Kerberos authentifizierte DNS Updates - Kritisch

UCS - Univention Corporate Server
, , ,
#1

Hallo.

Habe gerade 2 neue Server aufgesetzt -> 4.2-3 errata256. Beide frisch installiert.

ucs13.mydom.lan = UCS Master AD
ucs19.mydom.lan = UCS Slave (+ Kopano -> soll da drauf)

Auf dem ucs19 kommt bei der Systemdiagnose die folgende Meldung:

Kritisch: Kerberos authentifizierte DNS Updates
Fehler traten auf bei der Ausführung von kinit oder nsupdate.
kinit für den Principal ucs19$ mit der Password Datei /etc/machine.secret ist fehlgeschlagen.

Kann mir jemand sagen was da zu tun ist? Ich möchte nicht gleich mit einem Fehler starten.
Ich hatte die beiden Maschinen auch schon zum zweiten Mal installiert. Geht ja schnell. Ist ja noc nix drauf. Und wieder das selbe Spiel.

Danke, Lars

P.S.: Sehe gerade den Eintrag von Pepe

#2

Hallo.
Nachdem ich aus Unwissenheit keine Lösung gefunden habe, habe ich die gesamte Umgebung nochmals neu installiert. Natürlich mit 100% identischen Werten.

Jedoch…

  • eine ISO aus 09-2017 (4.2-2 errata52)
  • keine Updates bei Installation

Und siehe da… nackte Installation… Fehler nicht vorhanden

Weitere Meldung folgt wenn die Apps drauf sind und dann die Updates durchgelaufen sind.

P.S.: Nebenbei bemerkt konnte ich Benutzer auf dem AD anlegen (der hatte keine Fehlermeldung), mich anmelden (Lokal oder Remote auf Windows) und die Benutzerprofile unter Windows sind nach Abmeldung schlicht verschwunden, bzw. es wurde gemeckert (Temp. Profil).

#3

ucs13.aubsol.lan = Master AD
ucs19.aubsol.lan = Slave Kopano
ucs20.aubsol.lan = Slave Benno

Und hier die Meldungen:

  • App Kopano Core, WebApp, Z-Push installiert = Systemprüfung Ok
  • Update auf 4.2-3 errata249, in Reihenfolge Master, dann Slave = Und der Fehler ist wieder da. Auf beiden Slave-Servern

Finde ich sehr ärgerlich!!!
Liebes UCS Team, ich bin echt kein Held. Ich möchte UCS ja nutzen um genau nicht eine absoluter Debian-Crack zu sein.
Jedoch das… echt unschön. Wenn ich mir die Einträge ansehe, dann scheint das ja ein generelles Problem zu sein. :frowning:

Kann ja alles passieren. Doch gibt es dazu nicht eine klare Step-by-Step Anweisung?

Oder bin ich einfach nur zu blöde?

#4

Der fainess halber: Das hier ziehe ich zurück. Meine Schlamperei, bzw. verkorkste Rechte bei den alten Windows Profilen.
Also den Punkt einfach vergessen. :slight_smile:

#5

Huhu,

Yeah, me too. Im Sinne von kann ich gut verstehen, und ich helfe in den letzten Wochen ziemlich vielen Leuten mit solchen Problemen. Die scheinen in der Tat systematisch zu entstehen.

Zur Diagnose.

Loggen Sie sich bitte auf dem betroffenen Slaves ein und zeigen mir die Ausgabe des folgenden Befehls für beide Maschinen:

kinit --password-file=/etc/machine.secret $(hostname)\$

Dieses Problem kann nämlich verschiedene Ursachen haben; die häufigsten sind:

  1. Es gibt den Kerberos-Principal für die Maschine, aber das Passwort im Samba4-AD stimmt nicht mehr mit dem in der Datei /etc/machine.secret überein.
  2. Es gibt den Kerberos-Principal für die Maschine im Samba4-AD schlicht nicht.

Die tatsächliche Fehlermeldung von kinit sollte da Aufschluss geben.

Danke.

Gruß
mosu

Kinit` für den Principal ucs4$ mit der Password Datei /etc/machine.secret ist fehlgeschlagen
#6

Hallo muso.
Danke für Deine Antwort. Hier die beiden Ausgaben. Reicht das schon? :slight_smile:

ucs13 = AD Master
ucs19 + ucs20 = UCS Slave

root@ucs19:~# kinit --password-file=/etc/machine.secret $(hostname)$
kinit: krb5_get_init_creds: Client (ucs19$@AUBSOL.LAN) unknown
root@ucs19:~#

root@ucs20:~# kinit --password-file=/etc/machine.secret $(hostname)$
kinit: krb5_get_init_creds: Client (ucs20$@AUBSOL.LAN) unknown
root@ucs20:~#

THX, Lars

#7

Danke.

Ist auf dem Server Samba 4 installiert? Dazu bitte einfach mal die Ausgabe von dpkg -l univention-samba4 und ucr get samba4/role zeigen.

Gruß
mosu

#8

Hallo Moritz.
Hier die Ausgaben.

root@ucs19:~# dpkg -l univention-samba4
dpkg-query: Kein Paket gefunden, das auf univention-samba4 passt
root@ucs19:~# ucr get samba4/role
root@ucs19:~#

root@ucs20:~# dpkg -l univention-samba4
dpkg-query: Kein Paket gefunden, das auf univention-samba4 passt
root@ucs20:~# ucr get samba4/role
root@ucs20:~#

THX!

#9

Moin,

danke für die Infos. Nach weiteren Nachforschungen halte ich das für einen false positive. Der Check sollte meiner Meinung nach auf Maschinen, auf denen das Paket uinvention-samba4 nicht installiert ist, nicht ausgeführt werden, weil er dann im Normalfall immer fehlschlagen muss. Dazu gibt es auch bereits einen Bugeintrag, den ich um meine Erkenntnisse ergänzt habe.

Gruß
mosu

Edit: Link zum falschen Bug-Eintrag korrigiert

2 Likes
#10

Hallo Moritz.

Sorry für die späte Antwort.
Vielen Dank. Hat geholfen.

Grüße, Lars

#11

Moin,

ich merk gerade, dass ich zum falschen Bug verlinkt hatte — sorry!. Post ist korrigiert. Ich meinte diesen hier:

Critical: Check Kerberos authenticated DNS updates

Gruß
mosu

Mastodon