Anmeldung als Administrator nicht möglich ?!

moinmoin …

… vorab: Ich bin brandneu hier bei univention. Also bitte nicht gleich “schlagen”, wenn ich noch nicht so wissend bin

Ich habe mir die aktuelle ISO von UCS heruntergeladen und in einer VM unter ProxMox installiert.
Der Server soll als Mitgliedserver in einer bestehenden WIN2K8R2-Domain mit ADS fungieren und (aktuell) einzig ZARAFA samt WebApp, files-plugin und z-push bereitstellen.
Die Aufnahme in die Domain ist auch reibungslos verlaufen, soweit ich das beurteilen würde.
Allerdings kann ich mich nur als root anmelden und leider keine weiteren APPs installieren.
Bei einer Anmeldung als Administrator mit dem für root vergebenen Kennwort passiert nichts … ich erhalte nicht einmal eine Fehlermeldung.
Versuche ich es mit dem Kennwort des Admin aus dem AD passiert auch nichts …

Soltle nicht eigentlich wenigstens eine Fehlermeldung kommen?

Moin,

willkommen bei UCS

Schauen Sie doch mal, was während eines Anmeldeversuchs in die Logdateien in »/var/log/univention« sowie in die »/var/log/auth.log« geschrieben wird.

Gruß,
mosu

Da lässt sich mMn aktuell auch nicht viel draus erkennen …
Anstatt des WIN-DC wird der lokale LDAP von UCS abgefragt, was einen authentication-failure produziert.

Eigenartigerweise bin ich eben einmal kurz reingekommen mit “Administrator” und dem “Domain-Admin-Passwd” aus dem AD.
damit konnte ich schon einmal ZARAFA und die WebApp installieren.

Ein Blick ins LDAP-Verzeichnis brachte mir auch den kompletten LDAP-Zweig des AD.
Wobei ich diesen überhaupt nicht benötigen würde, denn alle ZARAFA-User befinden sich aktuell in einer einzigen OU.

Abgesehen davon fehlt mir z.B. die Verwaltung von ZARAFA-Backup, wie ich es vom Z-Admin aus kenne.
Auch diverse - für unsere Zwecke wichtige - ZARAFA-Settings sind nicht über eine GUI erreichbar, wie z.B. das SQL-Tuning, die globalen Quotas, die ZARAFA-Search-Base für LDAP.

Wie gesagt … UCS soll nicht unseren DC ersetzen … Es soll nur als Mitglied der Domain als Basis für ZARAFA dienen …
Meine Idee, unsere aktuelle Installation mit Z-Admin auf UCS zu migrieren ist derzeit so wohl nicht machbar.

btw … nach dem Abmelden aus der GUI ist erneuter Login wieder nicht möglich … Error 502 …

Ob im AD Member Mode auch nur ein Teilbaum des AD repliziert werden kann müsste im Zeifelsfall nochmal jemand von Univention beantworten können. Rein Performancetechnisch sollte es hierdurch aber keine wirklichen Einschrönkungen geben (Achtung: Eine der Eigenschaften des Member Mode ist es keine Passwörter im lokalen LDAP zu haben [technisch nicht möglich, Passwörter können aus dem AD nicht ausgelesen werden], daher muss der Login jedesmal über ein Kerberos Ticket verifiziert werden was Latenzen bringt und daher kann sich die WebApp etwas träge verhalten. Lösung des Problems wäre die Einrichtung von SSO. Siehe auch github.com/zarafa4ucs/zarafa4ucs/issues/111).

Zarafa Settings sind allerdings sehr wohl über eine Gui erreichbar und zwar abgebildet in der UCR (Univention Configuration Registry). Hierüber kann jeder Parameter aus jeder Konfigdatei einzeln und individuell angepasst werden. Was aber in der Tat fehlt ist ein “1-Klick-Tuning” wie es Yaffas anbietet. Ich habe mir das mal als Idee für das zukünftige Kopano Integrationspaket notiert.

Zarafa-backup ist auch innerhalb von Univention nutzbar. Im Univention finden Sich eine Reihe schöner Backupsuiten, welche natürlich auch für die Sicherung von MySQL und Files von Zarafa genutzt werden können. Eine kurze Suche nach “Bareos zarafa-backup” bringt folgenden Artikel zur Verknüpfung beider Dienste zum Vorschein: blog.vanderkussen.org/backup-zar … acula.html

Danke für die Rückmeldung …
Das mit der Univention Registry hatte ich tatsächlich übersehen.
Der Hinweis mit zusätzlichen Backup-Suiten ist sicherlich korrekt, aber nicht das, was ich gesucht habe.
Im genannten Beispiel wird auch nur ein script ausgeführt, dass ein zarafa-backup ausführt.
Im Z-Admin ist das wesentlich simpler gelöst:
Anlegen eines rudimentären Backup-Plans, Sicherungen werden durchgeführt, Resultate können in einer einfachen GUI eingesehen werden.
Bislang scheint das unter UCS nur SEP sesam so zu können.
Und zu den Latenzen im Member-Betrieb:
Wir fahren seit Jahren ZARAFA mit Z-Admin im Member-Betrieb.
Latenzen von ~ 5 Sekunden sind mir noch nicht vorgekommen.
Aber generell ist natürlich die Variante mit SSO nicht zu verachten.

Moin,

Ist das wirklich noch der Fall? Vor einer Woche hat Univention doch gerade erst eine neue AD-Connector-Version herausgebracht, für die auf dem AD auch der Univention-Passwortdienst nicht mehr benötigt habe. Wenn ich den Blog-Post richtig verstanden habe, so ist es seitdem sehr wohl möglich, die Passwörter direkt auszulesen.

Ausprobiert habe ich das selber bisher noch nicht.

@El Muchacho: welche Version des Paketes »univention-ad-connector« ist denn installiert? (siehe »dpkg -l univention-ad-connector«)

LG,
mosu

Das werde ich gleich sagen können, nachdem die Neuinstallation durch ist
Ich hatte das Gefühl, dass hier irgendwas verbogen ist, da ich mir diese Trägheit des Systems absolut nicht vorstellen konnte …

Melde mich …

Moin,

wenn Sie eh gerade neu installieren, dann lassen Sie auf jeden Fall nach Abschluss der Installation alle verfügbaren Updates einspielen.

Gruß,
mosu

Ob sich dort kürzlich was verändert hat kann ich nicht sagen, vor ein paar Wochen galt aber noch der Ablauf “Login am Univention LDAP -> Univention macht ein Auth per Kerberos am AD um Login zu bestätigen”.

Jetzt gelingt es mir noch nicht einmal, den Server in die Domain aufzunehmen …

Moin,

haben Sie das alte Computerkonto ordentlich gelöscht?

Gruß,
mosu

Konto ist aus dem AD entfernt.
Um DNS-Fehler auszuschließen, habe ich die DNS Einträge in Forward- und Reverse-Zone dieses Mal vorher angelegt.

Moin,

schon probiert, wenn weder Konto noch DNS-Einträge vorhanden sind?

Gruß,
mosu

Versuche ich gleich noch einmal, wenn es nun wieder nicht klappt …

Habe nun auch die DNS Einträge entfernt und DNS restarted …
Keine Änderung …

Ich sehe einen Verbindungsaufbau zum Port 389 auf dem Server und das war’s dannn …
UCS bricht dann mit der o.g. Fehlermeldung “502” ab.

Jetzt habe ich es noch einmal von Grund auf neu gemacht …
Nach der Auswahl Member-Server wird mir der DC korrekt angezeigt.
Ich verwende einen Domain-Admin Account, um UCS in die Domain aufzunehmen.
Klappt nicht …
Diesmal allerdings nicht mit Fehler 502 sondern mit dem hinweis, dass der ssh-login auf dem Windows DC nicht erfolgreich war ?!
“Erneut konfigurieren” klappt nicht, und fertigstellen und den Domainbeitritt manuell über die WebGUI durchzuführen auch nicht.

Moin,

Das ist ein Symptom, das passieren kann, wenn gewisse Einträge im AD-DNS gefunden werden und das Installationsprogramm daher denkt, dass es sich um eine UCS-Domäne und nicht um eine AD-Domäne handelt. Das gleiche ist z.B. diesem User hier passiert. Schauen Sie doch mal nach den DNS-Einträgen, die Herr Gohmann dort benennt, und löschen Sie sie, falls sie existieren.

Wie weiter unten in dem Thread beschrieben kann man aber auch erst mal eine neue UCS-Domäne aufsetzen und später das AD-Connector-Modul installieren und konfigurieren. Der AD-Beitritt muss also nicht direkt bei der Erstinstallation erfolgen.

LG,
mosu

Danke für den Hinweis …
Der Eintrag war tatsächlich vorhanden im DNS!
Direkt unter DNS-SERVER --> Forward-Lookupzonen–> mydomain.lan --> _tcp
Habe ich gelöscht, den DNS neu gestartet und es nach einem reboot von UCS noch einmal versucht … wieder der ssh-Fehler …

Nachdem nun aber auf Seiten des AD und des AD-DNS alles wieder clean ist, wage ich eine erneute Installation

Was ist hierunter zu verstehen? Wurde Memberserver als UCS-Rolle ausgewählt? Wenn ja, ist dies falsch. Das erste UCS-System muß immer die UCS-Rolle DC Master haben, auch wenn es einer AD-Domäne beitreten soll.

Das Problem scheint wahrlich am DNS gelegen zu haben …
Mir ist gar nicht aufgefallen, dass mir der Beitritt zu einer bestehenden AD-Domain gar nicht aufgeführt war …
Habe stumpf immer den zweiten Eintrag gewählt
Asche über mein Haupt … und danke für eure Geduld

Nachdem nun die Installation samt Aufnahme in die Domain geklappt hat, habe ich ZARAFA installiert …
Danach ist kein Login an der UMC mehr möglich …
Der univention-management-console-web-server arbeitet mit 100% CPU …

connector.log zeigt an, dass die maildomain der user nicht zugeordnet werden kann …
Einleuchtend, da der Server zur domain mydomain.lan gehört, die maildomain der zarafa-user aber eine andere ist …

Aber wie füge ich die Maildomain hinzu, wenn ich mich an der UMC nicht anmelden kann ?!