Merkwürdige Sync-Probleme zwischen S4 und UCS-LDAP?

popenrie · November 9, 2016, 3:26pm

Hallo,

ich habe folgendes Problem:

Wenn ich über die UMC Rechner-Konten für Windows-Rechner anlege, die dazugehörigen Windows-Rechner anschließend wie üblich joine, dann funktionieren diese (Anmeldung, etc.) scheinbar einwandfrei.
Allerdings werden beim Windows-Join nicht (mehr) alle Attribute aus dem S4 ins UCS-LDAP synchronisiert.

Aufgefallen ist mir dies zuerst bei den Attributen ‘univentionOperatingSystem’ und ‘univentionOperatingSystemVersion’. Bis vor einiger Zeit erschien dort im OpenLDAP nach dem Join die jeweilige Windows-Version. Die dazugehörigen Attribute werden im S4 selbst auch nicht mehr automatisch gesetzt, was vor einiger Zeit noch der Fall war. Da ich diese Attribute nicht für sonderlich wichtig erachtet habe und die Anmeldung, etc. an den Rechnern funktionierte, habe ich mir nichts weiter dabei gedacht.

Allerdings habe ich jetzt noch ein weiteres Problem festgestellt: Es wird auch das ‘sambaNTPassword’ (und übrigens auch ‘krb5key’) nicht mehr synchronisiert. Leider benötige ich dieses Attribut für eine Authentifizierung an einem RADIUS-Server. (W-LAN-Authentifizierung mittels Maschinenkonto)
Bei Rechnern, die schon länger in der Domäne sind, ist alles in Ordnung, bei neu gejointen Systemen scheitert die RADIUS-Authentifizierung mangels Attribut im LDAP.

Es gibt keine Rejects beim S4-Connector!

Hat jemand eine Idee, was hier “faul” sein könnte? Oder wurde bei irgendeinem Update etwas in diesem Bereich deaktiviert?

Die Windows-Rechner sind allesamt Windows10-Pro-Systeme Ver. “1607” (aka. Anniversary-Update). Es handelt sich hierbei um frische Installationen - also kein Upgrade.

Moritz_Bunkus · November 10, 2016, 9:19am

Moin,

ein paar Fragen.

[ol][li]Welche Version des Connectors ist installiert? Zeigen Sie dafür bitte mal die Ausgabe von »dpkg -l ‘connector’«[/li]
[li]Ist Betriebssystem-Attribut des Rechnerobjekts im S4 gesetzt? Siehe »univention-s4search cn= operatingSystem«[/li]
[li]Hängen Sie bitte die folgende Datei hier an: /etc/univention/connector/s4/mapping.py[/li]
[li]Bitte probieren Sie aus, einen Rechner in die Domäne zu joinen, ohne dafür zuerst ein Objekt im UCS anzulegen. Das ist nämlich nicht nötig und wird normalerweise auch nicht extra gemacht. Funktioniert der Sync dann?[/li]
[li]Bitte zeigen Sie mal den Inhalt der Logdatei /var/log/univention/connector-s4.log, und zwar alle Zeilen, die mit so einem betroffenen Rechnerobjekt zu tun haben.[/li][/ol]

Gruß,
mosu

popenrie · January 25, 2017, 5:25pm

Um dies hier zu schließen:

Es hatte sich herausgestellt, dass in meiner Multi-Serverumgebung ein bis dahin einwandfrei funktionierender DC-Slave plötzlich (vermutlich nach irgendeinem Paket-Update) zum Zombie geworden ist (warum auch immer). Er hat Join-Anfragen entgegen genommen, aber diese nicht vollständig zum Master weitergereicht (LDAP ja, Samba-AD nein). Die Windows-Clients konnten sich also nur an diesem Zombie-Server anmelden - dort waren auch alle Attribute gesetzt. Einzelne Clients jointen an einem anderen DC, der ordnungsgemäß funktioniert hat.

Nachdem ich den Zombie entfernt und alle betroffenen Clients neu gejoint hatte, war wieder alles in Ordnung.