Installation 5.0 unvollständig?

Hallo!

Ich habe ein Problem mit dem Backup DC. Diesen hatte ich frisch aufgesetzt und in die Domain bringen wollen.
Das Join-Script ist ohne Fehler durchgelaufen. Der Master zeigt aber Replikationsfehler, was mich nach einer Kontrolle auf dem Backup auch nicht wundert. Es laufen überhaupt gar keine Samba-Prozesse, weder Port 135 noch 445 sind offen.
“Active Directory-kompatibler Domänencontroller” ist installiert, jedoch kein Debian Samba-Paket.
Beides Hosts sind 5.0-1 errata339. Aber die Domain-App:
Master: 4.13
Backup: 4.10

Jetzt bin ich verwirrt und ratlos.

Ich habe nun die Stelle im LDAP für diese veraltette 4.10 Version gefunden:
univentionAppID=samba4_4.10,cn=samba4,cn=apps,cn=univention,dc=mydom,dc=zz
Und hier steht der Name des BDC in univentionAppInstalledOnServer.

In univentionAppID=samba4_4.13,cn=samba4,cn=apps,cn=univention,dc=mydom,dc=zz wird der BDC nicht unter univentionAppInstalledOnServer aufgeführt, dort steht nur der PDC.

Scheinbar wurde die App Samba4 nicht installiert.
univention-app install samba4 hat das Problem gehoben, soweit ich das sehen kann.

Hallo und Vielen Dank! :slight_smile:

Ich für meinen Teil habe UCS 5 auf einem externen Server installiert und bisher folgende Unvollständigkeiten festgestellt (hier gepostet, da die Überschrift passt):

Let’s Encrypt
Nach Installation von Let’s Encrypt gab es einen Systemtestfehler “Critical: Check validity of SSL certificates”.
Geholfen hat System diagnostic suddenly gives me: Found invalid certificate '/etc/univention/letsencrypt/signed_chain.crt'

1. wget -O /etc/univention/letsencrypt/lets-encrypt-r3.pem https://letsencrypt.org/certs/lets-encrypt-r3.pem
2. ln -s /etc/univention/letsencrypt/lets-encrypt-r3.pem /usr/local/share/ca-certificates/lets-encrypt-r3.crt
3. update-ca-certificates --fresh

HTTP nach HTTPS umleiten und Anpassungen einer Wordpressinstallation

ucr set apache2/force_https=yes
systemctl restart apache2.service

Hier ist dann ein Fehler in der Wordpressinstallation, in der Konfiguration sind dann keine HTTPS-URLs eingetragen, lässt sich aber nicht ändern (ausgegraut).
Hier müssen die Einträger in der Datenbank geändert werden.

mysql -u wordpress --password=$(< /etc/mysql-wordpress.secret) wordpress

MariaDB [wordpress]> update wp_options set option_value="https://deinedomain/wordpress" where option_name="home";
MariaDB [wordpress]> update wp_options set option_value="https://deinedomain/wordpress" where option_name="siteurl";

Zusätzlich muss man die HTTP-Einträge in der wp-config.php im Container ändern.

define('WP_SITEURL', 'https://' . $_SERVER['HTTP_HOST'] . '/wordpress'); 
define('WP_HOME', 'https://' . $_SERVER['HTTP_HOST'] . '/wordpress'); 

Vorsicht! Diese Änderung ist nach einer Aktualisierung des Container futsch…

TLS 1.0 und TLS 1.1 angeblich aus
Mit entsetzen stellte ich gestern über den Sitetest von SSL Labs fest, dass TLS 1.0 und TLS 1.1 eingeschaltet ist. Angeblich soll dies ja standardmäßig ausgeschaltet sein.
Hier muss in der Univention Configuration Registry die UCR-Variable apache2/ssl/tlsv12 auf den Wert TRUE gesetzt werden, dann ist beides aus. (Geht natürlich auch über die Konsole)

Ciphersuite
SSL Labs vergab immer noch ein “B” aufgrund einer zu laschen Einstellung. Stichwort “perfect forward secrecy”.
Also auch hier ran an die Ciphersuite, welche gar nicht gesetzt ist und daher Defaulteinstellungen nutzt.
Erst einmal etwas strenger gemacht, vielleicht hat ja hier jemand eine bessere Einstellung?

ucr set apache2/ssl/ciphersuite='EECDH+AESGCM:EDH+AESGCM:EECDH:EDH:!CAMELLIA:!SEED:!DES-CBC3-SHA:!DES-CBC-SHA:RSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:DSS:!RC4:!EDH-RSA-DES-CBC-SHA:!EDH-RSA-DES-CBC3-SHA:!ADH-DES-CBC-SHA:!ADH-DES-CBC3-SHA:!DES-CBC-SHA:AES128-SHA:kRSA:!DES-CBC3-SHA' 
ucr set apache2/ssl/honorcipherorder='On'
ucr commit /etc/apache2/mods-available/ssl.conf 
service apache2 restart 

Jetzt ist es ein A, aber immer noch nicht perfekt…

Soviel zu meinen Feststellungen zum Thema “Installation 5.0 unvollständig?”.

Vielleicht hilft es ja jemanden sich eine stundenlange Suche zu ersparen :wink: