UCS erneut in AD Domäne "joinen"

UCS - Univention Corporate Server
, , ,
#1

Hallo UCS-Team,

ich betreibe seit längerem einen UCS in der Version 4.1-2 als Mitglied eine AD Domäne.
Auf dem UCS läuft KIX welches die User gegen das AD authentifiziert…das lief alles Bestens.

Jetzt hat der UCS versehentlich die Domänenzugehörigkeit verloren (Problem auf der Windowsseite), und darf nun das AD nicht mehr synchronisieren: main.kerberosAuthenticationFailed: The following command failed: "kinit --no -addresses --password-file=/etc/machine.secret SERVERNAME$

Gibt es eine einfache Möglichkeit die UCS erneut in das AD zu Joinen ohne dabei vor allem die bereits geSyncten AD-Benutzer zu verlieren oder noch schlimmer, das KIX “kaputt zu machen”?

Vielen Dank für Eure Hilfe

ADconnector AuthenticationFailed (12.0)
Keine Benutzeranmeldung an ADS möglich
#2

Huhu,

haben Sie schon versucht, das Passwort des im AD befindlichen Computerkontos AD-seitig auf dasjenige zurückzusetzen, das auf dem UCS-Server in der Datei /etc/machine.secret steht? Vielleicht klappt’s dann einfach wieder. Das Computerkonto darf natürlich auch nicht deaktiviert sein.

Gruß
mosu

#3

Hallo Moritz (ich sag einfach mal Du :wink: ),

diesen Vorschlag habe ich in der Forensuche auch schon ein, zwei Mal gelesen.
Mir ist/war nicht bewusst, das ich auf der AD-Seite ein Computerkennwort setzten kann.
Ich wüsste ehrlich gesagt auch nicht wie…ich könnte höchstens ein Attribut des Computerobjektes ändern…aber welches ist das Richtige?

Vielen Dank für Deine Hilfe
Gruß
Henry

#4

Huhu,

du ist vollkommen OK :+1:

Hmm, ich hab eben etwas gegooglet und bin mir nun nicht mal sicher, ob man in einem Windows-AD das Passwort eines Computerkontos überhaupt auf einen bestimmten Wert setzen kann. Falls nicht und Neu-Join wirklich nötig ist, würde ich folgende Schritte probieren:

  1. Die AD-Connector-App aufrufen und schauen, ob man den AD-Connector da schlicht neu konfigurieren oder neu joinen lassen kann (hab gerade keine Installation zur Hand, an der ich’s nachschauen könnte).
  2. Klappt das nicht, so wie folgt weiter:
    1. UCS-seitig die AD-Connector-App deinstallieren
    2. UCS-seitig alle UCR-Variablen entfernen, die irgendwas mit connector/ad/… heißen
    3. Windows-AD-seitig das Computerkonto löschen oder zumindest zurücksetzen (das heißt übrigens genau so, wie der UCS-Server-Hostname lautet)
    4. UCS-seitig die AD-Connector-App wieder installieren und konfigurieren

Good luck :slight_smile:

Gruß
mosu

#5

Hallo Moritz,

ich wollte jetzt die AD Connector-App deinstallieren.
Die Deinstallation-Routine will insgesamt 7 Pakete dabei deinstallieren (siehe Screenshot).
AD-Connector-uninstall

Jetzt habe ich Angst, das eines der Pakete wichtig für den Betrieb der KIX-App ist.
wie z.B. python-pysqlite2 oder sqlite3.

Kann ich irgendwie herausfinden ob diese durch die KIX-App genutzt werden?

Vielen Dank und viele Grüße
Henry

#6

Huhu,

KIX ist ja OTRS, und das ist in Perl geschrieben und nutzt kein Python. Als Datenbank nutzt KIX PostgreSQL und nicht sqlite. Daher sollten beide Punkte (besser gesagt, die komplette Liste) OK sein.

Gruß
mosu

#7

Hi @Henry

You might find out which kix related packages are installed on your system

root@ucs:~# dpkg -l | grep kix
ii  kix                                                 17.2.0-0                                       all          KIX is the new standard for servicedesks. The software browser-usable, open source and based on the own development path of OTRS 5. KIX supports following areas: ITIL-based IT service, technical service, maintenance and repair, customer service.
ii  kix-meta-17                                         1.0.0-0                                        all          the KIX meta package for UCS
ii  kix-pg                                              17.2.0-0                                       all          basic DBMS specific package for KIX
ii  kix4ucs                                             17.0.0-0                                       all          KIX Extension for UCS

You might now use the found packages to find dependencies (I use awk to only use the second value)

root@ucs:~# apt-cache depends $( dpkg -l | grep kix | awk '{print $2}' )

Hope that helps!

kind regards

#8

Thanks a lot to @Moritz_Bunkus and @stoeckigt,

finally it worked with reseting the UCS-coumputer-object in Active Directory Domain and rejoin the UCS with:

root@ucs:# net ads join -U Administrator machinepass=oldPassword from /etc/machine.secret

Thanks again for your help
Best regards
Henry

Mastodon