Neuerstellte Benutzer Anmeldungsproblem

Morimystes · March 10, 2017, 9:15am

Den Hostnamen des Servers weiß ich natürlich, aber wie heißt das Zertifikat dazu und wo er liegt, das ist die Frage.
Gibt es vielleicht einen Standardpfad?

Ich habe keine Anleitung zur SSL-Zertifikat Installation gefunden mit Beispielpfaden oder ähnlichem, alles mögliche wie Erneuerung der SSL-Zertifikate usw., aber nicht einfache Installation vom vorhandenen SSL-Zertifikat.

Beste Grüße
Morimystes

SirTux · March 10, 2017, 9:22am

Es liegt alles unter/etc/univention/ssl/fqdn.des.servers

Morimystes · March 10, 2017, 9:24am

Dankeschön, ich probiere es sofort aus.

Beste Grüße
Morimystes

Morimystes · March 10, 2017, 9:59am

Unter /etc/univention/ssl/fqdn.des.servers

liegen 4 files cert.pem openssl.cnf private.key req.pem

Habe jetzt

# ucr set connector/s4/ldap/certificate="/etc/univention/ssl/fqdn.des.servers/cert.pem"

und

ucr set connector/s4/ldap/key="/etc/univention/ssl/fqdn.des.servers/private.key"

ausgeführt.

Trotzdem wieder

ldap.CONNECT_ERROR: {'info': 'TLS: hostname does not match CN in peer certificate', 'desc': 'Connect error'}

Müsste ich evtl. auch die /etc/univention/templates/files/etc/ldap/ldap.conf anpassen? Gerade darein geschaut, dort steht:

TLS_CACERT /etc/univention/ssl/ucsCA/CAcert.pem

Habe es angepasst mit

TLS_CACERT /etc/univention/ssl/fqdn.des.servers/cert.pem

Hat auch nichts gebracht.

Beste Grüße
Morimystes

SirTux · March 10, 2017, 11:08am

Äh nein bloß nicht. Bitte wieder rückgängig machen. Da ich hier sonst nur weiter spekulieren kann, bin ich aus dem Thema erstmal wieder raus. Ich kann nur dringend raten wieder den Defaultwert zu nehmen und es dabei zu belassen!

ucr set connector/s4/ldap/ssl='no'
ucr unset connector/s4/ldap/certificat connector/s4/ldap/key

Morimystes · March 10, 2017, 11:12am

Habe ich alles rückgängig gemacht.

Wenn du bestimmte Informationen brauchst, kann ich sie dir geben.

Schade, trotzdem vielen dank für den Versuch.

Beste Grüße
Morimystes

bzybn · May 22, 2017, 10:37am

Hallo Zusammen,

@Morimystes hat sich eine Lösung gefunden?

Ich schließe mich der Diskussion an, denn ich habe ein ähnliches Problem.
Meine Benutzer, die ich vor einiger Zeit angelegt habe und mit denen ich erfolgreich der Domäne beigetreten und mich an einem Win7-Client angemeldet habe, funktionieren nur noch teilweise. Neu angelegte Benutzer bekommen ebenfalls die Meldung dass das Passwort oder der Benutzername falsch sei, wenn ich sie am Win7-Client anmelden möchte.

Die hier vorgeschlagene Lösung mit dem ssl habe ich getestet, hat aber keine Änderungen bewirkt.

ahrnke · May 22, 2017, 11:32am

Hallo @bzybn

Haben Sie denn schon geprüft, ob die Benutzer von UCS zu Samba4 repliziert wurden?
Dazu gibt es einen umfassenden SDB-Artikel.
How to deal with s4-connector rejects

bzybn · May 22, 2017, 1:00pm

Hallo @ahrnke,

ja hatte ich überprüft. Wollte mal folgendes testen: http://sdb.univention.de/content/6/274/en/re_provisioning-samba4-on-a-dc-master.html

dabei ist anscheinend etwas schief gegangen, jetzt funktioniert LDAP und Samba nicht.

root@ucs:~# univention-s4connector-list-rejected 
Traceback (most recent call last):
  File "/usr/sbin/univention-s4connector-list-rejected", line 162, in <module>
    main()
  File "/usr/sbin/univention-s4connector-list-rejected", line 123, in main
    False
  File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 885, in __init__
    res = self.lo_s4.lo.search_ext_s('', ldap.SCOPE_BASE, 'objectclass=*', [], serverctrls=[self.ctrl_show_deleted], timeout=-1, sizelimit=0)
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 552, in search_ext_s
    msgid = self.search_ext(base,scope,filterstr,attrlist,attrsonly,serverctrls,clientctrls,timeout,sizelimit)
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 548, in search_ext
    timeout,sizelimit,
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 106, in _ldap_call
    result = func(*args,**kwargs)
ldap.SERVER_DOWN: {'desc': "Can't contact LDAP server"}
root@ucs:~# univention-s4connector-list-rejected 
Traceback (most recent call last):
  File "/usr/sbin/univention-s4connector-list-rejected", line 162, in <module>
    main()
  File "/usr/sbin/univention-s4connector-list-rejected", line 123, in main
    False
  File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 885, in __init__
    res = self.lo_s4.lo.search_ext_s('', ldap.SCOPE_BASE, 'objectclass=*', [], serverctrls=[self.ctrl_show_deleted], timeout=-1, sizelimit=0)
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 552, in search_ext_s
    msgid = self.search_ext(base,scope,filterstr,attrlist,attrsonly,serverctrls,clientctrls,timeout,sizelimit)
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 548, in search_ext
    timeout,sizelimit,
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 106, in _ldap_call
    result = func(*args,**kwargs)
ldap.SERVER_DOWN: {'desc': "Can't contact LDAP server"}

bevor ich hier weiter mache, wie mache ich das was in dem Link steht rückgängig?

Danke!

ahrnke · May 22, 2017, 5:03pm

Rückgängig ist schwierig, bei der Re-Provisionierung werden die Daten vom Samba 4 gelöscht um sie dann aus dem Stand des UCS-LDAP wiederherzustellen. Man bräuchte dann schon ein volles Backup der Maschine und selbst das ist komplex wiederherzustellen. Sagt man jedenfalls, ich habs noch nicht gemacht.

Der Fehler beim list-rejected scheint aber ein Folgefehler zu sein. Im Join-Log dürfte ggf. mehr stehen. Für mich ist ad hoc auch nicht ersichtlich, ob jetzt der Samba-LDAP (Port 7389/7636) oder der Samba-LDAP (389/636) ein Problem hat.

bzybn · May 23, 2017, 9:33am

Also es hat alles funktioniert bis zu Punkt 8. Er findet den univention-update Server nicht, also DNS funktioniert nicht mehr. Ich habe versucht die .deb-Pakete zu installieren, bekomme dann aber die Meldung dpkg-query: Kein Paket gefunden, das auf ldapacl_66univention-appcenter_app.acl passt

Macht es an der Stelle Sinn weiter zu probieren oder wäre es sinnvoller UCS neu aufzusetzen?

Danke bisher!

ahrnke · May 23, 2017, 10:29am

Punkt 8 ist natürlich wichtig
Wegen ldapacl_66univention-appcenter_app.acl müssen Sie sich keine Gedanken machen (Hintergrund).
Wenn DNS nicht mehr funktioniert könnte es daran liegen, dass die UCR-Variable dns/backend noch auf Samba steht, das ist aber gerade nicht mehr installiert.

root@master:~# ucr search backend
dns/backend: samba4
 Bind can use different backends for its configuration: 'ldap' configures the use of the UCS OpenLDAP directory. 'samba4' uses the Samba 4 LDB database. When using the Samba backend, a search is performed in the LDAP for every DNS request. With the OpenLDAP backend, a search is only performed in the directory service if the DNS data has changed.

OpenLDAP (slapd) müsste dazu natürlich laufen.

bzybn · May 23, 2017, 12:22pm

Vielen Dank Herr Arhnke,

ich hab mich dennoch dazu entschlossen, das System neu aufzusetzen bevor später mehr Fehler entstehen. Ging auch relativ flott und alles läuft wieder bzw. besser als vorher :).