Nach Update kein LDAP / AD-zugriff mehr möglich

german

#1

Hallo zusammen,
ich nutze seit ca. einem Jahr ein UCS als Domänencontroller für div. Windows-PCs. Bisher hat alles wunderbar funktioniert. Seit dem Update auf die “Version ist 4.1-1 errata153” habe ich das Problem, dass der Proxyserver keine Benutzerinfos mehr per AD + LDAP Bind abfragen kann. Der Proxy meldet “Error: Server exists and accepts connections, but bind to ldap://172.16.1.1:389 failed with this Bind DN and Password” .
Es wurden allerdings keine Benutzerdaten / Kennwörter geändert. Bis zum Update hat es ja funktioniert.
Mit den verwendeten Zugangsdaten kann ich mich auch an die UCS-Seite anmelden.
Wo kann ich suchen, damit ich den Proxy wieder an den DC bringe?
Leider habe ich von Linux gar keine Ahnung. Daher kann ich auch nicht mit Logs etc. dienen.
Ich werde versuchen, alle eure Fragen zu beantworten.

LG Ralf

P.S.
Leider hat mich auch das Studiom des Forums nicht weitergebracht. Daher stelle ich mein Problem hier vor, auch wenn es die Lösung schon irgendwo gibt. Dann wäre der Link zur Lösung toll.


#2

Hallo!

Ist eventuell das Passwort des bind users abgelaufen?


#3

Hallo, ich habe jetzt ein RollBack meiner VM auf Version 4.0-3 errata285 gemacht. Jetzt klappt es auch wieder mit den LDAP-Abfragen.
Was mich aber wundert ist, dass ich wohl ein grundlegendes Problem mit der Benutzerverwaltung des DCs habe.
Als der Proxy aufgesetzt wurde, konnte ich die einzelnen Benutzergruppen nur via Drag&Drop aus dem Verzeichnisbaum (DC) in die Berechtigungsgruppe (Sophos) ziehen.
Es gibt an der Stelle der Sophos (wo man Berechtigungen auf Gruppen vergibt) keine Eingabemöglichkeit, sondern nur eine Auswahl aus dem abgefragten Verzeichnis (AD oder LDAP?).
Schauen ich mir heute die eingerichteten Gruppen an, so werden nur die Benutzer des DCs angezeigt.
Als Test wollte ich eine neue Gruppe “Test” einrichten, aber ich hatte keinen Zugriff auf die Benutzergruppen des DCs. Ich hätte nur einzelne Benutzer auswählen können.
Ein dsquery unter Win7 zeigt mir aber alle Gruppen an.
Ich habe keine Ahnung warum ich im Proxy-Log keine Benutzerangaben mehr erhalte, sondern nur noch die IPs der PCs.
Damit fallen natürlich alle Regeln flach, da die sinnvollerweise auf Gruppen abfragen.
An der Sophos wurde aber nichts geändert. Das hat mich ja erst auf den DC gebracht .
Wie kann ich die Benutzer / Gruppenzuordnung im UCS wiederherstellen?
Leider habe ich keine expliziten BackUps in der UCS eingerichtet.
Gibt es da so etwas wie ein AutoBackUp, damit man auf den vorherigen Konfigurationstand zurück kann?

LG Ralf


#4

Moin,

zu Ihrem ursprünglichen Problem mit der Anmeldung. Hier kann ich mir zwei Dinge vorstellen.

  1. Stärkere Verschlüsselung erforderlich

Anscheinend benötigt Samba inzwischen Verschlüsselung. Schalten Sie die bei Ihrem Proxy ein.

Sie können auch versuchen, Samba zu überreden, doch keine Verschlüsselung zu verlangen. Dazu führen Sie die folgenden Befehle aus:

ucr set samba/ldap/server/require/strong/auth=no service samba restart

  1. Bug in Samba

In den letzten Tagen kam das Sicherheitsupdate für die viel beachtete Sicherheitslücke »Backlock« in Samba heraus. Bei Ihrem Upgrade auf 4.1 Errata 153 ist dieses Sicherheitsupdate bereits enthalten.

Leider scheinen diese Updates nicht nur bei Ihnen für erhebliche Probleme zu sorgen. Wir hatten einen Kunden, bei dem ich vorgestern das Samba-Update rückgängig machen musste, weil bei ihm Anmeldungen nicht mehr möglich waren. Das waren zwar Ubuntu-Systeme und keine UCS-Systeme, aber letztlich greift Univention bei ihren Sicherheitsupdates auf dieselbe Arbeit und Backports der Fixes zurück wie auch Debian und Ubuntu.

Wenn man sich den Ubuntu-Bugtracker so anschaut, so fallen gleich mehrere junge Einträge mit Problemen seit besagtem Update auf, z.B.

[ul][li]Regression with 4.3.8 upgrade, Mac OS X machines can’t connect[/li]
[li]After Samba upgrade can’t access unpassworded windows share[/li]
[li]Samba Domain Member cannot check passwords against Samba AD DC after “Badlock” update[/li][/ul]

Zu Ihrem Gruppen-Problem. Ist das eine Sophos UTM? Können Sie mal Screenshots von der Konfiguration der Authentifizierungsquelle posten?

Gruß,
mosu


#5

Moin,

Nachtrag. Ich hab gerade mit unserer Sophos UTMs und aktuellen UCS-Samba-Paketen getestet. Wenn ich beim Authentifizierungsserver in der Tat Port 389 ohne Verschlüsselung nutze, geht’s nicht mehr, mit derselben Fehlermeldung, die Sie auch erhalten haben.

Stelle ich aber auf Port 636 und mit Verschlüsselung um, geht’s sofort wieder.

Sie sollten also sinnvollerweise das UCS-Upgrade erneut durchführen und Ihre Sophos auf Port 636 mit Verschlüsselung umkonfigurieren.

Gruß,
mosu



#6

Hallo mosu,

herzlichen Dank für die Rückmeldung. Welche Sophos Version war im Testeinsatz? Ich nutze noch die 9.355-1.
Ich bin aktuell nicht dazu gekommen weiter zu testen. Aber mit dem Rollback hat es ja wieder funktioniert.
Das Authentifizierungsproblem hatte ich dadurch auch nicht mehr.
Ein problem hatte ich nur nach dem Rollgack.
Die PCs konnten keine sichere Verbindung zur Domäne aufbauen.
Also die Rechner einmal raus aus der Domäne, Konto löschen und wieder neu rein.
Danach ging es dann auch wieder.
Grund dafür liegt wohl in den unterschiedlichen Tokens. Die Server hatte auf mal Clients, die vor ihm in der Domäne wahren.
Bin aber zwischenzeitlich dazu über gegangen, das LDAP in der Sophos abzuschalten und nur noch über das AD zu gehen.
Mal schauen, ob ich nächste Woche Zeit finde das Univention Update laufen zu lassen und dann die Sophos daran anzupassen.
Werde dann im nächsten Schritt die LDAP-Organisation durch AD-Gruppen abzubilden.

LG Ralf


#7

Moin,

wir nutzen Sophos UTMs mit UCS Samba 4 schon seit Ewigkeiten. Momentan ist unsere UTM ebenfalls auf 9.355-1. Entscheidend sind schlicht die richtigen Einstellungen.

Nicht zu aktualisieren ist keine Lösung, das verschiebt das Problem nur auf unbestimmte Zeit :wink:

Dass PCs nach einem Rollback keine Verbindung zur Domäne mehr haben ist normal. Computerkonten rotieren ihre Passwörter, und ein Zurücksetzen eines DCs ist daher oft mit einem Rejoin verbunden.

Die UTM solltest du generell nur gegen das AD-LDAP (Ports 389, 636) und nicht gegen das OpenLDAP (Port 7389) nutzen. Warum? Weil die Struktur des OpenLDAP bzgl. der Gruppenmitgliedschaften schlicht anders ist und die UTM daher die Gruppenmitgliedschaft beim Zugriff auf OpenLDAP nicht ermitteln kann.

In einem OpenLDAP wird die Gruppenmitgliedschaft so gespeichert, wie sie bei einem Linux-System traditionell gespeichert wird: bei den Gruppen steht, welche Benutzer Mitglied der Gruppe sind (beim Gruppen-Objekt die Attribute »memberUid« bzw. »uniqueMember«; vergleich das mit /etc/group). Beim Benutzerobjekt hingegen steht nicht, in welcher Gruppe sich der Benutzer befindet, sondern nur, welche seine primäre Gruppe ist (»gidNumber«; auch hier analog zu /etc/passwd).

Bei einem Active-Directory-LDAP (und damit auch beim von Samba bereitgestellten LDAP) ist die Struktur historisch aber genau anders herum. Dort ist im Benutzerobjekt bereits die Information enthalten, in welcher Gruppe eine ist (User-Attribut »memberOf«).

Der große Vorteil der AD-Struktur ist, dass man LDAP-Filter bauen kann, die direkt auf Gruppenmitgliedschaft abzielt. Bei einer OpenLDAP-Struktur hingegen braucht man dafür gleich mehrere Queries/Filter, was die wenigsten Anwendungen unterstützen.

Man kann das zwar auch mit einem OpenLDAP nachbilden (Stichwort memberOf overlay), aber das hat auch Nachteile, wenn ich mich recht erinnere… Daher binde ich AAnwendungen (nicht nur UTMs) meist immer an das AD-LDAP an und nicht mehr ans OpenLDAP.

Gruß,
mosu


#8

Hallo mosu,
ich habe versucht deinen Rat des Updates umzusetzen. Um meine aktuell laufende Kombination aus UCS und SophosUTM nicht kaputt zu machen, wollte ich mir einen zweiten DC aufsetzen. Kann ja nie schaden.
Dazu habe ich mir die aktuelle UCS-Version herruntergeladen und habe diese durchinstalliert.
Leider habe ich vergessen, die graph. Oberfläche mit zu installieren. Daher habe ich jetzt nur die Weboberfläche und ein Terminalfenster :frowning:

Zum Problem. Wenn ich ein univention-join absetze, kommt die Abfrage nach dem berechtigten Benutzerkonto. Beim search nach binddn geht es dann nicht weiter.


Ich habe den Benutzer genommen, mit dem Sophos die Benutzer am DC abfragt. Da funktioniert es.
Ich habe jetzt das Forum durchsucht wie ein DAU, woran denn der Joinvorgang hängen geblieben sein kann. Aber es werden nur Probleme erläutert, die nach der Domänenintegration auftreten.
Hast du vllt. eine Idee, wie ich als DAU dahinter kommen, woran es hapert?
Muss ich vorher noch irgendwelche Komponenten/Dienste nachinstallieren?
Auf meinem laufenden DC komme ich so rauf. Da habe ich ja auch die Win-Clients neu in die Domäne aufgenommen. Mit dem gleichen Benutzer, nur so am Rand.
Mit den Microsoft AD-Tools komme ich auch an den DC.
Nur mit dem neuen UCS nicht. Ich raff es nicht :frowning:
LG Ralf


#9

Moin,

beim Join musst du den Accountnamen eines Administrators angeben. Nimm einfach administrator.

Gruß,
mosu


#10

Ganz schlechte Idee. Ich habe gerade 4 Stunden gesucht, warum der DHCP Server nicht mehr geht. Jetzt muss ich sehen wie ich dem Firewall die Zertifikate des UCS unterschiebe


#11

Moin,

Gut zu wissen :slight_smile:

Site-to-Site VPN -> Certificate management -> Certificae Authority -> New CA.