Authentisieren von Nutzern anderer UNIXe via UCS

german

#1

Leider führt die Anleitung, wie sie im Handbuch beschrieben ist (docs.univention.de/domain-3.2.html#ext-dom-unix) nicht zum Erfolg. Kerberos funktioniert. LDAP nicht.

Die Konfiguration war, wie durch die Anleitung vorgegeben. Es gab nur marginale Abweichungen.
Der Server lässt sich mit:

ldapsearch -x ‘(nc158-muc-v4)’

bei Kenntnis des Zertifikats abfragen:[code]# extentestd LDIF

LDAPv3

base <dc=test,dc=test> (testfault) with scope subtree

filter: (cn=nc158-muc-v4)

requesting: ALL

nc158-muc-v4, clients, computers, muc, test.test

dn: cn=nc158-muc-v4,cn=clients,cn=computers,ou=muc,dc=test,dc=test
aRecord: 10.160.2.45
displayName: nc158-muc-v4
cn: nc158-muc-v4
krb5PrincipalName: host/nc158-muc-v4.test.test@TEST.TEST
macAddress: 00:50:56:39:d8:e4
objectClass: top
objectClass: person
objectClass: univentionHost
objectClass: univentionLinuxClient
objectClass: krb5Principal
objectClass: krb5KDCEntry
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
objectClass: univentionObject
loginShell: /bin/bash
univentionObjectType: computers/linux
uidNumber: 3144
sambaAcctFlags: [W ]
krb5MaxRenew: 604800
sn: nc158-muc-v4
univentionNetworkLink: cn=muc-client-10.160,cn=networks,dc=test,dc=test
homeDirectory: /testv/null
krb5MaxLife: 86400
associatedDomain: test.test
uid: nc158-muc-v4$
gidNumber: 5007
sambaPrimaryGroupSID: S-1-5-21-2139631211-2656284875-1790543244-11015
sambaSID: S-1-5-21-2139631211-2656284875-1790543244-157564
testscription: Schweikle - Testsystem intern

nc158-muc-v4, test.test, dhcp, test.test

dn: cn=nc158-muc-v4,cn=test.test,cn=dhcp,dc=test,dc=test
objectClass: top
objectClass: univentionDhcpHost
cn: nc158-muc-v4
univentionDhcpFixedAddress: 10.160.2.45
dhcpHWAddress: ethernet 00:50:56:39:d8:e4

search result

search: 2
result: 0 Success

numResponses: 3

numEntries: 2[/code]

auf dem Client abfragen. Aber der Versuch dasselbe mit
Authentifizierung durchzuführen schlägt fehl:ldapsearch -y /etc/ldap.secret \ -D cn=nc158-muc-v4,cn=clients,cn=computers,ou=muc,dc=test,dc=test '(cn=nc158-muc-v4) ldap_bind: Invalid credentials (49)

Entsprechend fällt “getent passwd” auf die Nase und liefert nur die lokalen User. Was zu merkwürdigen Effekten führt, da die User erfolgreich via pam authentifiziert werden können, aber die Autorisierungen, die im LDAP abgelegt sind nicht abgefragt werden können.

Es fiel auf, dass sich anscheinend ein Passwort über die Web-Oberfläche des UCS für den Host setzen lässt, aber nirgends angezeigt wird, ob dies auch erfolgreich ist.

Für Solaris existiert keine eigene Anleitung? Ich hab’ jedenfalls mal ein Ubuntu 14.04 aufgesetzt um weitere Probleme durch Solaris-Eigenheiten ausschliessen zu können.


#2

Hallo,

ich habe jetzt nicht genau recherchiert, aber evtl. könnte die Ursache die gleiche wie im Beitrag url=https://help.univention.com/t/l-ubuntu-vmware-in-ucs-domane-aufnehmen/2624/1Ubuntu (VMWare) in UCS Domäne aufnehmen[/url] sein.

Viele Grüße
Ulf Friedel