Kinit` für den Principal ucs4$ mit der Password Datei /etc/machine.secret ist fehlgeschlagen

kerberos
german
dns
ucs-4-2

#1

Hallo

habe nach langer Zeit mal wieder UCS die “System-Fehlerdiagnose” durchführen lassen.

Dabei wurde die folgende Fehlermeldung angezeigt:

Kritisch: Überprüfe Kerberos authentifizierte DNS Updates
Fehler traten auf bei der Ausführung von `kinit` oder `nsupdate`.
`kinit` für den Principal ucs4$ mit der Password Datei /etc/machine.secret ist fehlgeschlagen.

Auf dem UCS4 läuft nur Kopano Web. UCS1 ist der Master - UCS2 das Backup System.

Alle Systeme laufe auf Version 4.2-3 errata254 (Lesum)

Was soll mir diese Fehlermeldung sagen - und wie kriege ich die weg?

PS: Auf dem UCS1 und 2 gibt es keine Fehlermeldungen - der UCS3 wurde als Member-System aufgesetzt

Vielen Dank vorab

Pepe


Kerberos authentifizierte DNS Updates - Kritisch
#2

Moin,

niemand ist mit einem Problem wirklich alleine :slight_smile: Wie ein Kollege gestern meinte: »man gut, dass es im Internet immer jemanden mit dem gleichen Problem gibt«.

Nach weiteren Nachforschungen halte ich das für einen false positive. Der Check sollte meiner Meinung nach auf Maschinen, auf denen das Paket uinvention-samba4 nicht installiert ist, nicht ausgeführt werden, weil er dann im Normalfall immer fehlschlagen muss. Dazu gibt es auch bereits einen Bugeintrag, den ich um meine Erkenntnisse ergänzt habe.

Gruß
mosu


#3

Hallo Mosu - ja ich habe 4 UCS-Systeme.
Der Fehler kommt jedoch nur bei den beiden Member-Systemen (3 und 4).

Ich habe den Befehl auf allen vier Systeme ausgeführt.

UCS 1 (Master)
root@ucs1:~# kinit --password-file=/etc/machine.secret $(hostname)\$
root@ucs1:~#
UCS 2 (Backup)
root@ucs2:~# kinit --password-file=/etc/machine.secret $(hostname)\$
root@ucs2:~#
USC 3 (Member) Kopano Core
root@ucs3:~# kinit --password-file=/etc/machine.secret $(hostname)\$
kinit: krb5_get_init_creds: Client (ucs3$@MEINE-DOMAINE) unknown
root@ucs3:~#
UCS 4 (Member) Kopano WebApp
root@ucs4:~# kinit --password-file=/etc/machine.secret $(hostname)\$
kinit: krb5_get_init_creds: Client (ucs4$@MEINE-DOMAINE) unknown
root@ucs4:~#

Tja - was auch immer das unkown bedeutet :wink:

Vielen Dank vorab

Pepe


#4

Habe gesehen das in einem anderen Eintrag Mosu noch weitere Fragen gestellt hat --> Ist Samba auf den Systemen installiert.

Hier die Antworten:

UCS 1
root@ucs1:~# dpkg -l univention-samba4
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  univention-sam 6.0.10-44A~4 amd64        UCS - Samba4 integration package
root@ucs1:~#
UCS 2
root@ucs2:~# dpkg -l univention-samba4
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  univention-sam 6.0.10-44A~4 amd64        UCS - Samba4 integration package
root@ucs2:~#
UCS 3
root@ucs3:~# dpkg -l univention-samba4
dpkg-query: no packages found matching univention-samba4
root@ucs3:~#
UCS 4
root@ucs4:~# dpkg -l univention-samba4
dpkg-query: no packages found matching univention-samba4
root@ucs4:~#

Die Antwort auf die Samba Rolle der einzelnen Systeme sieht wie folgt aus:

USC1 --> DC
UCS2 --> DC
UCS3 --> nix
UCS4 --> nix

PS: Bin froh das Quickly71 aus dem anderen Beitrag genau die selben Meldungen hat - ich bin also nicht allein :wink:


#5

Moin,

Niemand ist wirklich allein :wink: Wie ein Kollege gestern zu mir meinte: »man gut, dass es im Internet immer jemanden gibt, der das Problem auch schon mal hatte«.

Nach weiteren Nachforschungen halte ich das für einen false positive. Der Check sollte meiner Meinung nach auf Maschinen, auf denen das Paket uinvention-samba4 nicht installiert ist, nicht ausgeführt werden, weil er dann im Normalfall immer fehlschlagen muss. Dazu gibt es auch bereits einen Bugeintrag, den ich um meine Erkenntnisse ergänzt habe.

Gruß
mosu