Keine Passwort-Sync beim AD-Connector

UCS - Univention Corporate Server
#1

Nach Einrichten des AD-Connectors auf UCS 2.4-2 und Windows Server 2003 SP2 funktioniert zwar die LDAP-Synchronisierung, aber nicht die der Passwörter. Die Synchronisierung steht auf ‘write’, also soll nur vom UCS in Richtung W2k3 repliziert werden. Der Windows-Server ist frisch aufgesetzt, beinhaltet also sonst keinerlei (Benutzer-) Daten. Der Benutzer, mit dem auf Windows-Seite alles eingerichtet wurde, ist nicht Adminstrator, sondern ein Benutzer, der sich in der Gruppe ‘Administratoren’ (und Replikations-Benutzer etc) befindet.
Auf Windows-Seite zeigt das Log keine Besonderheiten:

...
Waiting for a client to connect...
accept client connection...
Client Connected.
UserDN  = [edv]
Command = [G]
User    = [1185]
user_logon okay
Starting command: copypwd.exe dump> C:\WINDOWS\UCS-AD-Connector\copypwd.txt
Exit     command: copypwd.exe dump> C:\WINDOWS\UCS-AD-Connector\copypwd.txt
create packet 
 8  0  0  0  0  0  0  0  0  0  0  0 
send 12
...

Auf UCS-Seite bekam ich zunächst folgende Meldung:

sync failed, saved as rejected Traceback (most recent call last): File "/usr/lib/python2.4/site-packages/univention/connector/__init__.py", line 568, in __sync_file_from_ucs if ((old_dn and not self.sync_from_ucs(key, object, premapped_ucs_dn, unicode(old_dn,'utf8'))) File "/usr/lib/python2.4/site-packages/univention/connector/ad/__init__.py", line 1879, in sync_from_ucs f(self, property_type, object) File "/usr/lib/python2.4/site-packages/univention/connector/ad/password.py", line 191, in password_sync_ucs pwd_ad = pwd_ad_res[12:].split(':')[1].strip().upper() IndexError: list index out of range
Hierzu gibt es einen zutreffenden Bug https://forge.univention.org/bugzilla/show_bug.cgi?id=20584#c2. Ein damit zusammenhängender Bug https://forge.univention.org/bugzilla/show_bug.cgi?id=20141 trifft jedoch nicht zu.
Nach einem Neustart des W2k3 Servers am nächsten Tag wie folgt:

Wed Jul 20 10:36:59 2011 sync failed, saved as rejected Traceback (most recent call last): File "/usr/lib/python2.4/site-packages/univention/connector/__init__.py", line 568, in __sync_file_from_ucs if ((old_dn and not self.sync_from_ucs(key, object, premapped_ucs_dn, unicode(old_dn,'utf8'))) File "/usr/lib/python2.4/site-packages/univention/connector/ad/__init__.py", line 1900, in sync_from_ucs f(self, property_type, object) File "/usr/lib/python2.4/site-packages/univention/connector/ad/password.py", line 188, in password_sync_ucs pwd_ad_res = get_password_from_ad(connector, rid) File "/usr/lib/python2.4/site-packages/univention/connector/ad/password.py", line 131, in get_password_from_ad ssl=ssl_init(s.fileno()) File "/usr/lib/python2.4/site-packages/univention/connector/ad/password.py", line 83, in ssl_init err = M2Crypto.__m2crypto.ssl_connect (ssl); SSLError: (104, 'Connection reset by peer')

Univention-adsearch funktioniert übrigens. Auch ein Abschalten von SSL für den Connector mit

ucr set connector/ad/ldap/ssl=no

funktioniert nicht, da sich diese Variable offensichtlich nur auf die LDAP-Anfragen und nicht auf den Passwortdienst bezieht.

#2

Hallo,

funktionier die Passwort-Synchronisation wenn der Passwortdienst als Administrator läuft? Haben Sie auf dem Windows-System das mit UCS 2.4-2 ausgelieferte msi-Paket des Passwortdienstes installiert?

Mit freundlichen Grüßen
Janis Meybohm

#3

Hallo,

den Passwortdienst haben wir als Administrator gestartet. Es wurde ebenfalls das unter UCS 2.4-2 mitgelieferte msi-Paket installiert.

Leider keine Veränderung :frowning:

Viele Grüße
Christophe Korn

#4

Hallo,

die Meldungen deuten darauf hin das es ein Problem beim Lesen das AD-Passworts gibt. Evtl. ist das Speichern des LM-Hash auf dem Windows-System deaktiviert?

Bitte prüfen Sie den Dump des Passworts eines Benutzes manuell:
[ul]
[li]Stoppen Sie den AD-Connector Passwortdienst [/li]
[li]Schreiben Sie die RID des betroffenen Benutzers in die Datei copypwd.in.txt im AD-Connector Installationsverzeichniss[/li]
[li]Rufen Sie in der Windows-CMD den Befehl “PwDump.exe -x localhost” auf (diese Ausgabe bitte an uns senden) [/li]
[li]Starten Sie den AD-Connector Passwortdienst[/li][/ul]

Mit freundlichen Grüßen
Janis Meybohm

#5

Hallo Herr Meybohm,

PwDump.exe steht mir auf diesem System nicht zur Verfügung. Über die Windows-Suche konnte ich auch keine solche Datei ausfindig machen.

Wird diese Datei mit dem AD-Connector mitgeliefert? Oder muss ich das Tool nachinstallieren?

Viele Grüße
Christophe Korn

#6

Hallo,

die Dateien (copypwd.in.txt und PwDump.exe) sollten sich auf dem Windows-System im AD-Connector Installationsverzeichnis unter C:\Windows\UCS-AD-Connector befinden. Sollte dies nicht der Fall sein, senden Sie uns bitte eine Liste der Dateien die sich in diesem Verzeichnis befinden.

Mit freundlichen Grüßen
Janis Meybohm

#7

Hallo Herr Meybohm,

hier die Dateiliste:

cert.pem
copypwd.exe
copypwd.in.txt
copypwd.txt
libeay32.dll
libssl32.dll
private.key
ssleay32.dll
ucs-ad-connector.exe
ucs-ad-connector.log

Viele Grüße
Christophe Korn

#8

Hallo,

anhand der Liste würde ich vermuten dass Sie eine alte Version des Connectors installiert haben. Dass mit UCS 2.4-2 ausgelieferte MSI-Paket sollte weitere Dateien (u.a. PwDump.exe) installieren. Bitte entfernen Sie den Dienst noch einmal vollständig vom Windows-System und prüfen Sie mit “dpkg -l univention-ad-connector” ob die Aktuelle Version des Pakets (5.0.17-1.210.201103221037) installiert ist. Ist dies der Fall, laden Sie das MSI-Paket bitte neu vom Server (ucs-system/univention-ad-connector) und installieren Sie es auf dem AD-System.

Mit freundlichen Grüßen
Janis Meybohm

#9

Hallo Herr Meybohm,

dpkg -l univention-ad-connector
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/Fehlgeschl. Konfiguration/
Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/Halten/R=Neuinst notw/X=beide (Status, Fehler: GROSS=schlecht)
||/ Name Version Beschreibung
++±=====================================================-=====================================================-==========================================================================================================================
ii univention-ad-connector 5.0.17-1.210.201103221037 UCS - Modules for sync ucs and active directory

Wir haben unter Windows den ad-connector vom ucs heruntergeladen und neu installiert. Leider noch immer keine pwdump.exe vorhanden.

Habe mir unter Windows die Eigenschaften der Datei ucs-ad-connector.msi angeschaut. Unter dem Reiter “Dateiinfo” finde ich folgendes: 1.0.0 (created Tue Sep 28 2010 at 2:57:01pm)

Ich habe irgendwie den Eindruck, dass trotz aktuellem Paket eine alte Version des Connectors auf dem UCS zum Download bereit steht.

Viele Grüße
Christophe Korn

#10

Hallo,

ich sehe gerade dass auf x86 Systemen weiterhin “copypwd.exe” verwendet wird. Somit ist die Installation in Ordnung. Bitte verwenden Sie statt “PwDump.exe -x localhost” den Befehl “copypwd.exe dump”.
Werden die LM-Hash der Passwörter auf ihrem Windows-System gespeichert oder ist dies evtl. deaktiviert?

Mit freundlichen Grüßen
Janis Meybohm

#11

Hallo Herr Meybohm,

als Ausgabe bekomme ich lediglich: CreateRemoteThread failed: 8

LM-Hash kann auf dem System verwendet werden. Es wurde nicht deaktiviert.

Gibt es eventuell eine andere Möglichkeit -einmalig- die Benutzerpasswörter vom UCS auf den W2K3 zu bringen? (Der AD-Connector soll nicht dauerhaft laufen)

Viele Grüße
Christophe Korn

#12

Hallo,

die Meldung wird meines Wissens nach ausgegeben wenn Sie versuchen copypwd/PwDump in einer Remote-Sitzung (rdesktop o.ä.) zu starten. Bitte führen Sie die Schritte in einer lokalen Sitzung durch um Berechtigungsprobleme zu vermeiden.

Mit freundlichen Grüßen
Janis Meybohm

Mastodon