Hallo,
ich komme nicht mehr weiter. Ich wollte auf einem Produktivsystem Zarafa zu Kopano mirgrieren. Was ich bereits auf mehreren System erfolgreich gemacht habe. Hier ist aber irgendetwas schief gelaufen und nun habe ich ein großes Problem.
Ich habe Zarafa über die UMC deinstalliert und wollte dann Kopano installieren. Dies schlug aber auf hälfte der Installation fehl. Ich habe dann die Kopano Installation über die Konsole durchgeführt, wo sie auch sauber durchlief. Im Anschluss habe ich das Migrationsskript laufen lassen. Jedoch konnte ich mich nicht an der WebApp anmelden. Er sagte mir das meine Zugangsdaten nicht stimmen würden. Nach einem Neustart des Servers, keine Besserung. Schlimmer, ich konnte mich nun nicht nur an der WebApp nicht anmelden sondern nirgends mehr. Die Clients haben die Anmeldedaten an der Domain abgelehnt und selbst der Administrator kann sich weder an der UMC noch an der Konsole anmelden. “Anmeldedaten nicht korrekt”. Es funktioniert nur noch eine Anmeldung mit “root”
Ich hoffe ihr könnt mir helfen den Fehler zu finden. Hier mal ein paar Dinge die ich bereits probiert habe um den Fehler einzugrenzen:
root@fps-server:~# kinit Administrator
Administrator@SEEBLICK.LOKAL's Password:
kinit: Password incorrect
root@fps-server:~# klist
klist: No ticket file: /tmp/krb5cc_0
root@fps-server:~# ucr search --brief kerberos
kerberos/adminserver: fps-server.seeblick.lokal
kerberos/adminusers: <empty>
kerberos/afscell: <empty>
kerberos/allow/weak/crypto: <empty>
kerberos/autostart: no
kerberos/defaults/debug: <empty>
kerberos/defaults/dns_lookup_kdc: <empty>
kerberos/defaults/dns_lookup_realm: <empty>
kerberos/defaults/enctypes/permitted: <empty>
kerberos/defaults/enctypes/tgs: <empty>
kerberos/defaults/enctypes/tkt: <empty>
kerberos/defaults/forwardable: <empty>
kerberos/defaults/kdc_timesync: <empty>
kerberos/defaults/proxiable: <empty>
kerberos/domain_realms: <empty>
kerberos/kadmin/default/keys: <empty>
kerberos/kdc: 127.0.0.1
kerberos/kpasswdserver: 127.0.0.1
kerberos/password/quality/check: yes
kerberos/realm: SEEBLICK.LOKAL
root@fps-server:~# passwd Administrator
Current Kerberos password:
passwd: Fehler beim ändern des Authentifizierungstoken
passwd: Passwort nicht geändert
root@fps-server:~# smbclient -UAdministrator //$(ucr get hostname)/sysvol -c quit
Enter Administrator's password:
session setup failed: NT_STATUS_LOGON_FAILURE
Auszug aus der auth.log
Jan 22 21:20:34 fps-server login[6132]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=administr$
Jan 22 21:20:34 fps-server login[6132]: pam_krb5(login:auth): authentication failure; logname=administrator uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Jan 22 21:20:36 fps-server login[6132]: FAILED LOGIN (1) on '/dev/tty1' FOR 'administrator', Authentication failure
Jan 22 21:20:47 fps-server login[6132]: pam_krb5(login:auth): authentication failure; logname=administrator uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Jan 22 21:20:47 fps-server login[6132]: pam_ldap: error trying to bind as user "uid=Administrator,cn=users,dc=seeblick,dc=lokal" (Invalid credentials)
Jan 22 21:20:49 fps-server login[6132]: FAILED LOGIN (2) on '/dev/tty1' FOR 'administrator', Authentication failure
Jan 22 21:21:10 fps-server login[6132]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
root@fps-server:~# ldapsearch
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
additional info: SASL(-1): generic failure: GSSAPI Error: Miscellaneous failure (see text) (open(/tmp/krb5cc_0): No such file or directory)
[code]root@fps-server:~# ldbsearch -debug-stderr -H ldaps://$(ucr get ldap/master) -UAdministrator
debug_parse_params: unrecognized debug class name or format [ebug-stderr]
Password for [SEEBLICKAdministrator]:
Password for [SEEBLICKAdministrator]:
Password for [SEEBLICKAdministrator]:
Wrong username or password: kinit for Administrator@SEEBLICK.LOKAL failed (Preauthentication failed)
SPNEGO(gssapi_krb5) creating NEG_TOKEN_INIT failed: NT_STATUS_LOGON_FAILURE
Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS - <SASL:[GSS-SPNEGO]: NT_STATUS_LOGON_FAILURE> <>
Failed to connect to ‘ldaps://fps-server.seeblick.lokal’ with backend ‘ldaps’: (null)
Failed to connect to ldaps://fps-server.seeblick.lokal - (null)
[/code]
[code]root@fps-server:~# univention-ldapsearch -x -s base
extended LDIF
LDAPv3
base <dc=seeblick,dc=lokal> (default) with scope baseObject
filter: (objectclass=*)
requesting: ALL
seeblick.lokal
dn: dc=seeblick,dc=lokal
dc: seeblick
univentionObjectType: container/dc
krb5RealmName: SEEBLICK.LOKAL
nisDomain: seeblick.lokal
associatedDomain: seeblick.lokal
univentionPolicyReference: cn=default-settings,cn=thinclient,cn=policies,dc=se
eblick,dc=lokal
univentionPolicyReference: cn=default-settings,cn=pwhistory,cn=users,cn=polici
es,dc=seeblick,dc=lokal
univentionPolicyReference: cn=default-users,cn=admin-settings,cn=users,cn=poli
cies,dc=seeblick,dc=lokal
objectClass: top
objectClass: krb5Realm
objectClass: univentionPolicyReference
objectClass: nisDomainObject
objectClass: domainRelatedObject
objectClass: domain
objectClass: univentionBase
objectClass: univentionObject
objectClass: msGPO
msGPOLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=Sy
stem,DC=seeblick,DC=lokal;0]
search result
search: 3
result: 0 Success
numResponses: 2
numEntries: 1
[/code]