Clients können sich nach Update auf 4.2.1 nicht mehr anmelden

kangaroo · July 1, 2017, 6:49am

Hallo Zusammen
habe gestern von auf 4.2.1 upgedatet. Das Update lief auch einwandfrei durch. Hat zwar relativ lange gedauert
aber es kamen keine Fehlermeldungen.
nach dem Update habe ich dann nochmals die Joinscipts neu gestartet und auch das ging problemlos.
Wollte mich dann an einer Arbeitsstation anmelden und bekam die Fehlermeldung Benutzername oder Passwort
falsch.
Samba habe ich neu gestartet und scheint auch zu laufen.
Habe dann Univention-s4search ausgeführt und bekam folgende Fehlermeldungen.

root@dcmg:/etc/init.d# univention-s4search 
Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
Failed to connect to 'ldaps://dcmg.kangaroo-mg.int' with backend 'ldaps': LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
Failed to connect to ldaps://dcmg.kangaroo-mg.int - LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
root@dcmg:/etc/init.d# 

hat da jemand eine Idee. Montag geht bei uns der Betrieb weiter und keiner kann sich anmelden.
Wäre für jeden Hinweis dankbar.
LG

SirTux · July 1, 2017, 7:30am

Hallo,

dann würde ich mir doch noch mal das Log genauer anschauen. Außerdem könntest du versuchen das Paßwort des Maschinenkontos über die UMC neu zu setzen. Es muß mit dem aus der /etc/machine.secret übereinstimmen.

kangaroo · July 1, 2017, 7:45am

Hallo SirTux
Tschuldige bitte, dass ich so doof nachfragen muss aber was meinst du mit Maschinenpasswort.
Stehe gerade irgentwie auf dem Schlauch

SirTux · July 1, 2017, 8:36am

Jeder Computer der Domain hat ein Maschinenkonto samt Paßwort. Diese kannst du über das Modul “Computer” der UMC verwalten.

kangaroo · July 1, 2017, 8:42am

ok danke.
gehe davon aus das die Passwörter beim Joinen der Clients zunächst automatisch gesetzt werden. Richtig?
Habe für die Clients noch nie eine separates Kennwort gesetzt.
Du meinst also ich müsste jetzt beim jedem Computer ein neues Passwort vergeben? Und müssen die alle unterschiedlich sein

SirTux · July 1, 2017, 9:31am

Nein nur beim Master (den hast du doch geupdated oder?). Dieser kann sich am Samba 4 ja offensichtlich nicht authentifizieren.

Funktioniert eigentlich die Authentifizierung am openLDAP?

univention-ldapsearch

Gibt es Rejects?

univention-s4connector-list-rejected

Gunnar.Ziesche · July 1, 2017, 11:18am

Hallo,

habe gerade das selbe Problem.

Habe zunächst nach dem update meldungen vom Nagios bekommen, dass der S4connector Fehler hat:

S4CONNECTOR CRITICAL: Could not connect to samba server!

univention-ldapsearch - funktionierte
univention-s4search - funktionierte nicht (Invalid Credentials - gleiche fehlermeldung Meldung wie von kangoroo)
univention-s4connector-list-rejected - keine Probleme

Habe das Passwort des Univention Domain Controller Masters geändert.

unter /etc/machine.secret und
UMC -> Rechner (DCM auswählen) -> [Erweiterte Einstellungen] -> Konto -> Passwort

univention-ldapsearch - funktioniert NICHT (invalid credentials)
univention-s4search - funktioniert
univention-s4connector-list-rejected - keine Probleme

Anmelden an einem Windows Client funktioniert bei mir weiterhin nicht.

Habe das Problem schon bei mehreren Updateversuchen (von letztem 4.1 -> 4.2.0) nicht gelöst bekommen. Bisher konnte ich die UCS Installation via Backup wieder zurücksetzen.

kangaroo · July 1, 2017, 11:38am

Ja habe exakt das gleiche.
DC Passwort zurückgesetzt.
univention-ldapsearch - funktioniert NICHT (invalid credentials)
univention-s4search - funktioniert
univention-s4connector-list-rejected - keine Probleme

Gunnar.Ziesche · July 1, 2017, 12:14pm

Hatte in der zwischenzeit nochmal alle join scripte laufen lassen - die liefen zwar durch, aber mit dem fehlenden LDAP Credential konnte der BIND9 als DNS Server auch nichts mehr auflösen - dessen Daten liegen ja auch im LDAP.

Zeit das Backup wieder einzuspielen.

Leider ist mir noch nicht klar, warum nach dem Update openlLDAP und s4Ldap mit demselben machine.secret nichts mehr anfangen können.

SirTux · July 1, 2017, 12:26pm

Funktioniert die Paßwort-Änderung vor dem Update? Habt ihr es schon mal mit einem komplett neuem Paßwort probiert?

Gunnar.Ziesche · July 1, 2017, 12:40pm

Nach dem Update hatte ich zunächst das Passwort vom /etc/machine.secret übernommen in das Rechner Passwort im UCS übernommen. Das hat zu keiner Änderung geführt. Erst nach vergabe eines neuen Passworts (20 Zeichen Groß- / Kleinbuchstaben & Ziffern) verhielten sich s4ldapsearch & univention-ldapsearch unterschiedlich. Die Anmeldung am Windowsrechner ging bei keinem Änderungsversuch nach dem Update.

Vor dem Update / nach Wiederherstellung des Backups funktionieren beide Suchen und es gibt auch keine Fehler im Nagios.

Zur Änderung des machine.secrets [EDIT] nach dem Update hatte ich schon mal diesen SDB Artikel ausprobiert - leider ebenfalls ohne Erfolg.

scheinig · July 2, 2017, 11:59am

kangaroo:

root@dcmg:/etc/init.d# univention-s4search 
Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS -  &lt;8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1&gt; &lt;&gt;
Failed to connect to 'ldaps://dcmg.kangaroo-mg.int' with backend 'ldaps': LDAP error 49 LDAP_INVALID_CREDENTIALS -  &lt;8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1&gt; &lt;&gt;
Failed to connect to ldaps://dcmg.kangaroo-mg.int - LDAP error 49 LDAP_INVALID_CREDENTIALS -  &lt;8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1&gt; &lt;&gt;
root@dcmg:/etc/init.d#

Der Serverpasswordchange war erfolgreich und auch ein ldbsearch -H /var/lib/samba/private/sam.ldb cn=Administrator ohne Fehlermeldung funktioniert.

Hier kann man noch einmal prüfen, ob Heimdal zufällig läuft:
ps aufx |grep heimd

root      1686  0.0  0.0  64940  4728 ?        S    Jun30   0:04 /usr/lib/heimdal-servers/kdc --config-file=/etc/heimdal-kdc/kdc.conf
root      1689  0.0  0.0 410612  4952 ?        S    Jun30   0:00 /usr/lib/heimdal-servers/kpasswdd

Das darf in einer Samba4 Umgebung auf einem Master nicht so aussehen, sondern der Dienst muss dann gestoppt werden.

RMaurer · July 6, 2017, 4:28am

Da dürfte der Wurm drinn sein beim LDAP und der DNS Auflösung.
Bei mir war alles ok. gestern hatte ich wieder das Problem, dass der Client nicht mehr in die Domain einloggte.
Das heißt, es war nur ein Privates Netzwerk in den Adaptereigenschaften zu sehen.

Keine Anmeldung in die Domain möglich. kein Rechner per nslookup erreichbar.

Grund war diesmal. Der LDAP Server war nicht gestartet. Reboot und es ging wieder. komisch, das bin ich von Linux garnicht gewohnt, das sowas passiert. Letztens war Bind9 nicht gestartet, bzw nicht automattisiert in insserv eingetragen.
Dazu habe ich einen Threat weiter unten erstellt. systemctl enable bind9.service war die Lösung.

Thread:
Upgrade 4.2 auf 4.2.1 - DNS löst nicht mehr auf

Das Update scheint einige Problemchen aufzuwerfen. Bisher hatte immer alles wunderbar geklappt.

Lg Richie

Gunnar.Ziesche · July 15, 2017, 11:02am

Das Problem war auch bei mir der nach dem Upgrade auf 4.2.1 laufende Heimdal Kerberos Server.
Ich habe den Dienst gestoppt und auf dem DMC deaktiviert

systemctl stop heimdal-kdc
systemctl disable heimdal-kdc

weitere Probleme gab nicht, es war auch nicht notwendig, dem DMC host ein neues Passwort zu verpassen. Kann es sein, dass das Update nicht beachtet, dass der Server als DMC KEIN hiemdal starten soll?

Vielen Dank jedenfalls für die Lösung.