Diverse Dinge bringen Fehler!

Die momentan installierte Version ist 4.4-6 errata787

Ich habe mich erneut an univention versucht da wir als Fa. doch ganz gerne ein solches System einsetzen würden, aber ich stolpere hier ständig über vermutlich Kleinigkeiten die das Arbeiten mit UCS nicht wirklich einfach und Produktiv machen.

Hier mal meine Konfiguration :

UCS-Master (172.16.0.100) als VM auf einem KVM-Server
UCS-Mailserver (als Slave in der UCS-Master Domäne) (172.16.0.73) als VM auf einem 2.KVM-Server

auf dem UCS-Master sind folgende APPs installiert
1.) Active Directory-kompatibler Domänencontroller (4.10)
2.) Admin Diary Backend (1.0)
3.) Admin Diary Frontend (1.0)
4.) Nextcloud Hub (19.0.4-0
5.) OnlyOffice (6.0.0.105)

Ich habe hier nun Testweise einen User “MaxMustermann” (mm@meinedomain.intern) angelegt, welcher default mässig in der Gruppe “Domain Users” ist.
Mit diesem Benutzer konnte ich mich problemlos über einen Windows 10 PC an der UCS-Master Domäne anmelden und arbeiten.
Ich habe dann Testweise diesen User auf dem UCS-Master gelöscht und einen neuen User “MikeMustermann” (mm@meinedomain.intern) angelegt. Auch dieser ist default mässig in der Gruppe “Domain Users” enthalten, schaut also gut aus DACHTE ICH !!!
Versuche ich mich nun am selben Windows 10 PC mit diesem User anzumelden erhalte ich am Windows 10 PC die Meldung “Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung”
Auch beim versuch das mit dem Administrator Konto zu machen bringt die selbe Fehlermeldung !

Versuche ich mich nun mit dem selben User an Nextcloude per “SSO- & SAML-Anmeldung” anzumelden, so erhalte ich dort die Meldung “Zugriff verboten Sie haben nicht die erforderlichen Berechtigungen um auf diese Anwendung zuzugreifen. …”

Mache ich das ganze bei Nextcloude mit dem Administrator Konto so geht der “SSO- & SAML” Login

Bin für Vorschläge / Lösungen offen

was gibt des Samba DNS check aus ?
/usr/share/univention-samba4/scripts/check_essential_samba4_dns_records.sh

lg
Christian

gc._msdcs.meinedomain.intern has address 172.16.0.100
_gc._tcp.meinedomain.intern has SRV record 0 100 3268 ucs-master.meinedomain.intern.
_ldap._tcp.gc._msdcs.meinedomain.intern has SRV record 0 100 3268 ucs-master.meinedomain.intern.
_ldap._tcp.meinedomain.intern has SRV record 0 100 389 ucs-master.meinedomain.intern.
_ldap._tcp.dc._msdcs.meinedomain.intern has SRV record 0 100 389 ucs-master.meinedomain.intern.
_ldap._tcp.pdc._msdcs.meinedomain.intern has SRV record 0 100 389 ucs-master.meinedomain.intern.
_ldap._tcp.7a18a544-dc2e-4afb-abcc-5bc27a814a99.domains._msdcs.meinedomain.intern has SRV record 0 100 389 ucs-master.meinedomain.intern.
_kerberos._tcp.dc._msdcs.meinedomain.intern has SRV record 0 100 88 ucs-master.meinedomain.intern.
_kerberos._tcp.meinedomain.intern has SRV record 0 100 88 ucs-master.meinedomain.intern.
_kerberos._udp.meinedomain.intern has SRV record 0 100 88 ucs-master.meinedomain.intern.
_kpasswd._tcp.meinedomain.intern has SRV record 0 100 464 ucs-master.meinedomain.intern.
_kpasswd._udp.meinedomain.intern has SRV record 0 100 464 ucs-master.meinedomain.intern.
Located DC 'ucs-master' in site 'Default-First-Site-Name'
37cdd318-68ef-481e-9e49-35c1ea7db164._msdcs.meinedomain.intern is an alias for ucs-master.meinedomain.intern.
## Records for site Default-First-Site-Name:
_ldap._tcp.Default-First-Site-Name._sites.meinedomain.intern has SRV record 0 100 389 ucs-master.meinedomain.intern.
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.meinedomain.intern has SRV record 0 100 389 ucs-master.meinedomain.intern.
_kerberos._tcp.Default-First-Site-Name._sites.meinedomain.intern has SRV record 0 100 88 ucs-master.meinedomain.intern.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.meinedomain.intern has SRV record 0 100 88 ucs-master.meinedomain.intern.
## Optional GC Records for site Default-First-Site-Name:
_gc._tcp.Default-First-Site-Name._sites.meinedomain.intern has SRV record 0 100 3268 ucs-master.meinedomain.intern.
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.meinedomain.intern has SRV record 0 100 3268 ucs-master.meinedomain.intern.
_kerberos.meinedomain.intern descriptive text "MEINEDOMAIN.INTERN"

Schaut ok aus

Ist am Windows Client auch der UCS Master als erster DNS Server eingetragen ?

lg
Christian

Den Client sollten Sie jedefalls neu in die Domäne joinen - aber sicherstellen das der UCS Master als DNS Server am Client eingetragen ist

lg
Christian

Das es mit dem alten User vorher funktioniert hat, würde ich hier auf ein Sync-Problem tippen. Was sagt denn

univention-s4connector-list-rejected

dazu?

also der win10 PC hat als DNS den UCS-Master (172.16.0.100) eingetragen und ist auch auf die Domain eingestellt.

@SirTux

univention-s4connector-list-rejected

UCS rejected


S4 rejected


There may be no rejected DNs if the connector is in progress, to be
sure stop the connector before running this script.


	last synced USN: 4169

Scheint demnach etwas anderes zu sein. Zur SIcherheit würde ich dennoch die Ausgaben abgleichen:

univention-ldapsearch uid=mm
univention-s4search cn=mm

univention-ldapsearch uid=mm

# extended LDIF
#
# LDAPv3
# base <dc=meinedomain,dc=intern> (default) with scope subtree
# filter: uid=mm
# requesting: ALL
#

# mm, users, meinedomain.intern
dn: uid=mm,cn=users,dc=meinedomain,dc=intern
uid: mm
krb5PrincipalName: mm@MEINEDOMAIN.INTERN
objectClass: krb5KDCEntry
objectClass: organizationalPerson
objectClass: automount
objectClass: nextcloudUser
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: person
objectClass: univentionPWHistory
objectClass: univentionMail
objectClass: univentionObject
objectClass: shadowAccount
objectClass: krb5Principal
objectClass: top
objectClass: posixAccount
univentionMailHomeServer: mailserver01.meinedomain.intern
uidNumber: 2032
sambaAcctFlags: [U          ]
sambaBadPasswordCount: 0
krb5MaxLife: 86400
cn: Max Mustermann
title: herr
krb5MaxRenew: 604800
univentionMailUserQuota: 0
sambaBadPasswordTime: 0
nextcloudEnabled: 1
loginShell: /bin/bash
univentionObjectType: users/user
krb5KDCFlags: 126
gidNumber: 5001
sambaPrimaryGroupSID: S-1-5-21-1735760260-53273562-3109144501-513
displayName: Max Mustermann
gecos: Max Mustermann
sn: Mustermann
pwhistory: $6$MQP5IMZ4umMj.GTb$KaZzAzYiFnWf1wlCuIf4M5Fvh5E0BaWEbON5Oh8NaKXHK1NUMZ64Pgzclws14/X.WnybBuH0UztigQ4XwfwGX/
homeDirectory: /home/mm
givenName: Max
sambaSID: S-1-5-21-1735760260-53273562-3109144501-1134
mailPrimaryAddress: mm@meinedomain.intern
userPassword:: e2NyeXB0fSQ2JFN6Y0lsMGJMdlBiakhkZlckV2U1N0JhZGVyTUxiZFlObUZsZ0QwaWhMc2daYzNoenBFNE1EOFhTNU1Hc1VJWHZjUVBvbHBrNzlST01tcGN0Q2p0QllrN3VmQ0FWOHJmZ3Z0V21WUjA=
krb5Key:: MEKhKzApoAMCARKhIgQg7QDZcPpT9u0zx/sAuBoS/s79Ig3FN/QCh7Cn8EeC0CqiEzARoAMCAQOhCgQIWkxTLkRFbW0=
krb5Key:: MDKhGzAZoAMCARGhEgQQ6rCUOEA8jj4LLnDSoA7WQKITMBGgAwIBA6EKBAhaTFMuREVtbQ==
krb5Key:: MDKhGzAZoAMCARehEgQQmHiGQ37kwO5/V99siq2IL6ITMBGgAwIBA6EKBAhaTFMuREVtbQ==
krb5Key:: MCqhEzARoAMCAQGhCgQI73Bi6iP9vECiEzARoAMCAQOhCgQIWkxTLkRFbW0=
krb5Key:: MCqhEzARoAMCAQOhCgQI73Bi6iP9vECiEzARoAMCAQOhCgQIWkxTLkRFbW0=
krb5Key:: MCqhEzARoAMCAQKhCgQI73Bi6iP9vECiEzARoAMCAQOhCgQIWkxTLkRFbW0=
krb5Key:: MDqhIzAhoAMCARChGgQY0Hqdm9kq/embmEU+PioZGbNAH24Zpw4cohMwEaADAgEDoQoECFpMUy5ERW1t
krb5KeyVersionNumber: 2
sambaNTPassword: 987886437EE4C0EE7F57DF6C8AAD882F
sambaPasswordHistory: 05F115741A590FAF6CC5113CAB4B2E6CE4A29AC4BCFC3688F6E63B7DA02E500991D5DC695DE1787BD882D1EF667951396350150B3220E5ECF9311904A795BDCB
sambaPwdLastSet: 1604041523
shadowLastChange: 18565

# search result
search: 3
result: 0 Success

# numResponses: 2
# numEntries: 1

univention-s4search cn=mm

# record 1
dn: CN=mm,CN=Users,DC=meinedomain,DC=intern
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: mm
sn: Mustermann
givenName: Max
instanceType: 4
whenCreated: 20201029133400.0Z
displayName: Max Mustermann
uSNCreated: 4145
name: mm
objectGUID: 7136ea28-b9c6-4d9a-a622-ba2d3ac2017b
userAccountControl: 512
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
primaryGroupID: 513
objectSid: S-1-5-21-1735760260-53273562-3109144501-1134
accountExpires: 9223372036854775807
sAMAccountName: mm
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=meinedomain,DC=intern
loginShell: /bin/bash
uidNumber: 2032
unixHomeDirectory: /home/mm
gidNumber: 5001
personalTitle: herr
userPrincipalName: mm@MEINEDOMAIN.INTERN
lockoutTime: 0
mail: mm@meinedomain.intern
pwdLastSet: 132485151230000000
lastLogonTimestamp: 132485151574595330
whenChanged: 20201030070557.0Z
uSNChanged: 4168
memberOf: CN=Remote Desktop Users,CN=Builtin,DC=meinedomain,DC=intern
lastLogon: 132485162736053270
logonCount: 3
distinguishedName: CN=mm,CN=Users,DC=meinedomain,DC=intern

# Referral
ref: ldaps://meinedomain.intern/CN=Configuration,DC=meinedomain,DC=intern

# Referral
ref: ldaps://meinedomain.intern/DC=DomainDnsZones,DC=meinedomain,DC=intern

# Referral
ref: ldaps://meinedomain.intern/DC=ForestDnsZones,DC=meinedomain,DC=intern

# returned 4 records
# 1 entries
# 3 referrals

Scheint so als wäre der gelöschte User Max Mustermann Samba-seitig durch das Anlegen von Mike Mustermann reaktiviert worden. Das kann passieren, wenn Benutzernamen vorschnell recycelt werden. Hast du es mal mit dem Paßwort von Max Mustermann probiert?

nein, ich wüsste es auch aus dem steh greif nicht mehr

Ok naja du weißt ja jetzt trotzdem was das Problem ist

Aber dann müsste es doch gehen wenn ich einen Benutzer “Paul Breitner” (Benutzername “pb”) anlege oder ?

Das habe ich jetzt mal getestet
am Windows 10 PC kommt auch bei dem neuen Benutzer die selbe Fehlermeldung
Wie ich gerade von einem Kollegen erfahren habe hat dieser gestern Abend noch mit UCS herumprobiert und auf dem UCS-Master unter “Geräte -> Rechner” diesen Windows 10 PC gelöscht !

Ich schätze daher kommt nun das anmelde Problem oder ?

bringt ein manuelles hinzufügen dieses Win10 PCs etwas , oder gibt es ein spezielles verfahren dafür das dieser win10 PC wieder am UCS-Master unter den Geräten sichtbar wird ?

Ich habe nun auch die Nextcloud SSO- & SAML-Anmeldung mit dem neuen Benutzer “PaulBreitner” (Benutzername “pb”) getestet.
Auch hier erhalte ich die Meldung “Zugriff verboten” …

Die normale Anmeldung an Nextcloud mit dem Benutzer “pb” klappt, allerdings wenn ich hier nun versuchen unter Nextcloud -> E-Mail das E-Mail Konto manuell einzurichten erhalte ich immer nur kurz und knapp “Fehler bei der Erstellung des Kontos”

Gibt es irgendwo Logfiles wo man ggf. nachsehen kann, um da mal die Kuh vom Eis zu bekommen ?

Also das Windows 10 DomainUser Anmelde Problem habe ich gelöst, war so simpel wie einfach
Den Windows 10 PC zurück in die “Workgroup” und dann wieder in die UCS-Domain aufgenommen, und schon klappt auch die Benutzeranmeldung !

Bleibt nur noch das Probleme mit dem Nextcloud SSO Login “Zugriff verboten”
Das manuelle einrichten der eMail Adresse unter nextcloud scheint nun auch zu gehen…warum auch immer…

Auch würde mich intressieren wann ein Benutzer der auf dem UCS-Master gelöscht wird auch aus der Nextcloud Benutzerverwaltung verschwindet ? gibt es da bestimmte zeiten für eine Syncronisierung und falls ja kann man diese Zeit ev. irgendwo verkürzen ?

Jemand ev. noch eine Idee zu diesen 2 Punkten ?

1. “Bleibt nur noch das Probleme mit dem Nextcloud SSO Login “Zugriff verboten”
   Das manuelle einrichten der eMail Adresse unter nextcloud scheint nun auch zu gehen…warum auch immer…”

2. “Auch würde mich intressieren wann ein Benutzer der auf dem UCS-Master gelöscht wird auch aus der Nextcloud Benutzerverwaltung verschwindet ? gibt es da bestimmte zeiten für eine Syncronisierung und falls ja kann man diese Zeit ev. irgendwo verkürzen ?”

auch der 1. Punkt ist behoben !
Was mir hier aber aufgefallen ist, wenn ich unter Benutzer mehrere Benutzer markiere und auf “Bearbeiten --> Konto” gehe und dort für die markieren User die SAML Einstellungen eingebe und speichere, so werden diese Daten nicht gespeichert in den einzelnen User Konten. Mann muss hier tatsächlich jeden User einzeln auswählen und die SAML Einstellungen vornehmen.