Mergen von UCS AD domains

german
ad-connection
ucs-4-2
password
active-directory

#1

Hallo,

ich versuche, aufgrund eines vor einiger Zeit schlecht gewählten Domänennamens, eine bestehende UCS AD Domäne in eine neue UCS Domäne mit unterschiedlichem Domänennamen zu mergen. Wie hier vorgeschlagen versuche ich zuerst die bestehenden Benutzerkonten mittels AD-Connector in die neue Domain zu übertragen, allerdings scheint es Probleme beim synchronisieren der Passwörter zu geben.

/var/log/univention/connector.log:

03.01.2018 17:03:25,407 LDAP        (PROCESS): sync to ucs: Resync rejected dn: CN=join-slave,CN=Users,DC=example,DC=local
03.01.2018 17:03:25,414 LDAP        (PROCESS): sync to ucs:   [          user] [    modify] uid=join-slave,cn=users,dc=ad,dc=example,dc=at
03.01.2018 17:03:25,432 LDAP        (ERROR  ): Unknown Exception during sync_to_ucs
03.01.2018 17:03:25,432 LDAP        (ERROR  ): Traceback (most recent call last):
  File "/usr/lib/pymodules/python2.7/univention/connector/__init__.py", line 1367, in sync_to_ucs
    f(self, property_type, object)
  File "/usr/lib/pymodules/python2.7/univention/connector/ad/password.py", line 381, in password_sync
    res = get_password_from_ad(connector, univention.connector.ad.compatible_modstring(object['dn']))
  File "/usr/lib/pymodules/python2.7/univention/connector/ad/password.py", line 180, in get_password_from_ad
    (level, ctr) = connector.drs.DsGetNCChanges(connector.drsuapi_handle, 8, req8)
WERRORError: (8453, 'WERR_DS_DRA_ACCESS_DENIED')

Das gilt, soweit ich das beurteilen kann, für alle User.
Es scheinen zwar nicht alle unter univention-connector-list-rejected auf, das dürfte aber mit Bug 44369 zusammenhängen, da sämtliche User mit Umlauten im CN hier nicht aufscheinen. Die synchronisierten Benutzer scheinen zwar im UMC auf, allerdings sind die Kennwörter, wie zu erwarten, nicht korrekt. Die Verbindung scheint also grundsätzlich vorhanden zu sein.

AD-Connector Einstellungen:

connector/ad/ldap/base: DC=example,DC=local
connector/ad/ldap/binddn: CN=Administrator,CN=Users,DC=example,DC=local
connector/ad/ldap/bindpw: /etc/univention/connector/ad/bindpw
connector/ad/ldap/certificate: /etc/univention/connector/ad/ad_cert_20180103_111811.pem
connector/ad/ldap/host: ucs-dc1.example.local
connector/ad/ldap/port: 389
connector/ad/ldap/ssl: yes

Selber Fehler ist auch hier beschrieben, allerdings ebenfalls ohne Lösung.
Ist ein solcher Abgleich bei unterschiedlichen Domänennamen überhaupt möglich? Wie soll sonst beim mergen zweier unterschiedlicher UCS-Domänen vorgegangen werden? Gibt es für diese eine andere Möglichkeit die Benutzer (samt Kennwörter) zwischen den Domänen zu syncen, um so einen Wechsel auf einen anderen Domänennamen zu ermöglichen?

Danke schon Mal für die Hilfe.


#2

Nachdem ich bei meinem Problem noch immer keinen Schritt weiter gekommen bin, nochmal die Frage:

Gibt es eine alternative Möglichkeit sämtliche Benutzer samt Kennwörtern in eine neue Domäne zu migrieren? Es geht dabei zwar nur um etwa 15-20 User allerdings würde ich, wie gesagt, gerne deren Kennwörter erhalten.
Oder ist die Umbenennung der bestehenden Domäne eher die einzige Option? Nachdem aber hiernach das Fehlerpotenzial dabei wohl entsprechend hoch ist, muss ich dann doch eher in Erwägung ziehen, die User neu anzulegen und zu einem Kenwortwechsel zu zwingen…


#3

Moin,

ich hab bisher noch niemanden erlebt, der den AD-Connector einfach so benutzt hat, um ein anderes UCS-Systeme zu mergen. Was Leute definitiv erfolgreich gemacht haben, ist das AD-Takeover-Modul zu nutzen, um andere, Samba4-basierende ADs zu übernehmen (z.B. von Zentyal).

Ich denke, der Punkt ist hier, dass zum Auslesen der Konten das lesende System tatsächlich Mitglied in der AD-Domäne der Quelle sein muss — siehe auch die Dokumentation für den AD-Connector als Mitglied.

Wie genau haben Sie den Connector denn eingerichtet?

Gruß
mosu


#4

Hallo,

erstmal danke für die Rückmeldung.

ich hab bisher noch niemanden erlebt, der den AD-Connector einfach so benutzt hat, um ein anderes UCS-Systeme zu mergen. Was Leute definitiv erfolgreich gemacht haben, ist das AD-Takeover-Modul zu nutzen, um andere, Samba4-basierende ADs zu übernehmen (z.B. von Zentyal).

Ich habe mich wie gesagt an den Vorschlag aus einem anderen Thread (Merge windows domain to UCS current new domain) für das mergen von mehreren Windows Domains in eine UCS gehalten und habe einfach mal angenommen, dass das auch zwischen zwei UCS AD Domänen klappen könnte.
Dass zum Wechsel von Windows AD zu UCS grundsätzlich ein AD-Takeover sinnvoll ist (wurde auch zur Übernahme einer reinen Debian-Samba4-AD-Domain schon angewendet), ist mir klar, allerdings muss hier explizit der Domain Name der beiden Domänen ident sein (zumindest laut Dokumentation). Damit ist also meines Wissens auch kein ändern des Domain Name möglich (ich lasse mich hier gern eines besseren belehren :wink:).

Ich denke, der Punkt ist hier, dass zum Auslesen der Konten das lesende System tatsächlich Mitglied in der AD-Domäne der Quelle sein muss — siehe auch die Dokumentation für den AD-Connector als Mitglied.

Wenn dem so ist, lässt sich wohl nichts machen. Etwas stutzig macht mich dabei nur, dass das Auslesen aller User ja im Großen und Ganzen funktioniert und diese auch im neuen System sichtbar sind. Nur die Kennwörter können eben nicht übertragen werden.

Wie genau haben Sie den Connector denn eingerichtet?

Wie im Handbuch unter AD-Connector-Einrichtung beschrieben. Also die Option als “Nicht-Member” mit dem FQDN des bestehenden DC.

Wie gesagt, mir geht’s grundsätzlich nur um den Wechsel des Domain Name. Wenn es dazu eine bessere Lösung gibt, bin ich für jeden Vorschlag offen.

Schöne Grüße,
Hans


#5

Höchstwahrscheinlich sind die Passwort-Attributs-Felder im AD-LDAP schlicht mit anderen Rechten geschützt, oder es werden gar nicht die regulären LDAP-Such-Funktionen genutzt, sondern ganz andere, für die halt ein Rechnerkonto benötigt wird.

Ja: nicht noch mehr Zeit investieren, als bisher schon, und einfach den gerade mal 15–20 Benutzern erläutern, dass es technisch nicht mit vertretbarem Aufwand möglich ist, die Passwörter zu übernehmen, und dass sie bitte da jetzt ein mal durch müssen und ihr Passwort nach Umstellung neu setzen müssen. Alles eine Frage der Verhältnismäßigkeit, und hier Stunden zu investieren, halte ich für unverhältnismäßig.

Gruß
mosu