Kein Zugriff mehr auf den LDAP Server

froeschchen · September 9, 2013, 7:54am

Hallo,

seit heute morgen haben wir keinen Zugriff mehr auf die E-Mails. Die Anmeldung schlägt fehl. In der Nacht scheint das Skript für den server_password_change gelaufen zu sein. Im Log steht ständig folgende Fehlermeldung: ldap_bind: Invalid credentials (49)
Ein univention-ldapsearch -x bringt den gleichen Fehler.
Ein ldapsearch -x funktioniert aber. In der Datei /etc/ldap.secret steht das richtige Passwort drin.
Ein manuelles ausführen des server_password_change ergibt folgende Meldung:

/usr/lib/univention-server/server_password_change
failed to contact LDAP server: cannot connect with univention-ldapsearch

Die Umgebung:
Univention Master 3.1.1 security-patchlevel: 6, erratalevel: 165

Es wäre toll, wenn wir schnell Hilfe bekommen!
Danke!

DBGTMaster · September 9, 2013, 8:20am

Hallo,

könntest du das Logfile vom “server_password_change” anhängen?

froeschchen · September 9, 2013, 8:47am

Starting server password change (Mon Sep  2 01:00:23 CEST 2013)
No server password change scheduled for today, terminating without a change
Starting server password change (Mon Sep  2 01:05:05 CEST 2013)
No server password change scheduled for today, terminating without a change
Starting server password change (Tue Sep  3 01:07:15 CEST 2013)
No server password change scheduled for today, terminating without a change
Starting server password change (Tue Sep  3 01:09:37 CEST 2013)
No server password change scheduled for today, terminating without a change
Starting server password change (Thu Sep  5 01:03:24 CEST 2013)
No server password change scheduled for today, terminating without a change
Starting server password change (Thu Sep  5 01:05:35 CEST 2013)
No server password change scheduled for today, terminating without a change
Starting server password change (Fri Sep  6 01:02:26 CEST 2013)
No server password change scheduled for today, terminating without a change
Starting server password change (Fri Sep  6 01:05:33 CEST 2013)
No server password change scheduled for today, terminating without a change
Starting server password change (Mon Sep  9 01:03:41 CEST 2013)
Proceeding with regular server password change scheduled for today
run-parts: executing /usr/lib/univention-server/server_password_change.d/50univention-mail-server prechange
Create mail/postfix/stoppedbyserverpasswordchange
Stopping Postfix Mail Transport Agent: postfix.
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-bind prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-dhcp prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-libnss-ldap prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-mail-cyrus prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-nscd prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-postgresql-password prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba prechange
Object modified: cn=ucs2,cn=dc,cn=computers,dc=firmenname,dc=lan
Restarting univention-directory-listener daemon.
Starting server password change (Mon Sep  9 01:03:51 CEST 2013)
Proceeding with regular server password change scheduled for today
run-parts: executing /usr/lib/univention-server/server_password_change.d/50univention-mail-server prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-bind prechange
invoke-rc.d: initscript bind9, action "status" failed.
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-dhcp prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-libnss-ldap prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-mail-cyrus prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-nscd prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-postgresql-password prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba prechange
ok: run: univention-directory-listener: (pid 13024) 0s, normally down
done.
Object modified: cn=ucs2,cn=dc,cn=computers,dc=firmenname,dc=lan
ldap_bind: Invalid credentials (49)
Restarting univention-directory-listener daemon.
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ok: run: univention-directory-listener: (pid 13133) 0s, normally down
done.
ldap_bind: Invalid credentials (49)
run-parts: executing /usr/lib/univention-server/server_password_change.d/50univention-mail-server postchange
ldap_bind: Invalid credentials (49)
Multifile: /etc/postfix/ldap.distlist
Multifile: /etc/postfix/ldap.groups
Multifile: /etc/postfix/ldap.canonicalsender
Multifile: /etc/postfix/ldap.sharedfolderlocal
Multifile: /etc/postfix/ldap.virtualwithcanonical
Multifile: /etc/postfix/ldap.sharedfolderremote
Multifile: /etc/postfix/ldap.virtual
Multifile: /etc/postfix/ldap.canonicalrecipient
Multifile: /etc/postfix/ldap.transport
Multifile: /etc/postfix/ldap.virtualdomains
Starting Postfix Mail Transport Agent: postfix.
Unsetting mail/postfix/stoppedbyserverpasswordchange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-bind postchange
ldap_bind: Invalid credentials (49)
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-dhcp postchange
ldap_bind: Invalid credentials (49)
Restarting univention-dhcp daemon.
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ok: run: univention-dhcp: (pid 13414) 0s, normally down
done.
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-libnss-ldap postchange
ldap_bind: Invalid credentials (49)
File: /etc/libnss-ldap.conf
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-mail-cyrus postchange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-nscd postchange
Restarting NSCD:.
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-postgresql-password postchange
File: /etc/postgresql/pam_ldap.conf
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba postchange
machine password stored successfully in secrets.tdb
Stopping Samba daemons: nmbdldap_bind: Invalid credentials (49)
 smbdldap_bind: Invalid credentials (49)
.
Starting Samba daemons: nmbd smbd.
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
Stopping the Winbind daemon: winbind.
ldap_bind: Invalid credentials (49)
Starting the Winbind daemon: winbind.
done (Mon Sep  9 01:04:26 CEST 2013)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
ldap_bind: Invalid credentials (49)
authentication error: Authentication failed
Restarting univention-directory-listener daemon.
ok: run: univention-directory-listener: (pid 15200) 0s, normally down
done.
run-parts: executing /usr/lib/univention-server/server_password_change.d/50univention-mail-server nochange
Multifile: /etc/postfix/ldap.distlist
Multifile: /etc/postfix/ldap.groups
Multifile: /etc/postfix/ldap.canonicalsender
Multifile: /etc/postfix/ldap.sharedfolderlocal
Multifile: /etc/postfix/ldap.virtualwithcanonical
Multifile: /etc/postfix/ldap.sharedfolderremote
Multifile: /etc/postfix/ldap.virtual
Multifile: /etc/postfix/ldap.canonicalrecipient
Multifile: /etc/postfix/ldap.transport
Multifile: /etc/postfix/ldap.virtualdomains
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-bind nochange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-dhcp nochange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-libnss-ldap nochange
File: /etc/libnss-ldap.conf
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-mail-cyrus nochange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-nscd nochange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-postgresql-password nochange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba nochange
resetting old server password for cn=ucs2,cn=dc,cn=computers,dc=firmenname,dc=lan, because access to local LDAP did not work with the new password

DBGTMaster · September 9, 2013, 8:54am

Welche UCS Version wird verwendet?
Welche Systemrolle hat das System? (Master, Backup, Slave)

froeschchen · September 9, 2013, 8:59am

Guck mal oben? Steht schon drin:

Meybohm · September 9, 2013, 9:34am

Hallo,

als schnellen Workaround können Sie für das Rechnerkonto in der UMC das Passwort setzen welches aktuell auf dem System in der Datei /etc/machine.secret steht. Die Verbindung sollte dann direkt wieder nöglich sein.

Mit freundlichen Grüßen
Janis Meybohm

DBGTMaster · September 9, 2013, 9:38am

Führe folgende Befehle aus und teste dann wieder ein “univention-ldapsearch”:

cp /etc/machine.secret /etc/machine.secret.bak tail -1 /etc/machine.secret.old | cut -d " " -f 2 | tr -d '\n' > /etc/machine.secret univention-ldapsearch

froeschchen · September 9, 2013, 10:12am

Vielen dank für die schnellen Antworten:

@ Meybohm: Beim Ändern des Rechneraccount bekomme ich:

Das LDAP-Objekt konnte nicht gespeichert werden: Zugriff verweigert.
Hat leider nicht geklappt

@ DBGTMaster: Hat leider auch nicht funktioniert. Im /etc/machine.secret.bak steht das gleiche Password wie im neuen /etc/machine.secret

DBGTMaster · September 9, 2013, 11:08am

Dann mach ein:

udm computers/domaincontroller_master modify --set password="`cat /etc/machine.secret`" --dn "cn=ucs2,cn=dc,cn=computers,`ucr get ldap/base`" --binddn="cn=admin,`ucr get ldap/base`" --bindpwd="`cat /etc/ldap.secret`"

Damit sollte es klappen.

froeschchen · September 9, 2013, 11:53am

Vielen Dank,

der Befehl hat tatsächlich zum Erfolg geführt. Vielen Dank

Ist es denn sinnvoll jetzt die UCR-Variable für das server_password_change auf ‘no’ zu setzen, damit das nicht wieder passiert?

ucr set server/password/change='no'

DBGTMaster · September 9, 2013, 12:37pm

Ich werde die Variable auf jeden Fall auf no setzen, solange das Problem nicht geklärt ist.

Meybohm · September 10, 2013, 6:21am

Hallo,

ein generelles Problem mit dem Server Password Change ist uns nicht bekannt, weshalb wir nicht dazu raten die Rotation komplett zu deaktivieren. In den Fällen in denen der Mechanismus nicht funktioniert ist dies meist ein Indiz für andere Probleme in der Umgebung.
Im konkreten Fall deutet die Logdatei darauf hin dass der Server Password Change Prozess zwei mal parallel läuft, auch die Scripte unter “server_password_change.d” werden mehrfach im “prechange”-Modus ausgeführt.Starting server password change (Mon Sep 9 01:03:41 CEST 2013) Proceeding with regular server password change scheduled for today ... Starting server password change (Mon Sep 9 01:03:51 CEST 2013) Proceeding with regular server password change scheduled for today

Wenn es sich hierbei nicht um einen copy & paste Fehler handelt sollten Sie ggf. prüfen ob /usr/lib/univention-server/server_password_change, z.B. per Cron, mehrfach gestartet wird (entsprechende Hinweise sollten sich auch in der syslog finden). Normalerweise wird, wenn das neue Password nicht für die Authentifikation gegen den DC-Master verwendet werden kann, das alte Passwort weiter verwendet (“resetting old server password for …, because access to local LDAP did not work with the new password”). Alle alten Passwörter sind auf dem System in der Datei /etc/machine.secret.old zu finden.

Ferner sollten Sie ggf. prüfen warum Sie das Rechnerobjekt in der UMC nicht bearbeiten können, dies ist normalerweise problemlos möglich.

Mit freundlichen Grüßen
Janis Meybohm

smudu · September 10, 2013, 12:53pm

Ich weiß nicht ob das in dem Zusammenhang hilfreich ist und bin auch kein “Linux-Spezialist”:

Mir fehlte am Montag Morgen eine der regelmäßigen Emails von Bacula (Vollzugsmeldung über erfolgreiches Backup).
Bei der Suche nach der möglichen Ursache stellte sich in den Logs heraus, dass postfix anscheinend gestoppt war und kurz nach dem (erfolgreichen) Passwort Change wieder gestartet wurde.
Ein Grund warum postfix gestoppt war, habe ich nicht gefunden, nur der Start war in den Logs verzeichnet und zwar zeitlich unmittelbar nach dem Server Password Change.
Die Bacula Mail um 0:05 ist noch gekommen, die um 1:05 fehlt (Backup war aber erfolgreich), die um 2:05 ist wieder vorhanden.

Falls das der Sache dienlich ist, kann ich Logs zur Verfügung stellen.

(DC-Master, UCS 3.1-1 / Errata bis 180 / ist nicht Mail-Server konfigriert, es werden nur Status-Mails an den DC Backup/Zarafa gesendet)

DBGTMaster · September 10, 2013, 2:29pm

Bitte poste die /var/log/syslog von dem Zeitraum “Mon Sep 9 01:03:30” bis “Mon Sep 9 01:04:00”

DBGTMaster · September 10, 2013, 5:16pm

Und die Ausgabe von:

ls -l /etc/cron.d/

froeschchen · September 17, 2013, 12:08pm

Entschuldigung dass ich mich so lange nicht gemeldet habe. hier der Logfileauszug und cron

Sep  9 01:03:43 ucs2 postfix/master[2242]: terminating on signal 15
Sep  9 01:03:44 ucs2 server-password-change: stopping bind9 due to upcoming server password change
Sep  9 01:03:44 ucs2 named[1134]: shutting down
Sep  9 01:03:44 ucs2 named[1134]: stopping command channel on 127.0.0.1#953
Sep  9 01:03:44 ucs2 named[1134]: no longer listening on ::#53
Sep  9 01:03:44 ucs2 named[1134]: no longer listening on 127.0.0.1#53
Sep  9 01:03:44 ucs2 named[1134]: no longer listening on 10.10.10.2#53
Sep  9 01:03:44 ucs2 named[1132]: shutting down
Sep  9 01:03:44 ucs2 named[1132]: stopping command channel on 127.0.0.1#55555
Sep  9 01:03:44 ucs2 named[1132]: no longer listening on ::#7777
Sep  9 01:03:44 ucs2 named[1132]: no longer listening on 127.0.0.1#7777
Sep  9 01:03:44 ucs2 named[1132]: no longer listening on 172.16.10.2#7777
Sep  9 01:03:44 ucs2 named[1132]: exiting
Sep  9 01:03:44 ucs2 named[1134]: exiting
Sep  9 01:03:48 ucs2 postfix[12948]: fatal: the postfix command must not run as a set-uid process
Sep  9 01:03:56 ucs2 postfix[13113]: fatal: the postfix command must not run as a set-uid process
Sep  9 01:04:05 ucs2 server-password-change: starting postfix after server password change
Sep  9 01:04:06 ucs2 postfix/master[13240]: daemon started -- version 2.7.1, configuration /etc/postfix

-rw-r--r--   1 root root   179 19. Sep 2009  amavisd-new
-rw-r--r--   1 root root   130 15. Sep 2009  apt-mirror
-rw-r--r--   1 root root   177 26. Apr 2011  mrtg
-rw-r--r--   1 root root   506 25. Nov 2009  munin-node
-rw-r--r--   1 root root   475 14. Jun 2011  php5
-rw-r--r--   1 root root   102 15. Sep 2009  .placeholder
-rw-r--r--   1 root root  1672 14. Jun 13:15 postgresql
-rw-r--r--   1 root root  1443 27. Feb 2013  univention-antivir-mail.dpkg-dist
-rw-r--r--   1 root root   637  5. Jul 07:29 univention-config-registry-backup
-rw-r--r--   1 root root   645 14. Jun 12:59 univention-cyrus-backup-metadata
-rw-r--r--   1 root root   604 14. Jun 12:59 univention-cyrus-squatter
-rw-r--r--   1 root root   573 14. Jun 12:55 univention-directory-policy
-rw-r--r--   1 root root   617 17. Jul 14:11 univention-directory-reports-cleanup
-rw-r--r--   1 root root   707 17. Apr 17:24 univention-home-mounter
-rw-r--r--   1 root root   539 17. Apr 17:24 univention-mrtg
-rw-r--r--   1 root root   596 14. Jun 12:59 univention-nagios
-rw-r--r--   1 root root   608 14. Jun 13:14 univention-pam
-rw-r--r--   1 root root   563 14. Jun 13:01 univention-server-backup
-rw-r--r--   1 root root   563 14. Jun 13:01 univention-server-master
-rw-r--r--   1 root root   632 17. Apr 17:22 univention-system-stats
-rw-r--r--   1 root root   538  5. Jul 07:29 univention-ucr-cronjobs
-rw-r--r--   1 root root   845 14. Jun 13:13 univention-updater-check

@Meybohm
Da kein Zugriff mehr auf das LDAP möglich war, konnte auch die UMC nicht mehr ins Ldap schreiben. Der Befehl von DBGTMaster über Konsole funktionierte zum Glück noch.

DBGTMaster · September 18, 2013, 8:41am

Hallo,

noch die Ausgabe von:

grep "server" /etc/cron.d/*

Im syslog ist vorher zwischen 1:03:30 und 1:03:43 nichts mehr protokolliert worden?