UCS 2.4-4 Fehler beim Server-Password-Change

german

#1

Wir versuchen gerade einen Server 2.4-4 auf ein neueres Release upzudaten. Allerdings haben wir Probleme mit dem Machine - Passwort und dann nach dem Update keinen Zugriff mehr auf das LDAP.
Auch ein zurücksetzen auf den Ursprungszustand brachte uns nicht weiter. Bereits in der 2.4-4 Version erhalten wir bvei dem Verusch /usr/lib/univention-server/server_password_change manuell zu starten (wie in der Solution ID 1343) den Fehler, dass das Passwort nicht neu gesetzt werden konnte:
edudc01 - root@edudc01:~# /usr/lib/univention-server/server_password_change failed to change server password for cn=…


#2

Hallo,

hier wäre erstmal zu klären, welche Systemrolle dieser Server hat.
Wenn es kein Master ist, würde ich als erstes prüfen, ob der eingetragene LDAP-Server noch korrekt ist.
Es sollte außerdem zu Testzwecken möglich sein, das Maschinenkennwort manuell in der UMC zu setzen und in /etc/machine.secret einzutragen. Allerdings nur, um anschließend “server_password_change” aufzurufen.

Viele Grüße,
Dirk Ahrnke


#3

Hallo,

zumindest bei neueren UCS Versionen gibt es dazu auch eine Logdatei:

/var/log/univention/server_password_change.log

Evtl. gibt’s die bei UCS 2.4 auch schon und kann noch etwas Licht ins dunkel bringen, falls der Vorschlag von Herrn Ahrnke nicht auf Anhieb die Lösung sein sollte.


#4

Hallo,

vielen Dank für ihre Unterstützung. Es handelt sich um einen Master. Wo kann ich in der UMC das Passort ändern? Die beschriebene Variable: server/password/change ist in der Registry nicht vorhanden.

das Log-File ist leider auch wenig aussagekräftig:

[quote]Starting server password change (Di 5. Jan 07:41:18 CET 2016)
authentication error: Authentication failed
failed to change server password for cn[/quote]


#5

Hallo,

bei den Rechnerobjekten ist das Passwort bei den Erweiterten EInstellungen unter Konto.

Viele Grüße,
Dirk Ahrnke


#6

Leider hatte ich nach dem ändern des Passwortes in der UMC das Selbe Phänomän weiterhin.


#7

/etc/machine.secret haben Sie auch angepasst?
Haben Sie geprüft, ob die Einstellungen aus ldap/master und ldap/master/port korrekt sind?
Ich weiß nicht, ob es in 2.4 schon “univention-ldapsearch” gibt. Das geht jedenfalls nur, wenn das Maschinenkennwort korrekt ist. Es wäre damit zumindest herauszufinden, ob wenigstens das gesetzte Kennwort korrekt ist.
Ansonsten wäre es hilfreich, zum Beispiel mit Blick auf [bug]21732[/bug], wenn Sie den genauen Fehlertext liefern und nur wirklich sensitive Informationen entfernen.


#8

Danke für ihre Hinweise.
Wir haben das Skript zum Ändern des Passwortes jetzt umgeschrieben, da einige Variablen nicht korrekt ausgelesen werden konnten. Wahrscheinlich wurden hier einige Config-Einstellungen von unserem Vorgänger vorgenommen die so nicht mehr nachzuvollziehen sind.

Leider können wir das Update immernoch nicht vernünftig starten. Trotz mehrfacher Überprüfung kann mit dem Machine Account keine Verbindung zum LDAP aufgebaut werden wegen Fehlerhafter Anmeldung

Sowohl das Server-Passwort als auch der Eintrag in der Machine.secret wurden mehrmals abgeglichen.


#9

Leider haben wir weiterhin massive Probleme mit der Anmeldung der Dienste an LDAP. Gibt es eine Möglichkeit das eingetragene LDAP - Kennwort auszulesen?


#10

Die Kennwörter werden nicht im Klartext im LDAP gespeichert und können somit nicht ausgelesen werden.
Mit den vorliegenden Informationen kann ich leider auch nicht sagen, an welcher Stelle es hakt.
Grundsätzlich würde ich schon erwarten, dass es Spuren in /var/log oder /var/log/univention gibt.