Schwierigkeiten mit AD Connector

UCS - Univention Corporate Server
#1

Hi,

seit 2 Tagen bin ich dabei, die AD meines Win 2003 Servers mit UCS zu verbinden. Ich hab die Komplette Dokumentation und das Handbuch für Benutzer und Administratoren schon nach einer Anleitung durchsucht. Auch die Anleitung des Univention Active Directory Connectors brachte kein brauchbares Ergebnis. Die Anleitung habe ich aber soweit befolgt. Jetzt wird in der .log des AD-Connectors auf dem Win Server die Meldung Failed to init ssl angezeigt. Ich versteh zwar, dass das bedeutet irgendwas ist falsch und dadurch funktioniert der Dienst nicht, aber wie ich diesen Fehler beheben kann weiß ich nicht. Ich muss dazu sagen, dass meine Kenntnisse in den Bereichen Linux,AD,LDAP,DC,SSL und UCS kaum an die Grundkenntnisse gelangt. Die Erklärungen in den Dokumentationen waren teils recht unübersichtlich und unverständlich (aus meiner Sicht).

Zusätzlich hätte ich noch eine kurze Frag nebenbei.

In der Dokumentation zum Thema Installation und Konfiguration des Univention AD Connectors wird in 2.1 von einem Passwort Dienst gesprochen. Im den Folgenden Abschnitten klingt es so, als wäre von Vornherein jedem klar was das ist, wie man diesen Installiert und wo er hin installiert wird. Leider weiß ich von alledem nichts und im Forum bzw. den Dokumentationen und dem Handbuch fand ich auch keine Hinweise.

Wäre klasse wenn mir da jemand helfen könnte.

Danke Im Voraus

Gruß Daniel

///UPDATE:

Ich habe nun herausgefunden, dass mit Passwort Dienst einfach nur der Ordner des Active Directory Connectors gemeint ist. Jedenfalls scheint es mir so, denn als ich nun die hoffentlich richtigen private.key und cert.pem Dateien in diesen Ordner kopiert habe steht in der .log nicht mehr Failed to init ssl sondern Waiting for a client to connect… allerdings weiß ich jetzt immer noch nicht was ich genau machen muss.
Wäre super wenn mir da jemand auf die Sprünge helfen könnte.

PS: In der /var/log/univention/connector-status.log steht Can’t initialize LDAP-Connections, wait …
Die /var/log/univention/connector.log meldet immer abwechselnd DEBUG_INIT DEBUG_EXIT
Die /var/log/univention/connector-status.log meldet jetzt
— connect failed, failure was: —

Traceback (most recent call last):
File “modules/univention/connector/ad/main.py”, line 216, in main
File “modules/univention/connector/ad/main.py”, line 108, in connect
System Exit: 1

— retry in 30 seconds —

#2

Weiß denn niemand etwas :frowning:

#3

Hallo,

[quote=“Daniel.O”]PS: In der /var/log/univention/connector-status.log steht Can’t initialize LDAP-Connections, wait …
Die /var/log/univention/connector.log meldet immer abwechselnd DEBUG_INIT DEBUG_EXIT[/quote]
Dies deutet auf Probleme hin, auf das LDAP- (bzw. AD-Verzeichnis) auf dem Windows-Server zuzugreifen. Hier sollte zuerst mit dem Tool univention-adsearch geprüft werden, ob der Zugriff auf das AD korrekt funktioniert (siehe Kapitel 7 in der Dokumentation des AD-Connectors). Falls es hier zu Problemen kommt, hat sich vermutlich bei den Univention Baseconfig-Variablen für den AD-Zugriff ein Fehler eingeschlichen (siehe Kapitel 6).

Mit freundlichen Grüßen,

Wolf Wiegand

#4

Klasse, dank des etwas unübersichtlichen Handbuches hat sich bei mir ein kleiner Fehler eingeschleust. Danke Wiegand für deine Hilfe

Wenn da sowetwas steht wie:
connector/ad/ldap/host Diese Variable enthält den FQDN des Active Directory Servers, z.B. w2k3.ad.univention.de.

ist das schon etwas undeutlich. Deutlicher wäre da “w2k3.ad.univention.de” und nach dem Anführungszeichen dann den Punkt für das Satzende, oder ganz weglassen.

PS: Zwar synchronisiert er jetzt von LDAP nach AD aber nicht in die andere Richtung, wie kann dass denn nun sein?

Gruß Daniel

#5

Hallo,

[quote=“Daniel.O”]Klasse, dank des etwas unübersichtlichen Handbuches hat sich bei mir ein kleiner Fehler eingeschleust.[/quote]Eine umfassende Überarbeitung der AD-Connector-Dokumentation ist bereits geplant (nur leider noch nicht umgesetzt).

[quote]PS: Zwar synchronisiert er jetzt von LDAP nach AD aber nicht in die andere Richtung, wie kann dass denn nun sein?[/quote]Hier sollte geprüft werden, ob der konfigurierte Benutzer für den Zugriff auf das AD ausreichende Leserechte besitzt (dieser Benutzer sollte auf Windows-Seite Mitglied der Gruppe der Domänen-Administratoren sein). Mit dem Befehl ‘univention-connector-list-rejected’ kann geprüft werden, ob und warum einzelne Objekte nicht synchronisiert werden. Weitere Hinweise lassen sich außerdem noch in den Logdateien des Connectors unter /var/log/univention/ finden.

Mit freundlichen Grüßen,

Wolf Wiegand

Mastodon