Rechner wird nicht vollständig gelöscht im LDAP

Ich habe immer noch Probleme mit der Integration eines OpenSuSE clients in die UCS-AD-Domäne (siehe [url]Domänenbenutzer können sich nicht an Linux-PC anmelden]) und wollte nun daher einmal komplett frisch anfangen und habe das Rechner Objekt im UMC gelöscht (mit allen verknüpften Objekten).

Nun wollte ich ein neues Rechner-Konto (natürlich gleicher Name “edison” wieder) mit Typ “Rechner: Linux” anlegen, bkomme aber immer den Fehler:

Ich habe daraufhin einmal im LDAP gesucht (univention-ldapsearch | grep edison) und tatsächlich ist da noch ein “Rest” irgendiwe vorhanden:

# Computers, groups, mydomain.de dn: cn=Computers,cn=groups,dc=mydomain,dc=de objectClass: top objectClass: posixGroup objectClass: univentionGroup objectClass: sambaGroupMapping objectClass: univentionObject objectClass: univentionPolicyReference univentionObjectType: groups/group cn: Computers sambaGroupType: 2 gidNumber: 5007 uniqueMember: cn=DC Backup Hosts,cn=groups,dc=mydomain,dc=de uniqueMember: cn=DC Slave Hosts,cn=groups,dc=mydomain,dc=de univentionPolicyReference: cn=default-computers-umc,cn=UMC,cn=policies,dc=mydomain ,dc=de sambaSID: S-1-5-21-1016172503-1480432879-3895821097-1103 memberUid: edison$

Wie werde ich das wieder los, so dass ich ein neues Rechner-Objekt anlegen kann?
Bzw. woher kommt das überhaupt, dass das übrig bleibt? - Im UMC-Webinterface wird nirgends ein Objekt names “edison” angezeigt.

MfG,
F. Illenseer

Irgdwie gibt es an der Stelle noch eine Zeile mit einem leeren EIntrag (hatte ich beim ersten Post übersehen):
Unterhalb der beiden “uniqueMember: …” Einträge existiert noch eine Zeile, in der nur

uniqueMember:

steht. Mir war das aufgefallen, denn wenn ich im LDAP-Baum in der Webansicht zu der Gruppe navigiere, gibt es dort einen leeren Eintrag, den ich auch nicht löschen kann. - Evtl. ist das die obige Zeile…?


Einen Eintrag für “edison” finde ich immer noch nicht, aber im univention-ldapsearch wird er immer noch gelistet.

Kann jemand weiterhelfen, wie ich diese Eintraäge loswerde, so dass ich das Rechner Objekt anlegen kann?

Nach langem (!) Suchen, habe ich eine Lösung gefunden, die ich hier auch mitteilen möchte:

Es scheint mir, als ob man diesen “komischen Zustand” nur durch eine direkte Modifikation am LDAP (mit den eigenen tools) beheben kann. Ich habe also zuerst einmal verifiziert, dass der Eintrag tatsächlich lokalisiert werden kann:

ldapsearch -D "cn=admin,`ucr get ldap/base`" -w `cat /etc/ldap.secret` -b 'cn=Computers,cn=groups,dc=mydomain,dc=de' '(&)'

Danach habe ich eine Datei “repair.ldif” erstellt

[code]dn: cn=Computers,cn=groups,dc=mydomain,dc=de
changetype: modify
delete: memberUid
memberUid: edison$

dn: cn=Computers,cn=groups,dc=mydomain,dc=de
changetype: modify
delete: uniqueMember
uniqueMember:
[/code]

Diese dann zuerst einmal im “Dry-Run” getestet:

ldapmodify -D "cn=admin,`ucr get ldap/base`" -w `cat /etc/ldap.secret` -n -v -f repair.ldif

Und nachdem dies keine Fehler brachte, folgte der Reparaturlauf:

ldapmodify -D "cn=admin,`ucr get ldap/base`" -w `cat /etc/ldap.secret` -f repair.ldif

Danach nochmals mit

ldapsearch -D "cn=admin,`ucr get ldap/base`" -w `cat /etc/ldap.secret` -b 'cn=Computers,cn=groups,dc=mydomain,dc=de' '(&)'

vrifiziert und voilà

[code]root@server:~ # ldapsearch -D “cn=admin,ucr get ldap/base” -w cat /etc/ldap.secret -b ‘cn=Computers,cn=groups,dc=mydomain,dc=de’ ‘(&)’

extended LDIF

LDAPv3

base <cn=Computers,cn=groups,dc=mydomain,dc=de> with scope subtree

filter: (&)

requesting: ALL

Computers, groups, mydomain.de

dn: cn=Computers,cn=groups,dc=mydomain,dc=de
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
objectClass: univentionObject
objectClass: univentionPolicyReference
univentionObjectType: groups/group
cn: Computers
sambaGroupType: 2
gidNumber: 5007
uniqueMember: cn=DC Backup Hosts,cn=groups,dc=mydomain,dc=de
uniqueMember: cn=DC Slave Hosts,cn=groups,dc=mydomain,dc=de
univentionPolicyReference: cn=default-computers-umc,cn=UMC,cn=policies,dc=mydomain
,dc=de
sambaSID: S-1-5-21-1016172503-1480432879-3895821097-1103

search result

search: 2
result: 0 Success

numResponses: 2

numEntries: 1

[/code]
Nun sieht alles wieder sauber aus.
(Und das Anlegen des “Rechner: Linux” Objekts funktioniert auch.)

Mastodon