"binddn for user Administrator not found"

german

#1

Hallo Forum,

wie im Betreff schon gesagt: nach dem Update auf 3.1-1 hat sich eine Vergniesgnaddelung eingestellt, die dazu führt, dass wir weder auf dem Master noch mit einem Slave- oder Backup-Server einen Domain-Join-Vorgang auslösen können.

Wir haben das Administrator-Passwort mal über “passwd” auf der Kommandozeile geändert; aber so richtig erklären kann das das Phänomen wohl kaum. Der DHCP-Server tut auch nicht mehr, was er soll.

Da wir von der c’t-Edition auf eine reguläre Lizenz umstellen, ist auch eine Neuinstallation nicht nur möglich, sondern vermutlich sinnvoll. Aber ich befürchte, dass der Import des LDAP angesichts der bestehenden Vergniesgnaddelung eher nicht so reibungslos ablaufen wird.

Auch der Versuch, für den Join-Vorgang den Nutzer “root” oder einen anderen Benutzer, der die Rechte eines Domain-Admininstrators inne haben sollte, schlägt fehl.

Weil mir nichts besseres einfiel, habe ich ein “ucr commit” ausgeführt, was aber auch nichts geändert hat.

Ich habe den Verdacht und die Hoffnung, dass die Lösung eigentlich nicht so schwierig ist (wir müssen ja nur den binddn für den Administrator wiederfinden, richtig?).

Aber ich komme nicht drauf.

Für jede Hilfe dankbar:

C. Franz


#2

Hallo,

ich schlage vor, dass Sie in einem ersten Schritt versuchen das Passwort für den Administrator neu über den UDM-Cli zu setzen - diese Aktion kann als root erfolgen:

eval $(ucr shell) udm users/user modify --dn uid=Administrator,"$ldap_base" --set password=passwort

Können Sie sich anschließend an der UMC anmelden?

Parallel sollten Sie auch einmal schauen, ob es Auffälligkeiten am Benutzerobjekt gibt:

univention-ldapsearch uid=Administrator

Mit freundlichen Grüßen,
Tim Petersen


#3

Hallo Herr Petersen,

vielen Dank für Ihre noch vor-weihnachtliche Antwort! Der Versuch, das Passwort zurückzusetzen, schlug leider mit folgender Meldung fehl:

E: object not found

Die Ausgabe von univention-ldapsearch sieht so aus:

[code]# extended LDIF

LDAPv3

base <dc=bdf,dc=lan> (default) with scope subtree

filter: uid=Administrator

requesting: ALL

Administrator, users, bdf.lan

dn: uid=Administrator,cn=users,dc=bdf,dc=lan
uid: Administrator
krb5PrincipalName: Administrator@BDF.LAN
uidNumber: 2002
sambaAcctFlags: [U ]
krb5MaxLife: 86400
cn: Administrator
krb5MaxRenew: 604800
loginShell: /bin/bash
univentionObjectType: users/user
displayName: Administrator
sambaSID: S-1-5-21-3484755318-1435019867-1935318289-500
gecos: Administrator
sn: Administrator
homeDirectory: /home/Administrator
gidNumber: 5000
sambaPrimaryGroupSID: S-1-5-21-3484755318-1435019867-1935318289-512
univentionPolicyReference: cn=default-admins,cn=admin-settings,cn=users,cn=pol
icies,dc=bdf,dc=lan
univentionUMCProperty: uvmmShutdownSeen=false
univentionUMCProperty: appcenterSeen=yes
univentionUMCProperty: favorites=udm:users/user,udm:groups/group,udm:computers
/computer,appcenter,updater,apps:ucc
univentionMailHomeServer: fredegund.bdf.lan
ast4ucsUserExtmode: hide
sambaMungedDial: xxxxxxxxxxx
objectClass: top
objectClass: person
objectClass: univentionPWHistory
objectClass: posixAccount
objectClass: shadowAccount
objectClass: univentionMail
objectClass: sambaSamAccount
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: krb5Principal
objectClass: krb5KDCEntry
objectClass: univentionObject
objectClass: univentionPolicyReference
objectClass: univentionPerson
objectClass: ast4ucsUser
pwhistory: xxxxxxxxxxxxxxxxxxxxxxxxxxxx
sambaNTPassword: yyyyyyyyy
sambaLMPassword: yyyyyyyyy
sambaPasswordHistory: xcyxxyxyxy yxyxyxyxyxyxy
krb5Key:: asdfasdfasdf
krb5Key:: asdfasdfasdfasdf
krb5Key:: asdfasdfasdfasdfasf
krb5Key:: asdfasdfasdfasdfasdf
krb5KDCFlags: 126
krb5KeyVersionNumber: 4
sambaPwdLastSet: 1234567890

search result

search: 3
result: 0 Success

numResponses: 2

numEntries: 1[/code]

Ich muss gestehen, dass mir da nicht wirklich irgendetwas auffällt - was aber auch daran liegen kann, dass ich nicht weiß, wie es anders oder richtig aussehen sollte.

Wenn Sie noch ein Anregung haben, trifft es keinen Undankbaren…

Danke für Ihre Unterstützung!

C. Franz

EDIT:

Das hier kommt dabei heraus, wenn man einen Join-Vorgang von einem Backup-DC (läuft in einer VM) durchzuführen versucht:

Check database: ...Could not determine BDB version of /var/lib/univention-ldap/ldap. Skipping /usr/bin/db4.8_recover to avoid damage. Starting ldap server(s): slapd ...done. Mon Dec 23 18:44:40 CET 2013: finish /usr/sbin/univention-join


#4

Hallo,

ich bin mir nicht so sicher, ob ich Ihre Anfrage insgesamt korrekt verstehe.

Sind die Systeme (Backup und Slave) bereits erfolgreich in die Domäne gejoined?

univention-check-join-status

Oder versuchen Sie neue Systeme neu in die Domäne zu joinen? Wenn ja, wie sieht der komplette Aufruf hierzu aus und was steht hierzu alles in der Datei “/var/log/univention/join.log”?

[quote=“BoetcherDretzkiFranz”]Der Versuch, das Passwort zurückzusetzen, schlug leider mit folgender Meldung fehl:

E: object not found

[/quote]

Das ist merkwürdig - das Objekt ist ja laut ldapsearch vorhanden. Bitte versuchen Sie es einmal direkt mit der DN:

udm users/user modify --dn uid=Administrator,cn=users,dc=bdf,dc=lan --set password=passwort

Können Sie sich als Administrator an der UMC anmelden?

Mit freundlichen Grüßen,
Tim Petersen


#5

Hallo Herr Petersen,

entschuldigen Sie die späte Rückmeldung; zwischen den Jahren ist in einer Anwaltskanzlei der Teufel los…

Der Master ist mit seinem “Join-Status” zufrieden, die Ausgabe von “univention-check-join-status” ist “Joined succesfully”.

Auf dem Slave lässt sich das nicht prüfen, weil der schon beim Hochfahren mit der Meldung “checking database…” hängt. Wir haben deshalb versucht, einen weiteren Slave und einen Backup-Domainserver in virtuellen Maschinen aufzusetzen und zu joinen, was mit der oben genannten Fehlermeldung fehlgeschlagen ist, und zwar beim Join-Vorgang während der Installation als auch bei einem nachträglichen Versuch von der Kommandozeile respektive über das entsprechende Modul nach Anmeldung als “root” an der UMC des Slave oder Backup-Servers.

In der UMC sieht das wie folgt aus:

Die Logdatei sagt Folgendes:

Sat Dec 28 13:54:25 CET 2013: starting /usr/sbin/univention-join -dcname fredegund.bdf.lan -dcaccount Administrator -dcpwd /tmp/tmpabcdefg1234 running version check OK: UCS version on fredegund.bdf.lan is higher or equal (3.11) to the local version (3.11). Stopping ldap server(s): slapd ...done. Stopping Samba 4 daemon: samba. Check database: ...Could not determine BDB version of /var/lib/univention-ldap/ldap. Skipping /usr/bin/db4.8_recover to avoid damage. Starting ldap server(s): slapd ...done. Sat Dec 28 13:54:36 CET 2013: finish /usr/sbin/univention-join

Das Neusetzen des Passworts funktioniert mit dem von Ihnen zuletzt beschriebenen Befehl ebenso wie die Anmeldung am UMC. Bizarrerweise kann man sich allerdings mit dem Benutzernamen “Administrator” und dem bei der Installation des Master gesetzten Passwort ebenfalls nach wie vor an der UMC anmelden (!), auch wenn in der Folge Fehlermeldungen ausgegeben werden, wenn man ein Modul aufrufen möchte. Nicht zuletzt scheinen die Windows-Clients nicht mehr mit dem Master zu reden, denn auch dort macht sich die Änderung des Passworts des Accounts “Administrator” nicht bemerkbar - sie fordern stoisch das bei der Installation verwendete Passwort an.

Gruß

C. Franz

PS: was die etwas bescheuerten Host-Namen angeht - wir nehmen für unsere Rechner Namen von Figuren aus der Nibelungensaga, weil jedes Schema gleich gut ist; hat nix mit Deutschtümelei zu tun…


#6

Hallo,

vermutlich wird es etwas schwierig, die genaue Ursache über diesen Kanal weiter einzugrenzen.
Gern würde ich aber noch einmal versuchen, mir den Systemstatus des Masters etwas direkter mithilfe eines unserer Support-Tools anzusehen.
Sofern der Status (insbesondere bzgl. LDAP) dort in Ordnung ist, sollte zumindest einer geplanten Neuinstallation der Umgebung nichts im Wege stehen.
Sehen Sie zum Vorgehen bitte den SDB-Artikel #1174.
Das wie dort beschriebene Archiv (bzw. den generierten Dateinamen nach Upload auf upload.univention.de) können Sie uns unter Angabe dieses Threadtitels als Refrenz an feedback@univention.de senden.

Mit freundlichen Grüßen,
Tim Petersen