Kerberos authentifizierte DNS Updates - Kritisch (auch hier aber "anders")

kerberos
german
dns

#1

Hallo,

ich möchte mal ein neues Topic zu einem Thema öffnen, welches es zwar schon zweimal gibt, aber wir haben bei gleicher Fehlermeldung scheinbar andere Probleme. Das Problem tritt sowohl in unserem Produktivsystem als auch im Labor auf. Die Versuchsumgebung ist ganz frisch.

Meldung in der System-Fehlerdiagnose via Web-Frontend:

Kritisch: Kerberos authentifizierte DNS Updates
Fehler traten auf bei der Ausführung von kinit oder nsupdate.
`nsupdate` Prüfung für die Domänne eusiblab.intranet ist fehlgeschlagen.

Versuch der Eingrenzung des Problems:

root@wir-ucs-sl:~# kinit --password-file=/etc/machine.secret $(hostname)\$@$(ucr get kerberos/realm)
root@wir-ucs-sl:~# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: wir-ucs-sl$@EUSIBLAB.INTRANET

  Issued                Expires               Principal
Jan  9 07:35:52 2018  Jan  9 17:35:52 2018  krbtgt/EUSIBLAB.INTRANET@EUSIBLAB.INTRANET

Sieht für mich gut aus.

root@wir-ucs-sl:~# samba_upgradedns --dns-backend=SAMBA_INTERNAL

Informiert über Umstellung, keine Fehler.

root@wir-ucs-sl:~# samba_upgradedns --dns-backend=BIND9_DLZ
Reading domain information
DNS accounts already exist
No zone file /var/lib/samba/private/dns/EUSIBLAB.INTRANET.zone
DNS records will be automatically created
DNS partitions already exist
Adding dns-wir-ucs-sl account
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Finished upgrading DNS

Hier hätte ich vielleicht erwartet, dass es die Zonendatei “/var/lib/samba/private/dns/EUSIBLAB.INTRANET.zone” schon geben sollte.

root@wir-ucs-sl:~# samba_dnsupdate --verbose --all-names
[...]
29 DNS updates and 0 DNS deletes needed
Successfully obtained Kerberos ticket to DNS/wir-ucs-sl.eusiblab.intranet as WIR-UCS-SL$
[usw.]

Updates werden gemacht, alle mit “status: NOERROR”

Alles in allem scheint augenscheinlich alles zu funktionieren. Hat jemand hier vielleicht Gedanken dazu?

Liebe Grüße
Christian


#2

Dumme Frage: haben Sie nach den ganzen Änderungen mit samba_ugpradedns die Serverprüfung noch mal ausgeführt? Erscheint der Fehler dort weiterhin?


#3

für die Akten:
das hier beschriebene Problem gehört mit großer Wahrscheinlichkeit zu Bug 45584 - nsupdate-check fails on UCS@school slaves


#4

Danke für die Info. In dem Ticket scheint ja noch Bewegung drin zu sein…