu betreiben.

Bisher umgesetzt:

Installation des UCS-Masters als Mitglied er AD-Domain nach dieser Anleitung:
https://docs.software-univention.de/handbuch-4.4.html#installation:Domäneneinstellungen:ADMember
Während der Installation des Betriebssystem schlug das Join der AD-Domain fehl. Nachdem das System lief, konnte das Join durch die Installation des ad-connectiors aus dem App-Store durchgeführt werden.
Für das Join wurde ein spezieller AD-User ‘myUser’, der Mitglied der Gruppe Domänen-Admins ist, verwendet.

Installation des UCS-Backups. Hier wurde der Modus “Einer bestehenden UCS-Domäne beitreten” gewählt.
Der Beitritt schlug fehl. Nach der Installation auf dem UCS-Backup per SSH als User root zuerst sicher gestgellt, dass die Voraussetzungen für einen Join erfüllt sind (Requirements for a successful join into the UCS domain)

Dann per SSH als root:

univention-join -dcaccount myUser

univention-join: joins a computer to an ucs domain
copyright © 2001-2020 Univention GmbH, Germany

Enter DC Master Password:

Search DC Master: done
Check DC Master: done
Stop LDAP Server: done
Search ldap/base done
Start LDAP Server: done
Search LDAP binddn ldap_sasl_bind(SIMPLE): Can’t contact LDAP server (-1)
Insufficient access (50)

Mit einem Dirty-Hack konnte der Zugriff aufs LDAP ermöglicht werden.

Erneuter Versuch eines Joins:

univention-join -dcaccount myUser

univention-join: joins a computer to an ucs domain
copyright © 2001-2020 Univention GmbH, Germany

Enter DC Master Password:

Search DC Master: done
Check DC Master: done
Stop LDAP Server: done
Search ldap/base done
Start LDAP Server: done
Search LDAP binddn done
Sync time: done
Running pre-join hook(s): done
Join Computer Account: done
Sync ldap.secret:


  • Join failed! *
  • Contact your system administrator *


Der User myUser besitzt nicht das Recht /etc/ldap.secret zu lesen, daher konnte es nicht vom Master auf dem Backup kopiert werden.

Von weiteren Nachforschungen abgesehen, da hier anscheinend ein grunsätzlicheres Problem vorliegt.

Fragen:

Ist das Vorgehen zuerst einen Master als AD-Member aufsetzen und dann den Backup der UCS-Domain joinen korrekt?

Nach dem Join der AD-Domain des Masters, konnte man sich am Webinterface des Masters nicht mehr mit dem User ‘Administrator’ sondern nur noch mit dem User ‘myUser’ anmelden. Ist das so vorgesehen?

Der User ‘myUser’ besitzt offensichtlich nicht die Rechte den UCS-Backup in die UCS-Domain aufzunehmen. Wie finde ich heraus, welche Rechte ihm fehlen und woran es liegt, dass die Rechte fehlen?

Gibt es sonstige Tests, die “Funktionsfähigkeit” des Users ‘myUser’ zu überprüfen?

Vielen Dank für Hinweise und Tipps jeglicher Art, die hier weiter helfen.

Grüße
Ritchi

Mastodon