UCS 4.2.2 kann nicht mehr mit LDAP verbinden


#1

Hallo Zusammen,

ich hab von unserem alten ITler einen Univention Server 4.22 geerbt, d.h ich relativ neu in der Univention Materie.
Bis Freitag lief das Ding auch ganz gut. Erst konnte man sich nicht mehr in das Webinterface einloggen, der SAML funktioniert nicht mehr. Meiner Meinung nach kann der Server nicht mehr zum LDAP verbinden.

Ich hab ein paar Einträge aus Logdaten angehängt, evtl. kann mir jemand sagen wo der Fehler ist, bzw. wo ich Fehlersuchen anfangen kann, da ich mich mit den Server noch nicht so gut auskenne. Es gibt noch einen BDC der funktioniert. Hoffe es kann jemand was damit anfangen.

/var/log/univention/management-console-server.log:

13.11.17 16:12:39.696 AUTH ( WARN ) : Canonicalization of username was not possible: {‘desc’: ‘Invalid credentials’}
13.11.17 16:12:40.708 AUTH ( ERROR ) : PAM: authentication error: (‘Berechtigungsnachweis f\xc3\xbcr Zugriff auf Authentifizierungsdaten nicht ausreichend’, 8)
13.11.17 16:12:40.708 AUTH ( ERROR ) : Berechtigungsnachweis für Zugriff auf Authentifizierungsdaten nicht ausreichend
13.11.17 16:12:44.355 AUTH ( WARN ) : Canonicalization of username was not possible: {‘desc’: ‘Invalid credentials’}
13.11.17 16:12:44.359 AUTH ( ERROR ) : PAM: authentication error: (‘Berechtigungsnachweis f\xc3\xbcr Zugriff auf Authentifizierungsdaten nicht ausreichend’, 8)
13.11.17 16:12:44.359 AUTH ( ERROR ) : Berechtigungsnachweis für Zugriff auf Authentifizierungsdaten nicht ausreichend
13.11.17 16:12:44.777 AUTH ( WARN ) : Canonicalization of username was not possible: {‘desc’: ‘Invalid credentials’}
13.11.17 16:12:44.781 AUTH ( ERROR ) : PAM: authentication error: (‘Berechtigungsnachweis f\xc3\xbcr Zugriff auf Authentifizierungsdaten nicht ausreichend’, 8)
13.11.17 16:12:44.781 AUTH ( ERROR ) : Berechtigungsnachweis für Zugriff auf Authentifizierungsdaten nicht ausreichend
13.11.17 16:13:09.723 MAIN ( PROCESS ) : Connection timed out.
13.11.17 16:13:10.723 MAIN ( PROCESS ) : Connection timed out.
13.11.17 16:13:14.139 MAIN ( PROCESS ) : Connection timed out.
13.11.17 16:13:14.350 MAIN ( PROCESS ) : Connection timed out.
13.11.17 16:13:14.767 MAIN ( PROCESS ) : Connection timed out.

syslog:

ov 13 06:25:18 pdc dhcpd: exiting.
Nov 13 06:25:21 pdc telegraf[771]: 2017-11-13T05:25:21Z E! InfluxDB Output Error: Response Error: Status Code [503], expected [204], []
Nov 13 06:25:21 pdc telegraf[771]: 2017-11-13T05:25:21Z E! Error writing to output [influxdb]: Could not write to any InfluxDB server in cluster
Nov 13 06:25:23 pdc dhcpd: Error: Cannot login into ldap server pdc.xxx.intranet:7389: Invalid credentials
Nov 13 06:25:23 pdc dhcpd: Configuration file errors encountered – exiting
Nov 13 06:25:23 pdc dhcpd:
Nov 13 06:25:23 pdc dhcpd: If you think you have received this message due to a bug rather
Nov 13 06:25:23 pdc dhcpd: than a configuration issue please read the section on submitting
Nov 13 06:25:23 pdc dhcpd: bugs on either our web page at www.isc.org or in the README file
Nov 13 06:25:23 pdc dhcpd: before submitting a bug. These pages explain the proper
Nov 13 06:25:23 pdc dhcpd: process and the information we find helpful for debugging…
Nov 13 06:25:23 pdc dhcpd:
Nov 13 06:25:23 pdc dhcpd: exiting.
Nov 13 06:25:28 pdc dhcpd: Error: Cannot login into ldap server pdc.huf.intranet:7389: Invalid credentials
Nov 13 06:25:28 pdc dhcpd: Configuration file errors encountered – exiting

auth.log

Nov 12 06:25:13 pdc sshd[29728]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:13 pdc sshd[29728]: nss_ldap: reconnecting to LDAP server…
Nov 12 06:25:13 pdc sshd[29728]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:13 pdc sshd[29728]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)…
Nov 12 06:25:14 pdc sshd[29728]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:14 pdc sshd[29728]: nss_ldap: could not search LDAP server - Server is unavailable
Nov 12 06:25:14 pdc sshd[29728]: pam_krb5(sshd:auth): user bdc$ authenticated as bdc$@HUF.INTRANET
Nov 12 06:25:14 pdc sshd[29728]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:14 pdc sshd[29728]: nss_ldap: reconnecting to LDAP server…
Nov 12 06:25:14 pdc sshd[29728]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:14 pdc sshd[29728]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)…
Nov 12 06:25:14 pdc CRON[29220]: pam_unix(cron:session): session closed for user root
Nov 12 06:25:15 pdc sshd[29728]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:15 pdc sshd[29728]: nss_ldap: could not search LDAP server - Server is unavailable
Nov 12 06:25:15 pdc sshd[29721]: Accepted keyboard-interactive/pam for bdc$ from 192.168.11.5 port 44426 ssh2
Nov 12 06:25:15 pdc sshd[29721]: pam_unix(sshd:session): session opened for user bdc$ by (uid=0)
Nov 12 06:25:15 pdc sshd[29792]: Received disconnect from 192.168.11.5: 11: disconnected by user
Nov 12 06:25:15 pdc sshd[29721]: pam_unix(sshd:session): session closed for user bdc$
Nov 12 06:25:15 pdc sshd[29798]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:15 pdc sshd[29798]: nss_ldap: reconnecting to LDAP server…
Nov 12 06:25:15 pdc sshd[29798]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:15 pdc sshd[29798]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)…
Nov 12 06:25:16 pdc sshd[29798]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:16 pdc sshd[29798]: nss_ldap: could not search LDAP server - Server is unavailable
Nov 12 06:25:16 pdc sshd[29798]: pam_krb5(sshd:auth): user bdc$ authenticated as bdc$@HUF.INTRANET
Nov 12 06:25:16 pdc sshd[29798]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:16 pdc sshd[29798]: nss_ldap: reconnecting to LDAP server…
Nov 12 06:25:16 pdc sshd[29798]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:16 pdc sshd[29798]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)…
Nov 12 06:25:17 pdc sshd[29798]: nss_ldap: failed to bind to LDAP server ldap://pdc.huf.intranet:7389: Invalid credentials
Nov 12 06:25:17 pdc sshd[29798]: nss_ldap: could not search LDAP server - Server is unavailable
Nov 12 06:25:17 pdc sshd[29796]: Accepted keyboard-interactive/pam for bdc$ from 192.168.11.5 port 44434 ssh2
Nov 12 06:25:17 pdc sshd[29796]: pam_unix(sshd:session): session opened for user bdc$ by (uid=0)
Nov 12 06:25:18 pdc sshd[29809]: Received disconnect from 192.168.11.5: 11: disconnected by user
Nov 12 06:25:18 pdc sshd[29796]: pam_unix(sshd:session): session closed for user bdc$


#2

Sieht für mich so, als würde das Paßwort des Maschinenkontos des Masters nicht mehr stimmen:


#3

Danke für die schnelle Antwort. Hat gut funktioniert, jetzt schmeißt er noch folgendes ins Log:

Traceback (most recent call last):
File “/usr/lib/pymodules/python2.7/univention/management/console/base.py”, line 250, in execute
function.func(self, request, *args, **kwargs)
File “/usr/lib/pymodules/python2.7/univention/management/console/protocol/session.py”, line 964, in _authentication_finished2
self.initalize_processor(request)
File “/usr/lib/pymodules/python2.7/univention/management/console/protocol/session.py”, line 1001, in initalize_processor
self.processor.set_credentials(**self.__credentials)
File “/usr/lib/pymodules/python2.7/univention/management/console/protocol/session.py”, line 171, in set_credentials
self._search_user_dn()
File “/usr/lib/pymodules/python2.7/univention/management/console/protocol/session.py”, line 190, in _search_user_dn
if self.lo and self._username:
File “/usr/lib/pymodules/python2.7/univention/management/console/protocol/session.py”, line 152, in lo
return get_machine_connection(write=False)[0]
File “/usr/lib/pymodules/python2.7/univention/management/console/ldap.py”, line 100, in get_machine_connection
return connection()
File “/usr/lib/pymodules/python2.7/univention/management/console/ldap.py”, line 140, in _decorated
kwargs[loarg], kwargs[poarg] = lo, po = getter()
File “/usr/lib/pymodules/python2.7/univention/management/console/ldap.py”, line 130, in getter
conn = connection()
File “/usr/lib/pymodules/python2.7/univention/management/console/ldap.py”, line 63, in connection
return _getMachineConnection(**kwargs)
File “/usr/lib/pymodules/python2.7/univention/admin/uldap.py”, line 143, in getMachineConnection
lo = univention.uldap.getMachineConnection(start_tls, decode_ignorelist=decode_ignorelist, ldap_master=ldap_master)
File “/usr/lib/pymodules/python2.7/univention/uldap.py”, line 91, in getMachineConnection
return access(host=ucr[‘ldap/server/name’], port=port, base=ucr[‘ldap/base’], binddn=ucr[‘ldap/hostdn’], bindpw=bindpw, start_tls=start_tls, decode_ignorelist=decode_ignorelist, reconnect=reconnect)
File “/usr/lib/pymodules/python2.7/univention/uldap.py”, line 152, in init
self.__open(ca_certfile)
File “/usr/lib/pymodules/python2.7/univention/uldap.py”, line 206, in __open
self.lo.simple_bind_s(self.binddn, self.__encode_pwd(self.bindpw))
File “/usr/lib/python2.7/dist-packages/ldap/ldapobject.py”, line 879, in simple_bind_s
res = self._apply_method_s(SimpleLDAPObject.simple_bind_s,*args,**kwargs)
File “/usr/lib/python2.7/dist-packages/ldap/ldapobject.py”, line 860, in _apply_method_s
return func(self,*args,**kwargs)
File “/usr/lib/python2.7/dist-packages/ldap/ldapobject.py”, line 215, in simple_bind_s
resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all=1,timeout=self.timeout)
File “/usr/lib/python2.7/dist-packages/ldap/ldapobject.py”, line 476, in result3
resp_ctrl_classes=resp_ctrl_classes
File “/usr/lib/python2.7/dist-packages/ldap/ldapobject.py”, line 483, in result4
ldap_result = self._ldap_call(self._l.result4,msgid,all,timeout,add_ctrls,add_intermediates,add_extop)
File “/usr/lib/python2.7/dist-packages/ldap/ldapobject.py”, line 106, in _ldap_call
result = func(*args,**kwargs)
INVALID_CREDENTIALS: {‘desc’: ‘Invalid credentials’}

13.11.17 17:27:36.203 MAIN ( PROCESS ) : Connection timed out.
13.11.17 17:27:43.210 MAIN ( PROCESS ) : Connection timed out.
13.11.17 17:27:46.214 MAIN ( PROCESS ) : Connection timed out.
13.11.17 17:27:56.243 AUTH ( WARN ) : Canonicalization of username was not possible: {‘desc’: ‘Invalid credentials’}
13.11.17 17:27:57.676 MODULE ( PROCESS ) : Setting auth type to None
13.11.17 17:27:57.681 MODULE ( PROCESS ) : Die Ausführung des Kommandos ist fehlgeschlagen

Was ist eigentlich WARN ) : Canonicalization of username was not possible: {‘desc’: ‘Invalid credentials’}. ?

Beim SAML-Modul bleibt er hier immer hängen siehe hier:


#4

Der Login als Administrator funtioniert also wieder? Wenn ja, vielleicht einfach mal den ganzen Server neustarten.


#5

Nein, leider nicht war noch gechached, login funzt leider immer noch nicht

reboot brachte auch nix


#6

Funktioniert der Bind als Administrator auf dem Master?

univention-ldapsearch '(uid=Administrator)' -x -D uid=Administrator,cn=users,$(ucr get ldap/base) -W

#7

das hat mit unserem Kennwort funktioniert…


#8
univention-ldapsearch '(uid=Administrator)'

funktioniert nehm ich an nicht?


#9

univention-ldapsearch ‘(uid=Administrator)’
funktioniert leider nicht. Hilft der Output von dem Befehl zuvor weiter?


#10

Nein ich denke nicht. Aber es kann nicht schaden, wenn du immer die Ausgabe postest. Funktioniert

univention-s4search '(uid=Administrator)'

Gab es irgendwelche Meldungen beim Paßwortwechsel?


#11

der letzte Befehl hat auch funktioniert. wie kann ich dir am besten den output zukommen lassen, ohne dass ich hier zu sensible Daten poste. bin da nicht so der profi :slight_smile:

Auf welchen Passwortwechsel beziehst Du Dich? (sorry wenn ich nachfragen muss)

Und vielen Dank nochmal für Deine Unterstützung! :slight_smile:


#12

Sonderlich sensibel sind die Daten eigentlich bis auf die BaseDN und die SID vielleicht. Aber sowas kannst du im Zweifel auch per PN schicken. Aber ich nehme an, daß der Befehl schon funktioniert hat, demnach brauche ich die Ausgabe des Befehls nicht.

Auf welchen Passwortwechsel beziehst Du Dich? (sorry wenn ich nachfragen muss)

Auf den des Maschinenkontos.

Und vielen Dank nochmal für Deine Unterstützung!

Kein Problem :slight_smile:


#13

seltsamer weise funktioniert plötzlich auch:

univention-s4search ‘(uid=Administrator)’

jetzt geht nur der login auf der webui nicht…


#14

Hallo,

nochmal danke für die Hilfe. Beim Passwortwechsel gab es keine keine Meldung. (successful) Der Bind funktioniert, er gibt das das Administratorobjekt des Ldaps aus

univention-ldapsearch ‘(uid=Administrator)’ -x -D uid=Administrator,cn=users,$(ucr get ldap/base) -W

extended LDIF

LDAPv3

filter: (uid=Administrator)

requesting: ALL

Administrator, users, huf.intranet

dn: uid=Administrator,cn=users,dc=xx,dc=intranet
uid: Administrator
krb5PrincipalName: Administrator@xx.INTRANET
uidNumber: 2002
krb5MaxLife: 86400
cn: Administrator
krb5MaxRenew: 604800
loginShell: /bin/bash
univentionObjectType: users/user
displayName: Administrator
sambaSID:
gecos: Administrator
sn: Administrator
pwhistory:
homeDirectory: /home/Administrator
gidNumber: 5000
sambaPrimaryGroupSID:
univentionPolicyReference: cn=default-admins,cn=admin-settings,cn=users,cn=pol
icies,dc=huf,dc=intranet
description: Built-in account for administering the computer/domain
postalCode:
o::
street:
st: DE
l::
enabledServiceProviderIdentifier: SAMLServiceProviderIdentifier=https://xxx.hu
f.intranet/univention-management-console/saml/metadata,cn=saml-serviceprovide
r,cn=univention,dc=huf,dc=intranet
enabledServiceProviderIdentifier: SAMLServiceProviderIdentifier=https://xxx.
huf.intranet/univention-management-console/saml/metadata,cn=saml-serviceprovi
der,cn=univention,dc=huf,dc=intranet
enabledServiceProviderIdentifier: SAMLServiceProviderIdentifier=https://xxx
.huf.intranet/univention-management-console/saml/metadata,cn=saml-serviceprov
ider,cn=univention,dc=huf,dc=intranet
enabledServiceProviderIdentifier: SAMLServiceProviderIdentifier=https://xx.hu
f.intranet/univention-management-console/saml/metadata,cn=saml-serviceprovide
r,cn=univention,dc=huf,dc=intranet
enabledServiceProviderIdentifier: SAMLServiceProviderIdentifier=https://xxx.hu
f.intranet/univention-management-console/saml/metadata,cn=saml-serviceprovide
r,cn=univention,dc=huf,dc=intranet
sambaPasswordHistory:

univention-s4search ‘(uid=Administrator)’

Processing section “[netlogon]”
Processing section “[sysvol]”
Processing section “[homes]”
Processing section “[printers]”
Processing section “[print$]”
Processing section “[print1]”
pm_process() returned Yes
GENSEC backend ‘gssapi_spnego’ registered
GENSEC backend ‘gssapi_krb5’ registered
GENSEC backend ‘gssapi_krb5_sasl’ registered
GENSEC backend ‘spnego’ registered
GENSEC backend ‘schannel’ registered
GENSEC backend ‘naclrpc_as_system’ registered
GENSEC backend ‘sasl-EXTERNAL’ registered
GENSEC backend ‘ntlmssp’ registered
GENSEC backend ‘ntlmssp_resume_ccache’ registered
GENSEC backend ‘http_basic’ registered
GENSEC backend ‘http_ntlm’ registered
GENSEC backend ‘krb5’ registered
GENSEC backend ‘fake_gssapi_krb5’ registered

Received smb_krb5 packet of length 283
Received smb_krb5 packet of length 1367


#15

Klar der Bind mit dem Administrator funktioniert. Die Frage ist wieso es mit dem Maschinenkonto nicht klappt, trotz Paßwort-Wechsel. Leider habe ich momentan keine Idee.


#16

Ich glaube das liegt an diesem Single-SigOn Modul das immer nen Fehler in Log schmeisst.
evtl liegt da der Fehler:

management-console-server.log:

result = func(*args,**kwargs)

INVALID_CREDENTIALS: {‘desc’: ‘Invalid credentials’}

14.11.17 10:44:44.036 MAIN ( PROCESS ) : Connection timed out.
14.11.17 10:44:47.050 MAIN ( PROCESS ) : Connection timed out.
14.11.17 10:44:50.370 MAIN ( PROCESS ) : Connection timed out.
14.11.17 10:44:57.309 MAIN ( PROCESS ) : Connection timed out.
14.11.17 10:44:57.309 MAIN ( PROCESS ) : Processor: dying
14.11.17 10:44:57.309 MAIN ( PROCESS ) : Processor: dying

was beutetet eigentlich : INVALID_CREDENTIALS: {‘desc’: ‘Invalid credentials’} ?

Da stimmt doch irgendwo ein Password noch nicht. Müssen die Secrets auf dem pdc und bdc eigentlich gleich sein ?

Ausserdem hab ich gesehen das auf dem bdc die SSH Verbindungen nicht mehr funktionieren:

SSH-Verbindung zum UCS-Server fehlgeschlagen :

Traceback (most recent call last):
File “/usr/lib/pymodules/python2.7/univention/management/console/modules/diagnostic/init.py”, line 263, in execute
result = execute(umc_module, **kwargs)
File “/usr/lib/pymodules/python2.7/univention/management/console/modules/diagnostic/plugins/01_ssh_connection.py”, line 41, in run
modules.init(lo, position, udm_obj)
File “/usr/lib/pymodules/python2.7/univention/admin/modules.py”, line 120, in init
univention.admin.ucr_overwrite_properties(module, lo)
File “/usr/lib/pymodules/python2.7/univention/admin/init.py”, line 60, in ucr_overwrite_properties
ucr_prefix = ucr_property_prefix % module.module
AttributeError: ‘NoneType’ object has no attribute ‘module’


#17

Hallo,

irgendwie hat sich der Server nach zwei Tagen wieder von selbst “regeneriert” , auf alle Fälle geht jetzt wieder alles. Vielen Dank an SirTux für den tollen Support. :star_struck::star_struck:


#18

Freut mich, daß es wieder geht :slight_smile: Auch wenn ich nicht verstehe warum


#19

Evtl. weil der tägliche Passwortwechsel automatisch gelaufen ist und dann das Passwort auch in den angeschlossenen Diensten ausgetauscht wurde.
Das Problem hatte ich bei mir auch. Nur das Passwort manuell im Computerkonto und und in /etc/machine.secret zu setzen reicht nicht. Danach muss man noch einmal den vollständigen Passwortwechsel manuell antriggern.


#20

Ok jetzt wo du es sagst, das macht Sinn. Das Paßwort steht ja durchaus in so manchen Dateien direkt drin.