Fehler beim Versuch Cleints anzubinden

german

#1

Hallo,

ich benutze die c’t 3.02 Version von UCS als PDC.
Soweit läuft alles.

Jedoch ist es mich leider nicht mehr möglich mich mit bereits angebunden Clients an die Domäne anzumelden, oder neue Clients anzubinden.
Ich bekomme ständig eine Fehlermeldung dass der Zugriff auf Port 464 (kpass) blockiert wurde.
Von Seite der Firewall stimmt alles, ich sehe auch in den Logs im UCS, dass der Zugriff erfolgt.

Anbei sind zwei Screenshots (einmal Mac Client und einmal Linux Client) mit dem Centrify Tool zum anbinden an die Dömäne.
Dasselbe passiert jedoch auch von einem Mac Client mit dem Apple AD Plugin.

Von Windows Seite habe ich zwei Clients die bereits angebunden sind, aber eine Anmeldung an die Domäne scheitert. Siehe Screenshot.

Hat jemand eine Idee wie ich das Problem lösen kann? Scheint etwas mit dem Kerberos Dienst zu tun haben.

Danke und Gruß,
Yasmin







#2

Hallo,

[quote=“yasmin_k”]Ich bekomme ständig eine Fehlermeldung dass der Zugriff auf Port 464 (kpass) blockiert wurde.[/quote]hierzu bitte einmal auf dem UCS-System die iptables regeln und die Dienste prüfen:

iptables-save | grep 464 netstat -tulpen | grep 464

[quote=“yasmin_k”]Von Seite der Firewall stimmt alles, ich sehe auch in den Logs im UCS, dass der Zugriff erfolgt.[/quote]Wo sehen Sie dass die Zugriffe erfolgen? Welche Meldungen gibt es genau?

Hat das Joinen der Clients in der Vergangenheit funktioniert? Seit wann/mit welchen Änderungen in Ihrer Umgebung oder Updates funktioniert es nicht mehr?

Mit freundlichen Grüßen
Janis Meybohm


#3

Hallo Herr Meybohm,

also, ich weiss leider nicht mehr seitdem das Problem besteht - kann sein, dass es mit dem Samba4 Update erschienen ist.

Auf jeden Fall habe ich noch einige Rechner angebunden - aber eine Anmeldung bzw. Neuanbindung von anderen Clients ist nicht mehr möglich.

Im Anhang sind ein paar Screenshots, vielleicht können Sie da was rausfinden, das wäre sehr nett.
Der Screenshot von heimdal-kdc.log ist nach dem Versuch einen Linux Client mittels Centrify Plugin anzubinden.

Viele Grüße,
Yasmin K.







#4

Hallo,

in einer Samba 4 Umgebung sollte der kpasswdd (bzw. die Kerberos-Dienste) nicht laufen da der Dienst von Samba 4 bereitgestellt wird. Um den Start zu unterbinden wird bei der Installation die UCR Variable “kerberos/autostart=no” gesetzt.
Bitte prüfen Sie warum der kpasswdd läuft (ggf. geänderte UCR Variablen sollten sich anhand der Logdateien /var/log/univention/config-registry.replog nachvollziehen lassen), Stoppen Sie die Kerberos Dienste und starten Sie Samba 4 neu.

Mit freundlichen Grüßen
Janis Meybohm


#5

Hallo Herr Meybohm,

super, vielen Dank jetzt klappt’s.

Ich weiss nicht warum der Kerberos-Dienst auf “automatisch starten” war.
Wie auch immer, jetzt geht’s.

Ich habe jedoch jetzt ein anderes Problem, die Clients melden mir, dass die Passwörter ablaufen, obwohl eingestellt ist, dass sie nicht ablaufen sollen (siehe Screenshot).
Haben Sie eine Idee was es sein könnte?

Mit freundlichen Grüßen,
Yasmin K.





#6

Hallo,

bitte prüfen Sie hierzu die Samba/AD Konfiguration (“samba-tool domain passwordsettings show/set”, wie z.B. im Thread UCS 3.0 - Passwort-Ablaufintervall unendlich beschrieben) sowie die Hinweise im Kapitel Richtlinienbasiertes Passwort-Management des UCS Handbuchs.

Mit freundlichen Grüßen
Janis Meybohm


#7

Hallo Herr Meybohm,

vielen Dank, ist erledigt!

Mit freundlichen Grüßen,
Yasmin K.