ich hatte gestern einen Zwischenfall auf dem Univention DC Master und war gezwungen ein 24h altes Backup einzuspielen. Der DC Backup lief in der Zwischenzeit weiter.
Auf den ersten Blick scheint alles wieder normal zu funktionieren. Jedoch am DC Backup wird beim Systemcheck der folgende Fehler ausgegeben:
Fehler traten auf bei der Ausführung von `kinit` oder `nsupdate`. `kinit` für den Principal dns-DCBACKUP mit der Password Tabelle /var/lib/samba/private/dns.keytab ist fehlgeschlagen.
Beim Ausführen von “samba_dnsupdate” ergibt sich folgende Fehlermeldung: “dns_tkey_negotiategss: TKEY is unacceptable”
Ein Domain-Rejoin sowie ein manuelles Neuerstellen des Machine Passwords brachten beide keine Veränderung.
Das Backup wurde nur vom Master eingespielt. Die Systemzeit stimmt ebenfalls und die UCS Version ist identisch UCS: 4.2-2 errata203.
Auch ein univention-join lief fehlerfrei durch.
Sie sollten die Keytab mit folgendem Befehl auf dem betroffenen Host neu erzeugen lassen können:
rm -f $keytab
samba-tool domain exportkeytab $keytab "--principal=dns-$(hostname)@$(ucr get domainname)"
Anschließend können Sie direkt auf der Kommandozeile testen, ob das funktioniert hat. Der erste folgende Befehl sollte nichts ausgeben, der zweite dann ein aktives Ticket für den Principal dns-<hostname> anzeigen:
Funktioniert es, klist zeigt auch ein Ticket, “samba_dnsupdate” bringt aber immer noch den gleichen Fehler und auch die Meldung im Systemcheck bleibt erhalten.
Ach ja, ich empfehle wirklich, genau meinen Befehl zu nehmen, und nicht etwa Teile wie $(hostname) manuell zu ersetzen. Warum? Weil Groß-/Kleinschreibung bei Kerberos wichtig ist. Und die automatisierten Prozesse, die die dns.keytab nutzen, greifen immer auf den abgefragten Hostnamen zu, und das muss nicht unbedingt derjenige sein, von dem wir Menschen denken, dass er es ist (backup vs BACKUP).