Hallo zusammen,
ich habe UCS 4.1.4 errata410 im Einsatz, 1x DC Master und 1x DC Backup.
Das Setup läuft seit Monaten stabil und wurde in den letzten 4 Wochen nicht verändert. Von heute auf morgen ist nun in Nagios folgender Fehler auf der DC Master eingetragen: “S4CONNECTOR CRITICAL: Could not connect to samba server!”.
In der Tat ist es nun so, dass der LDAP via Samba4 über Port 389 oder 636 ist mehr erreichbar ist. Das hat zur Folge, dass auch andere Dienst wie z.B. OpenVPN die so konfiguriert waren über LDAP die Benutzerauthentifizierung durchzuführen nicht mehr funktionieren.
“univention-s4search” liefert folgendes Ergebnis:
Failed to connect to ldap URL 'ldaps://dc.domain.com' - LDAP client internal error: NT_STATUS_CONNECTION_DISCONNECTED
Failed to connect to 'ldaps://dc.domain.com' with backend 'ldaps': (null)
Failed to connect to ldaps://dc.domain.com - (null)
Das Aufgeben eines Kerberos Tickets via kinit funktioniert.
Ein Neuprovisionieren des Samba4 DC wie hier beschrieben http://sdb.univention.de/content/6/274/en/re_provisioning-samba4-on-a-dc-master.html
brachte ebenfalls keinen Erfolg.
Aktuell komme ich hier nicht weiter… Wo sollte man als nächstes Ansetzen ?
[UPDATE]
Wenn ich in der /etc/samba/smb.conf
“ldap server require strong auth = allow_sasl_over_tls” durch “ldap server require strong auth = no” funktioniert der ungesicherte Zugriff über 389 wieder. 636 scheitert nach wie vor. Das Thema scheint also irgendwie in Richtung TLS und sasl zu gehen…
[UPDATE2]
Es hängt definitiv am Zertifikat.
Wenn ich mir per “openssl req -newkey rsa:2048 -keyout myKey.pem -nodes -x509 -days 365 -out myCert.pem” ein neues Zertifikat erstelle und manuell in der smb.conf hinterlege geht der Zugriff sofort, auch der S4 Connector geht dann wieder.
Wenn ich jedoch über “univention-certificate new -name dc.domain.com -days 1825” ein Zertifikat erstelle komme ich zum beschriebenen Fehlerbild.
Beste Grüße,
Ludwig