(L)Ubuntu (VMWare) in UCS Domäne aufnehmen

german

#1

Hallo liebe UCSler,

ich habe eine UCS-3.2.1-Installation und möchte gern eine virtuelle Lubuntu-Instanz (12.10) in die Domäne aufnehmen. Dazu bin ich das Beispiel von docs.univention.de/domain-3.2.html durchgegangen.

Mal davon abgesehen, dass beim Kerberos-Abschnitt (1.4) der Befehl

krsh Administrator@$ldap_master ls /etc/univention

in einer Dauerschleife endet, müsste ich ja eigentlich bereits nach Abschnitt 1.2. Configuration of the System Security Services Daemon (SSSD) in der Lage sein, mit getent passd die Benutzer des LDAP-Verzeichnisses zu listen. Dem ist leider nicht so.

Im UCS ist die Lubuntu Instanz bereits gelistet (kinit Administrator --> ldapsearch --> Ausgabe der Daten).
Telnet auf UCS:7389 funktioniert, Port lauscht.
/etc/ldap.secret ist befüllt
/etc/ldap/ldap.conf ist befüllt
/etc/sssd/sssd.conf ist befüllt
/etc/auth-client-config/profile.d/sss ist befüllt
auth-client-config -n -a -p sss wurde ausgeführt
Der Service sssd läuft

Kann mir jemand auf die Sprünge helfen, was ich debuggen oder nachstellen könnte?

@UCS-Team: Den Punkt bei Kerberos

# Synchronize the time with the UCS system ntpdate $ldap_master
würde ich ersetzen durch

# Synchronize the time with the UCS system ntpdate -u $ldap_master
Zumindest bei mir meckert er ohne Update-Switch, dass ntpdate bereits läuft oder so und nichts anpassen kann.


#2

Hallo,

dann könnte das Problem wahrscheinlich schon hier oder eher liegen. Nach dem Schritt “1.2. Configuration of the System Security Services Daemon (SSSD)” kann ich zumindest per “getent passwd” die Nutzer der UCS Domain auflisten.

Einen kleinen Stolperstein beim “Copy & Paste” gab es für mich jedoch.

root@lubuntu:~# cat >/etc/auth-client-config/profile.d/sss <<__EOF__
> [sss]
> nss_passwd=   passwd:   compat sss
> nss_group=    group:    compat sss
> nss_shadow=   shadow:   compat
> nss_netgroup= netgroup: nis
> 
> pam_auth=
> auth [success=3 default=ignore] pam_unix.so nullok_secure \
> 
.bash_history     .dbus/            .gconf/           .pam_environment  Videos/
.bash_logout      Desktop/          .gtk-bookmarks    Pictures/         .Xauthority
.bashrc           .dmrc             .lesshst          .profile          .xscreensaver
.cache/           Documents/        .local/           Public/           .xsession-errors
.config/          Downloads/        Music/            Templates/        
> try_first_pass
> auth requisite pam_succeed_if.so uid >= 500 quiet
> auth [success=1 default=ignore] pam_sss.so use_first_pass
> auth requisite pam_deny.so
> auth required pam_permit.so
> 
> pam_account=
> account required pam_unix.so
> account sufficient pam_localuser.so
> account sufficient pam_succeed_if.so uid < 500 quiet
> account [default=bad success=ok user_unknown=ignore] pam_sss.so
> account required pam_permit.so
> 
> pam_password=
> password sufficient pam_unix.so obscure sha512
> password sufficient pam_sss.so use_authtok
> password required pam_deny.so
> 
> pam_session=
> session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
> session optional pam_keyinit.so revoke
> session required pam_limits.so
> session [success=1 default=ignore] pam_sss.so
> session required pam_unix.so
> __EOF__
root@lubuntu:~# auth-client-config -n -a -p sss
** WARNING: Skipping 'sss' (couldn't process)
Usage: auth-client-config -p PROFILE -a -t TYPE [-dn -f FILE]
       auth-client-config -p PROFILE -a -t TYPE -r [-n -f FILE]
       auth-client-config -p PROFILE -a -t TYPE -s [-f FILE]

auth-client-config: error: option -p: invalid choice: 'sss' (choose from 'ldap_example', 'kerberos_example', 'cracklib')
root@lubuntu:~# auth-client-config -n -a -p sss
** WARNING: Skipping 'sss' (couldn't process)
Usage: auth-client-config -p PROFILE -a -t TYPE [-dn -f FILE]
       auth-client-config -p PROFILE -a -t TYPE -r [-n -f FILE]
       auth-client-config -p PROFILE -a -t TYPE -s [-f FILE]

auth-client-config: error: option -p: invalid choice: 'sss' (choose from 'ldap_example', 'kerberos_example', 'cracklib')

Erst nach dem entfernen des Inhalts von “/etc/auth-client-config/profile.d/sss” und dem nochmaligen Einfügen per vi, konnte “auth-client-config -n -a -p sss” erfolgreich durchgeführt werden. Evtl. reicht es also schon sich diese Datei nocheinmal genauer anzuschauen.

Viele Grüße
Ulf Friedel


#3

Hiiii,

mal wieder ein Volltreffer! Zu meiner Verteidigung: Einen Fehler wie bei dir habe ich nicht bekommen auf der Konsole. Der Befehl hat schon gearbeitet und Ausgaben erzeugt -> über deren Bedeutung ich noch mangels Detailwissen noch nicht nachgedacht hatte. Sah eben nicht nach der Fehlerquelle aus, ehrlich gesagt sehen die Ausgaben sehr ähnlich aus. Habe jetzt aber keine Lust mehr zu schneiden und ein Diff anzufertigen :slight_smile: Jedenfalls habe ich deinen Rat befolgt und tada, User sind gelistet. Wer weiß, was da beim Kopieren vom Host in die VM vielleicht für Sonderzeichen eingetrudelt sind.

DAAANKE!