UCS Rejects nach "Passwort-Skript"

german

#1

Hallo,

ich habe auf einem System etliche S4-Connector-Rejects:

UCS rejected
    [...]
   10:   UCS DN: uid=pur653,cn=users,dc=gfm,dc=local
          S4 DN: cn=pur653,cn=users,DC=gfm,DC=local
         Filename: /var/lib/univention-connector/s4/1432909085.429170
    [...]

root@univention1:~# univention-ldapsearch -b "uid=pur653,cn=users,dc=gfm,dc=local" -LLL dn: uid=pur653,cn=users,dc=gfm,dc=local givenName: Tamie displayName: Tamie Ingalls uid: pur653 krb5PrincipalName: pur653@GFM.LOCAL objectClass: top objectClass: person objectClass: univentionPWHistory objectClass: posixAccount objectClass: shadowAccount objectClass: univentionMail objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: krb5Principal objectClass: krb5KDCEntry objectClass: univentionObject loginShell: /bin/bash userPassword:: e2NyeXB0fSQ2JElreGNLamU5dU4wSThaQVYkT2RvdjBFMENFUEp3TEU0b2QyS3R mby9KTVlid2VyUjBMWG4uMzFEOTlqb1VNZzBSLnJlZHc4L1JpS0pQS3l0d1NWWUUyMjJadmNEZmVv U0F0VS9wSS8= uidNumber: 1653 krb5KDCFlags: 126 krb5Key:: MEmhKzApoAMCARKhIgQgGvRAZUJdVCqkr4WiS5IF7Go59CGqJOWLaJ2DH8/jVUSiGjAY oAMCAQOhEQQPR0ZNLkxPQ0FMcHVyNjUz krb5Key:: MDmhGzAZoAMCARGhEgQQbuI5p4dZkHH34YRDzl9YGKIaMBigAwIBA6ERBA9HRk0uTE9D QUxwdXI2NTM= krb5Key:: MEGhIzAhoAMCARChGgQY/SBSiuloTM4QI1jNuYDm8XPWKu/Z7L/0ohowGKADAgEDoREE D0dGTS5MT0NBTHB1cjY1Mw== krb5Key:: MDmhGzAZoAMCARehEgQQ2NkrvsP/KCWtkhgkEGXpUKIaMBigAwIBA6ERBA9HRk0uTE9D QUxwdXI2NTM= krb5Key:: MDGhEzARoAMCAQOhCgQIPkDq4Kd8m+yiGjAYoAMCAQOhEQQPR0ZNLkxPQ0FMcHVyNjUz krb5Key:: MDGhEzARoAMCAQKhCgQIPkDq4Kd8m+yiGjAYoAMCAQOhEQQPR0ZNLkxPQ0FMcHVyNjUz krb5Key:: MDGhEzARoAMCAQGhCgQIPkDq4Kd8m+yiGjAYoAMCAQOhEQQPR0ZNLkxPQ0FMcHVyNjUz krb5MaxRenew: 604800 gecos:: IA== sn: Ingalls pwhistory: $6$t9aiMxL/4QiLl4Ie$Fc3b7pVNu51OTzCdSYUJtY/G30.0vNDDArAyYrveDScHC84 NegU7KvmxuX475p5CNTi/WsbGa..XLFEwhXzdm. homeDirectory: /home/pur653 krb5KeyVersionNumber: 1 krb5MaxLife: 86400 cn: Tamie Ingalls univentionObjectType: users/user description: added by Siedl Networks gidNumber: 1220

root@univention1:~# univention-s4search -b "cn=pur653,cn=users,DC=gfm,DC=local"
WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.
# record 1
dn: CN=pur653,CN=Users,DC=gfm,DC=local
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: pur653
sn: Ingalls
givenName: Tamie
instanceType: 4
whenCreated: 20150512143424.0Z
displayName: Tamie Ingalls
uSNCreated: 4651
name: pur653
objectGUID: 73b2115c-ccd8-4223-83b4-c74dddc4a28a
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
primaryGroupID: 513
objectSid: S-1-5-21-1279396558-1320036956-2672020403-1213
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: pur653
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=gfm,DC=local
userAccountControl: 512
description: added by Siedl Networks
userPrincipalName: pur653@GFM.LOCAL
memberOf: CN=pur,CN=Groups,DC=gfm,DC=local
pwdLastSet: 130777075320000000
whenChanged: 20150602083212.0Z
uSNChanged: 70154
distinguishedName: CN=pur653,CN=Users,DC=gfm,DC=local

# returned 1 records
# 1 entries
# 0 referrals

Wie kann ich so etwas auflösen?

Entstanden ist das Problem wohl, als ich ein Skript zur Änderung aller Benutzerpasswörter ausgeführt habe:

#!/bin/bash

while
read line
do
	name=$( echo $line | cut -d ";" -f 1 )
	passwort=$( echo $line | cut -d ";" -f 2 )
	echo "Name: $name   ---   Passwort: $passwort"
	udm users/user modify --dn uid=$name,cn=users,dc=gfm,dc=local \
		--set "password="$passwort \
		--set overridePWHistory=1 \
		--set overridePWLength=1
done < passwoerter.csv

Danach hatte ich sehr viele UCS-Rejects. In der Liste waren 205 Benutzer und die Anzahl der Rejects war 398. Wenn man die Rejects sortiert, sieht man, dass fast alle Benutzer doppelt rejected werden.
Auf meinem Testsystem habe ich dann den S4-Connector neu initialisiert (sdb.univention.de/1236).
Danach hatte ich wesentlich weniger Rejects (18 statt 398).

Interessant finde ich auch, dass es solche Einträge gibt:

   12:   UCS DN: uid=softw0,cn=users,dc=gfm,dc=local
          S4 DN: <not found>
         Filename: /var/lib/univention-connector/s4/1432909085.981669

Obwohl das Object im S4 vorhanden ist und mit univention-s4search ausgegeben wird.

Es gibt übrigens auch einige S4-Rejects (8 Stück vor der nochmaligen Initialisierung und 22 danach).

Solche Einträge findet man in der connector-s4.log:

02.06.2015 11:00:48,337 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1432900443.323557 02.06.2015 11:00:48,343 LDAP (PROCESS): sync from ucs: [ user] [ modify] cn=lag500,cn=users,DC=gfm,DC=local 02.06.2015 11:00:48,368 LDAP (WARNING): sync failed, saved as rejected /var/lib/univention-connector/s4/1432900443.323557 02.06.2015 11:00:48,369 LDAP (WARNING): Traceback (most recent call last): File "/usr/lib/pymodules/python2.7/univention/s4connector/__init__.py", line 801, in __sync_file_from_ucs or (not old_dn and not self.sync_from_ucs(key, object, premapped_ucs_dn, old_dn, old, new))): File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 2527, in sync_from_ucs f(self, property_type, object) File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 76, in primary_group_sync_from_ucs return s4connector.primary_group_sync_from_ucs(key, object) File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 1334, in primary_group_sync_from_ucs self.lo_s4.lo.modify_s(compatible_modstring(object['dn']),[(ldap.MOD_REPLACE, 'primaryGroupID', rid)]) File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 364, in modify_s return self.result(msgid,all=1,timeout=self.timeout) File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 465, in result resp_type, resp_data, resp_msgid = self.result2(msgid,all,timeout) File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 469, in result2 resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all,timeout) File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 476, in result3 resp_ctrl_classes=resp_ctrl_classes File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 483, in result4 ldap_result = self._ldap_call(self._l.result4,msgid,all,timeout,add_ctrls,add_intermediates,add_extop) File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 106, in _ldap_call result = func(*args,**kwargs) UNWILLING_TO_PERFORM: {'info': 'error in module samldb: Unwilling to perform during LDB_MODIFY (53)', 'desc': 'Server is unwilling to perform'}


#2

Hallo,

wenn Sie das Debuglevel des Connector erhöhen können Sie sehen welche Änderungen konkret durchgeführt werden sollen (die der Server aktuell ja mit “unwilling to perform” ablehnt).
Ferner können Sie mal prüfen was sich an den Benutzern nach dem Ausführen Ihres Scripts geändert hat (LDAP Objekt vorher und nachher). Im SDB-Artikel How to deal with s4-connector rejects gibt es noch weitere evtl. hilfreiche Informationen zum umgang mit Rejects.

Die übliche Frage noch: Welche UCS-Version ist das?

Mit freundlichen Grüßen
Janis Meybohm


#3

Danke! Das höhere Loglevel bringt schon einiges.
Ich bin gerade dabei die Rejects nach und nach aufzulösen.

Es handelt sich um ein UCS 4.0.2


#4

So - die meisten Probleme konnte ich lösen.
Einige Rejects sind noch da:

root@univention1:~/rejects# univention-s4connector-list-rejected 

UCS rejected

    2:   UCS DN: uid=ppl720,cn=users,dc=gfm,dc=local
          S4 DN: cn=ppl720,cn=users,DC=gfm,DC=local
         Filename: /var/lib/univention-connector/s4/1433497401.152927

    3:   UCS DN: uid=vkf448,cn=users,dc=gfm,dc=local
          S4 DN: cn=vkf448,cn=users,DC=gfm,DC=local
         Filename: /var/lib/univention-connector/s4/1433502906.054803

    4:   UCS DN: uid=bde424,cn=users,dc=gfm,dc=local
          S4 DN: cn=bde424,cn=users,DC=gfm,DC=local
         Filename: /var/lib/univention-connector/s4/1433503335.628867


S4 rejected

    2:    S4 DN: CN=Computers,CN=Groups,DC=gfm,DC=local
         UCS DN: cn=computers,cn=groups,dc=gfm,dc=local
    3:    S4 DN: CN=zarafa,CN=memberserver,CN=Computers,DC=gfm,DC=local
         UCS DN: cn=zarafa,cn=memberserver,cn=computers,dc=gfm,dc=local

	last synced USN: 54595

(Nummer 1 habe ich hier gelöscht, weil ich weiß wie ich ihn beheben kann)

Hier nun das Computerobjekt im LDAP und im S4:

root@univention1:~/rejects# univention-ldapsearch -b cn=computers,cn=groups,dc=gfm,dc=local -LLL
dn: cn=Computers,cn=groups,dc=gfm,dc=local
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
objectClass: univentionObject
objectClass: univentionPolicyReference
univentionObjectType: groups/group
univentionGroupType: -2147483646
cn: Computers
sambaGroupType: 2
gidNumber: 5007
uniqueMember: cn=DC Backup Hosts,cn=groups,dc=gfm,dc=local
uniqueMember: cn=DC Slave Hosts,cn=groups,dc=gfm,dc=local
uniqueMember: cn=zarafa,cn=memberserver,cn=computers,dc=gfm,dc=local
univentionPolicyReference: cn=default-computers-umc,cn=UMC,cn=policies,dc=gfm,
 dc=local
sambaSID: S-1-5-21-2657495056-2441450391-3094810640-11015
description: Computers
memberUid: zarafa$
root@univention1:~/rejects# univention-s4search -b CN=Computers,CN=Groups,DC=gfm,DC=local
WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.
# record 1
dn: CN=Computers,CN=Groups,DC=gfm,DC=local
objectClass: top
objectClass: group
cn: Computers
description: Computers
instanceType: 4
whenCreated: 20150512143544.0Z
uSNCreated: 4837
name: Computers
objectGUID: b4923ca4-1304-4d25-9506-f360e7f47e20
objectSid: S-1-5-21-1279396558-1320036956-2672020403-1261
sAMAccountName: Computers
sAMAccountType: 268435456
groupType: -2147483646
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=gfm,DC=local
member: CN=DC Slave Hosts,CN=Groups,DC=gfm,DC=local
member: CN=DC Backup Hosts,CN=Groups,DC=gfm,DC=local
whenChanged: 20150512143557.0Z
uSNChanged: 4864
distinguishedName: CN=Computers,CN=Groups,DC=gfm,DC=local

# returned 1 records
# 1 entries
# 0 referrals

Man sieht hier, dass die SambaSID bei beiden Objekten völlig unterschiedlich ist. Beim Zarafa-Memberserver ist das Problem ähnlich.
Die Basis-SID sollte eigentlich überall S-1-5-21-2657495056-2441450391-3094810640 sein.
Wo die andere herkommt, weiß ich nicht.

Insgesamt ist die zweite Basis-SID ziemlich häufig im S4 zu finden. Im LDAP sind es wohl nur die restlichen Rejects.

root@univention1:~/rejects# univention-s4search | grep S-1-5-21-1279396558-1320036956-2672020403 | wc -l
188
root@univention1:~/rejects# univention-ldapsearch | grep S-1-5-21-1279396558-1320036956-2672020403 | wc -l
4

Wie kann ich das bereinigen?


#5

Nachtrag:
Wenn ich im UCS etwas an dem User ändere (habe es z.B. mit Gruppenzugehörigkeiten probiert), bekomme ich einen UCS-Reject.

Ein univention-ldapsearch auf das Objekt offenbart dann, dass folgende Attribute fehlen:

sambaAcctFlags
sambaNTPassword
sambaPasswordHistory
sambaPrimaryGroupSID
sambaPwdLastSet
sambaSID

#6

Hallo,

wegen der unterschiedlichen Domain-SIDs püfen Sie mal ob Sie mehrere Samba Domänenobjekte haben:univention-ldapsearch -xLLL objectclass=sambadomain
Wenn Sie eine andere Domäne übernommen und/oder die SID mal geändert haben wurde dort evtl. etwas vergessen. Sicherstellen sollten Sie auch, dass die UCR Variablen für das SID mapping (z.B.: connector/s4/mapping/sid_to_s4 und samba4/provision/primary) nicht gesetzt sind.

Mit freundlichen Grüßen
Janis Meybohm


#7

Ja, es gibt mehrere Samba-Domänenobjekte:

root@univention1:~# univention-ldapsearch -xLLL objectclass=sambadomain
dn: sambaDomainName=GFM-EDV,cn=samba,dc=gfm,dc=local
objectClass: sambaDomain
objectClass: univentionObject
univentionObjectType: settings/sambadomain
sambaNextUserRid: 1000
sambaNextGroupRid: 1000
sambaMinPwdLength: 8
sambaPwdHistoryLength: 0
sambaMaxPwdAge: -1
sambaMinPwdAge: 0
sambaDomainName: GFM-EDV
sambaSID: S-1-5-21-2657495056-2441450391-3094810640

dn: sambaDomainName=GFM,dc=gfm,dc=local
sambaDomainName: GFM
sambaSID: S-1-5-21-1279396558-1320036956-2672020403
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain
sambaNextUserRid: 1000
sambaPwdHistoryLength: 0
sambaLogonToChgPwd: 0
sambaMinPwdAge: 0
sambaLockoutObservationWindow: 30
sambaLockoutThreshold: 0
sambaForceLogoff: -1
sambaRefuseMachinePwdChange: 0
sambaLockoutDuration: 0
sambaMaxPwdAge: 0
univentionSamba4pwdProperties: 0
sambaMinPwdLength: 8

Die erwähnten UCR-Variablen sind nicht gesetzt.


#8

Hallo,

ich würde das falsche/ungewünschte entfernen. Objekte die im UCS die falsche SID haben müssen vermutlich neu angelegt werden damit Samba die SID vergeben kann bzw. könnten Sie auch die SID aus dem AD lesen, per ldapmodify in das LDAP schreiben und den Reject löschen.

Mit freundlichen Grüßen
Janis Meybohm


#9

Ich habe das einmal in meiner Testumgebung ausprobiert und danach die VM neu gestartet.

Wenn ich nun einen neuen Benutzer anlege, bekommt dieser im Samba-LDAP immer noch die unerwünschte objectSid.
Direkt nach dem Anlegen entsteht dadurch noch kein neuer Reject, bei einer Änderung der primären Gruppe z.B. jedoch schon.

Auch bei jenen Benutzern, wo die SID in beiden LDAP-Verzeichnissen übereinstimmt, entsteht ein Reject, wenn die primäre Gruppe geändert wird.

Eigenartig finde ich auch, dass ein univention-ldapsearch oder auch ein univention-s4search mit der vollständigen DN nichts mehr anzeigt.

root@univention1:~# univention-ldapsearch -xLLL uid=vkf001,cn=users,dc=gfm,dc=local
root@univention1:~# univention-ldapsearch -xLLL uid=vkf001
dn: uid=vkf001,cn=users,dc=gfm,dc=local
uid: vkf001
krb5PrincipalName: vkf001@GFM.LOCAL
objectClass: top
objectClass: person
objectClass: univentionPWHistory
objectClass: posixAccount
objectClass: shadowAccount
objectClass: univentionMail
objectClass: sambaSamAccount
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: krb5Principal
objectClass: krb5KDCEntry
objectClass: univentionObject
uidNumber: 1454
sambaAcctFlags: [U          ]
sambaPasswordHistory: EE36CD92D0B3322B2F9CC5E0864B7FD842FA3E79D7044428D3A1EB43
 148DA27A
krb5MaxLife: 86400
shadowLastChange: 16594
cn: Vorname Verkauf
userPassword:: e2NyeXB0fSQ2JFY1S3ZHRXJwdEFFdWRFWGEkL2tZRzNncXdNcGM4RGYxT0JiM0h
 zV2Y1T2pOOWNJQ25Ma1N3b0RkbHNlMzVhNGFPN2d3bUR4UnBGNlRVbC5wdHlUVkx4bThQeE1Gb1Az
 M1Z2enRHRjE=
krb5Key:: MEmhKzApoAMCARKhIgQgz/8iEsl002g0xgneCbztR3QUXKrOQ4DspUlQ4TLstzyiGjAY
 oAMCAQOhEQQPR0ZNLkxPQ0FMdmtmMDAx
krb5Key:: MDmhGzAZoAMCARGhEgQQ+6E7hA4LAyt+fH0V4/K2F6IaMBigAwIBA6ERBA9HRk0uTE9D
 QUx2a2YwMDE=
krb5Key:: MEGhIzAhoAMCARChGgQYWIZ8QyxtAoDlCxxrqwd2wn9dzf73y9/gohowGKADAgEDoREE
 D0dGTS5MT0NBTHZrZjAwMQ==
krb5Key:: MDmhGzAZoAMCARehEgQQ6xhCjRwm/z1ra+h4MZxYmaIaMBigAwIBA6ERBA9HRk0uTE9D
 QUx2a2YwMDE=
krb5Key:: MDGhEzARoAMCAQOhCgQIL9osxMfyE6KiGjAYoAMCAQOhEQQPR0ZNLkxPQ0FMdmtmMDAx
krb5Key:: MDGhEzARoAMCAQKhCgQIL9osxMfyE6KiGjAYoAMCAQOhEQQPR0ZNLkxPQ0FMdmtmMDAx
krb5Key:: MDGhEzARoAMCAQGhCgQIL9osxMfyE6KiGjAYoAMCAQOhEQQPR0ZNLkxPQ0FMdmtmMDAx
sambaMungedDial: bQAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIABkA
 AEAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAUAAFABoACA
 ABAEMAdAB4AEMAZgBnAFAAcgBlAHMAZQBuAHQANTUxZTBiYjAYAAgAAQBDAHQAeABDAGYAZwBGAGw
 AYQBnAHMAMQAwMDAwMDEwMA==
krb5MaxRenew: 604800
krb5KeyVersionNumber: 1
description: test
loginShell: /bin/bash
univentionObjectType: users/user
krb5KDCFlags: 126
sambaPwdLastSet: 1433768444
sambaNTPassword: EB18428D1C26FF3D6B6BE878319C5899
displayName: Vorname Verkauf
gecos: Vorname Verkauf
sn: Verkauf
pwhistory: $6$VSVW/kUlVb.KKC3K$d8.tI3MHY7cea/RFZ9pHoh8XrlNEZCXHvLLyQLVQXNGMGwN
 /hyTM6y3U6G5U9IpiyIorwUEn2d/SM9rhqgWzi/
homeDirectory: /home/vkf001
givenName: Vorname
sambaSID: S-1-5-21-2657495056-2441450391-3094810640-1286
gidNumber: 1125
sambaPrimaryGroupSID: S-1-5-21-2657495056-2441450391-3094810640-1251
root@univention1:~# univention-s4search cn=vkf001,cn=users,DC=gfm,DC=local
WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.
# Referral
ref: ldap://gfm.local/CN=Configuration,DC=gfm,DC=local

# Referral
ref: ldap://gfm.local/DC=DomainDnsZones,DC=gfm,DC=local

# Referral
ref: ldap://gfm.local/DC=ForestDnsZones,DC=gfm,DC=local

# returned 3 records
# 0 entries
# 3 referrals



root@univention1:~# univention-s4search cn=vkf001
WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.
# record 1
dn: CN=vkf001,CN=Users,DC=gfm,DC=local
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: vkf001
sn: Verkauf
givenName: Vorname
instanceType: 4
whenCreated: 20150608130047.0Z
displayName: Vorname Verkauf
uSNCreated: 114612
name: vkf001
objectGUID: 04f3545b-96fd-4e22-85da-765e9e46413f
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
primaryGroupID: 513
objectSid: S-1-5-21-1279396558-1320036956-2672020403-1286
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: vkf001
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=gfm,DC=local
userAccountControl: 512
whenChanged: 20150608130048.0Z
description: test
userPrincipalName: vkf001@GFM.LOCAL
pwdLastSet: 130782420440000000
lockoutTime: 0
uSNChanged: 114615
memberOf: CN=bh,CN=Groups,DC=gfm,DC=local
distinguishedName: CN=vkf001,CN=Users,DC=gfm,DC=local

# Referral
ref: ldap://gfm.local/CN=Configuration,DC=gfm,DC=local

# Referral
ref: ldap://gfm.local/DC=DomainDnsZones,DC=gfm,DC=local

# Referral
ref: ldap://gfm.local/DC=ForestDnsZones,DC=gfm,DC=local

# returned 4 records
# 1 entries
# 3 referrals

Hier ein Auszug aus der connector-s4.log für ein Objekt, bei dem die SIDs in Ordnung sind und bei welchen versucht wurde die primäre Gruppe zu ändern:

08.06.2015 15:24:51,298 LDAP        (PROCESS): sync from ucs:   Resync rejected file: /var/lib/univention-connector/s4/1433769179.267298
08.06.2015 15:24:51,300 LDAP        (INFO   ): __sync_file_from_ucs: objected was modified
08.06.2015 15:24:51,301 LDAP        (INFO   ): _ignore_object: Do not ignore uid=buch13,cn=users,dc=gfm,dc=local
08.06.2015 15:24:51,301 LDAP        (INFO   ): _object_mapping: map with key user and type ucs
08.06.2015 15:24:51,302 LDAP        (INFO   ): _dn_type ucs
08.06.2015 15:24:51,302 LDAP        (INFO   ): samaccount_dn_mapping: check newdn for key dn:
08.06.2015 15:24:51,304 LDAP        (INFO   ): get_object: got object: CN=buch13,CN=Users,DC=gfm,DC=local
08.06.2015 15:24:51,304 LDAP        (INFO   ): encode_s4_object: attrib objectGUID ignored during encoding
08.06.2015 15:24:51,305 LDAP        (INFO   ): samaccount_dn_mapping: premapped S4 object found
08.06.2015 15:24:51,305 LDAP        (INFO   ): samaccount_dn_mapping: check newdn for key olddn:
08.06.2015 15:24:51,307 LDAP        (INFO   ): _ignore_object: Do not ignore cn=buch13,cn=users,DC=gfm,DC=local
08.06.2015 15:24:51,308 LDAP        (INFO   ): __sync_file_from_ucs: finished mapping
08.06.2015 15:24:51,308 LDAP        (INFO   ): sync_from_ucs: sync object: cn=buch13,cn=users,DC=gfm,DC=local
08.06.2015 15:24:51,308 LDAP        (PROCESS): sync from ucs: [          user] [    modify] cn=buch13,cn=users,DC=gfm,DC=local
08.06.2015 15:24:51,309 LDAP        (INFO   ): get_object: got object: CN=buch13,CN=Users,DC=gfm,DC=local
08.06.2015 15:24:51,310 LDAP        (INFO   ): encode_s4_object: attrib objectGUID ignored during encoding
08.06.2015 15:24:51,310 LDAP        (INFO   ): LockingDB: Execute SQL command: 'SELECT id FROM S4_LOCK WHERE guid=?;', '('c1e19229-443b-437f-a726-1160d4924b62',)'
08.06.2015 15:24:51,311 LDAP        (INFO   ): LockingDB: Return SQL result: '[]'
08.06.2015 15:24:51,311 LDAP        (INFO   ): sync_from_ucs: modify object: cn=buch13,cn=users,DC=gfm,DC=local
08.06.2015 15:24:51,311 LDAP        (INFO   ): sync_from_ucs: old_object: {u'uid': [u'buch13'], u'krb5PrincipalName': [u'buch13@GFM.LOCAL'], u'objectClass': [u'top', u'person', u'univentionPWHistory', u'posixAccount', u'shadowAccount', u'univentionMail', u'sambaSamAccount', u'organizationalPerson', u'inetOrgPerson', u'krb5Principal', u'krb5KDCEntry', u'univentionObject'], u'entryUUID': [u'80817016-8919-1034-9460-8f9088a3e956'], u'sambaAcctFlags': [u'[U          ]'], u'sambaPasswordHistory': [u'1AEB714C8858144219691E4585CF7938AEADA3519C8EC6BB76D75097383640E8A00B15D7E4EDF5766F16E6D802BFAA9EC9BF8829842C8EF3BDE3F84B617E27C0'], u'entryCSN': [u'20150529142120.693098Z#000000#000#000000'], u'structuralObjectClass': [u'inetOrgPerson'], u'krb5MaxLife': [u'86400'], u'cn': [u'Ferialpraktikant'], u'hasSubordinates': [u'FALSE'], u'creatorsName': [u'cn=admin,dc=gfm,dc=local'], 'krb5Key': ['0I\xa1+0)\xa0\x03\x02\x01\x12\xa1"\x04 \x1d\xf5\x0c\x92\x02\x02]\xf7A|\xa0\xff\xf8\xb9E\xc5\x13\xeb\xadk\x8eX\x1e\x15Q(\xed\xcbL\xc4\xb1\xe5\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '09\xa1\x1b0\x19\xa0\x03\x02\x01\x11\xa1\x12\x04\x10\xbb\x02\x9f\xed\x8dB"\xcfU\x8f\xde\x85gr\r\xa6\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '0A\xa1#0!\xa0\x03\x02\x01\x10\xa1\x1a\x04\x18\xf7\x15\xcb[\xd9\xb6>\xef\x83\x04g\xea\xa4Jv#\x15\x86\xf2\x92)\x97n\x83\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '09\xa1\x1b0\x19\xa0\x03\x02\x01\x17\xa1\x12\x04\x10B\xf7\xf8\xea8-\x90\xefe]\x92\x92_}\xddw\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '01\xa1\x130\x11\xa0\x03\x02\x01\x03\xa1\n\x04\x08\xa4\x07\xcd\x91\xcd\xc2\xa1\x83\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '01\xa1\x130\x11\xa0\x03\x02\x01\x02\xa1\n\x04\x08\xa4\x07\xcd\x91\xcd\xc2\xa1\x83\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '01\xa1\x130\x11\xa0\x03\x02\x01\x01\xa1\n\x04\x08\xa4\x07\xcd\x91\xcd\xc2\xa1\x83\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13'], u'krb5MaxRenew': [u'604800'], u'loginShell': [u'/bin/bash'], u'krb5KeyVersionNumber': [u'2'], u'description': [u'added by Siedl Networks'], u'uidNumber': [u'1193'], u'univentionObjectType': [u'users/user'], u'krb5KDCFlags': [u'126'], u'gidNumber': [u'5001'], u'subschemaSubentry': [u'cn=Subschema'], u'entryDN': [u'uid=buch13,cn=users,dc=gfm,dc=local'], u'sambaPwdLastSet': [u'1432889306'], u'sambaPrimaryGroupSID': [u'S-1-5-21-2657495056-2441450391-3094810640-513'], 'sambaNTPassword': ['42F7F8EA382D90EF655D92925F7DDD77'], u'modifyTimestamp': [u'20150529142120Z'], u'displayName': [u' Ferialpraktikant'], u'modifiersName': [u'cn=admin,dc=gfm,dc=local'], u'sambaSID': [u'S-1-5-21-2657495056-2441450391-3094810640-1386'], u'createTimestamp': [u'20150507152848Z'], u'gecos': [u' '], u'sn': [u'Ferialpraktikant'], 'pwhistory': ['$6$rVF/5TxZOorR7nwF$mlJ4fpuQ1eWrb0w6Zqjs0WCrqWqcrdrmHrXFnyCXcU93OL25kr5MDCjks09.tuPoBTUE3Maz9pzND2hB49BP51'], u'homeDirectory': [u'/home/buch13'], 'userPassword': ['{crypt}$6$6Gvhfbd21/7lw0Ca$Chs1O0xGRwV.9IuAFb3TXXKhngbF7jD3MW9UM92YcPBhsgzoMp.c07qM51HJsk0qzzOvTVJW3sXVY0FXsQkTR1']}
08.06.2015 15:24:51,312 LDAP        (INFO   ): sync_from_ucs: new_object: {u'uid': [u'buch13'], u'krb5PrincipalName': [u'buch13@GFM.LOCAL'], u'objectClass': [u'top', u'person', u'univentionPWHistory', u'posixAccount', u'shadowAccount', u'univentionMail', u'sambaSamAccount', u'organizationalPerson', u'inetOrgPerson', u'krb5Principal', u'krb5KDCEntry', u'univentionObject'], u'entryUUID': [u'80817016-8919-1034-9460-8f9088a3e956'], u'sambaAcctFlags': [u'[U          ]'], u'sambaPasswordHistory': [u'1AEB714C8858144219691E4585CF7938AEADA3519C8EC6BB76D75097383640E8A00B15D7E4EDF5766F16E6D802BFAA9EC9BF8829842C8EF3BDE3F84B617E27C0'], u'entryCSN': [u'20150608131259.246975Z#000000#000#000000'], u'structuralObjectClass': [u'inetOrgPerson'], u'krb5MaxLife': [u'86400'], u'cn': [u'Ferialpraktikant'], u'hasSubordinates': [u'FALSE'], u'creatorsName': [u'cn=admin,dc=gfm,dc=local'], 'krb5Key': ['0I\xa1+0)\xa0\x03\x02\x01\x12\xa1"\x04 \x1d\xf5\x0c\x92\x02\x02]\xf7A|\xa0\xff\xf8\xb9E\xc5\x13\xeb\xadk\x8eX\x1e\x15Q(\xed\xcbL\xc4\xb1\xe5\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '09\xa1\x1b0\x19\xa0\x03\x02\x01\x11\xa1\x12\x04\x10\xbb\x02\x9f\xed\x8dB"\xcfU\x8f\xde\x85gr\r\xa6\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '0A\xa1#0!\xa0\x03\x02\x01\x10\xa1\x1a\x04\x18\xf7\x15\xcb[\xd9\xb6>\xef\x83\x04g\xea\xa4Jv#\x15\x86\xf2\x92)\x97n\x83\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '09\xa1\x1b0\x19\xa0\x03\x02\x01\x17\xa1\x12\x04\x10B\xf7\xf8\xea8-\x90\xefe]\x92\x92_}\xddw\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '01\xa1\x130\x11\xa0\x03\x02\x01\x03\xa1\n\x04\x08\xa4\x07\xcd\x91\xcd\xc2\xa1\x83\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '01\xa1\x130\x11\xa0\x03\x02\x01\x02\xa1\n\x04\x08\xa4\x07\xcd\x91\xcd\xc2\xa1\x83\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13', '01\xa1\x130\x11\xa0\x03\x02\x01\x01\xa1\n\x04\x08\xa4\x07\xcd\x91\xcd\xc2\xa1\x83\xa2\x1a0\x18\xa0\x03\x02\x01\x03\xa1\x11\x04\x0fGFM.LOCALbuch13'], u'krb5MaxRenew': [u'604800'], u'loginShell': [u'/bin/bash'], u'krb5KeyVersionNumber': [u'2'], u'description': [u'added by Siedl Networks'], u'uidNumber': [u'1193'], u'univentionObjectType': [u'users/user'], u'krb5KDCFlags': [u'126'], u'gidNumber': [u'1125'], u'subschemaSubentry': [u'cn=Subschema'], u'entryDN': [u'uid=buch13,cn=users,dc=gfm,dc=local'], u'sambaPwdLastSet': [u'1432889306'], u'sambaPrimaryGroupSID': [u'S-1-5-21-2657495056-2441450391-3094810640-1251'], 'sambaNTPassword': ['42F7F8EA382D90EF655D92925F7DDD77'], u'modifyTimestamp': [u'20150608131259Z'], u'displayName': [u' Ferialpraktikant'], u'modifiersName': [u'uid=Administrator,cn=users,dc=gfm,dc=local'], u'sambaSID': [u'S-1-5-21-2657495056-2441450391-3094810640-1386'], u'createTimestamp': [u'20150507152848Z'], u'gecos': [u' '], u'sn': [u'Ferialpraktikant'], 'pwhistory': ['$6$rVF/5TxZOorR7nwF$mlJ4fpuQ1eWrb0w6Zqjs0WCrqWqcrdrmHrXFnyCXcU93OL25kr5MDCjks09.tuPoBTUE3Maz9pzND2hB49BP51'], u'homeDirectory': [u'/home/buch13'], 'userPassword': ['{crypt}$6$6Gvhfbd21/7lw0Ca$Chs1O0xGRwV.9IuAFb3TXXKhngbF7jD3MW9UM92YcPBhsgzoMp.c07qM51HJsk0qzzOvTVJW3sXVY0FXsQkTR1']}
08.06.2015 15:24:51,312 LDAP        (INFO   ): sync_from_ucs: The following attribute has been changed: entryCSN
08.06.2015 15:24:51,313 LDAP        (INFO   ): sync_from_ucs: The following attribute has been changed: gidNumber
08.06.2015 15:24:51,313 LDAP        (INFO   ): sync_from_ucs: The following attribute has been changed: sambaPrimaryGroupSID
08.06.2015 15:24:51,313 LDAP        (INFO   ): sync_from_ucs: The following attribute has been changed: modifyTimestamp
08.06.2015 15:24:51,314 LDAP        (INFO   ): sync_from_ucs: The following attribute has been changed: modifiersName
08.06.2015 15:24:51,314 LDAP        (INFO   ): sync_from_ucs: The following attribute has been changed: entryCSN
08.06.2015 15:24:51,314 LDAP        (INFO   ): sync_from_ucs: The following attribute has been changed: gidNumber
08.06.2015 15:24:51,315 LDAP        (INFO   ): sync_from_ucs: The following attribute has been changed: sambaPrimaryGroupSID
08.06.2015 15:24:51,315 LDAP        (INFO   ): sync_from_ucs: The following attribute has been changed: modifyTimestamp
08.06.2015 15:24:51,315 LDAP        (INFO   ): sync_from_ucs: The following attribute has been changed: modifiersName
08.06.2015 15:24:51,315 LDAP        (ALL    ): nothing to modify: cn=buch13,cn=users,DC=gfm,DC=local
08.06.2015 15:24:51,316 LDAP        (INFO   ): Call post_con_modify_functions: <function password_sync_ucs_to_s4 at 0x3473758>
08.06.2015 15:24:51,316 LDAP        (INFO   ): password_sync_ucs_to_s4 called
08.06.2015 15:24:51,316 LDAP        (INFO   ): password_sync_ucs_to_s4: the password for cn=buch13,cn=users,DC=gfm,DC=local has not been changed. Skipping password sync.
08.06.2015 15:24:51,317 LDAP        (INFO   ): Call post_con_modify_functions: <function password_sync_ucs_to_s4 at 0x3473758> (done)
08.06.2015 15:24:51,317 LDAP        (INFO   ): Call post_con_modify_functions: <function primary_group_sync_from_ucs at 0x345a7d0>
08.06.2015 15:24:51,317 LDAP        (INFO   ): _object_mapping: map with key user and type con
08.06.2015 15:24:51,318 LDAP        (INFO   ): _dn_type con
08.06.2015 15:24:51,319 LDAP        (INFO   ): samaccount_dn_mapping: check newdn for key dn:
08.06.2015 15:24:51,321 LDAP        (INFO   ): samaccount_dn_mapping: premapped UCS object found
08.06.2015 15:24:51,321 LDAP        (INFO   ): samaccount_dn_mapping: check newdn for key olddn:
08.06.2015 15:24:51,324 LDAP        (INFO   ): get_object: got object: CN=buch13,CN=Users,DC=gfm,DC=local
08.06.2015 15:24:51,325 LDAP        (INFO   ): encode_s4_object: attrib objectGUID ignored during encoding
08.06.2015 15:24:51,326 LDAP        (INFO   ): _object_mapping: map with key group and type ucs
08.06.2015 15:24:51,326 LDAP        (INFO   ): _dn_type ucs
08.06.2015 15:24:51,327 LDAP        (INFO   ): samaccount_dn_mapping: check newdn for key dn:
08.06.2015 15:24:51,328 LDAP        (INFO   ): get_object: got object: CN=bh,CN=Groups,DC=gfm,DC=local
08.06.2015 15:24:51,328 LDAP        (INFO   ): encode_s4_object: attrib objectGUID ignored during encoding
08.06.2015 15:24:51,329 LDAP        (INFO   ): samaccount_dn_mapping: premapped S4 object found
08.06.2015 15:24:51,329 LDAP        (INFO   ): samaccount_dn_mapping: check newdn for key olddn:
08.06.2015 15:24:51,330 LDAP        (INFO   ): get_object: got object: CN=bh,CN=Groups,DC=gfm,DC=local
08.06.2015 15:24:51,330 LDAP        (INFO   ): encode_s4_object: attrib objectGUID ignored during encoding
08.06.2015 15:24:51,331 LDAP        (INFO   ): primary_group_sync_from_ucs: changing primary Group in S4
08.06.2015 15:24:51,431 LDAP        (WARNING): sync failed, saved as rejected
	/var/lib/univention-connector/s4/1433769179.267298
08.06.2015 15:24:51,431 LDAP        (WARNING): Traceback (most recent call last):
  File "/usr/lib/pymodules/python2.7/univention/s4connector/__init__.py", line 801, in __sync_file_from_ucs
    or (not old_dn and not self.sync_from_ucs(key, object, premapped_ucs_dn, old_dn, old, new))):
  File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 2527, in sync_from_ucs
    f(self, property_type, object)
  File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 76, in primary_group_sync_from_ucs
    return s4connector.primary_group_sync_from_ucs(key, object)
  File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 1334, in primary_group_sync_from_ucs
    self.lo_s4.lo.modify_s(compatible_modstring(object['dn']),[(ldap.MOD_REPLACE, 'primaryGroupID', rid)])
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 364, in modify_s
    return self.result(msgid,all=1,timeout=self.timeout)
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 465, in result
    resp_type, resp_data, resp_msgid = self.result2(msgid,all,timeout)
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 469, in result2
    resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all,timeout)
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 476, in result3
    resp_ctrl_classes=resp_ctrl_classes
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 483, in result4
    ldap_result = self._ldap_call(self._l.result4,msgid,all,timeout,add_ctrls,add_intermediates,add_extop)
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 106, in _ldap_call
    result = func(*args,**kwargs)
UNWILLING_TO_PERFORM: {'info': 'error in module samldb: Unwilling to perform during LDB_MODIFY (53)', 'desc': 'Server is unwilling to perform'}

#10

Hallo,

AD vergibt die SIDs, daher ist vermutlich S-1-5-21-1279396558-1320036956-2672020403 die Domain-SID mit der Sie das AD provisioniert haben.
Evtl. hat die Primärgruppe in einem der Verzeichnisse eine falsche SID? Wie gesagt sollten Sie alle “falschen” SIDs korrigieren bzw. die Objekte neu anlegen wenn Sie das “falsche” Domänenobjekt entfernt haben.

Das die LDAP-Suche nach einem DN kein Objekt findet ist normal. In dem Fall müssen Sie “-b” (base) verwenden, z.B.: univention-ldapsearch -xLLL -b uid=vkf001,cn=users,dc=gfm,dc=local

Mit freundlichen Grüßen
Janis Meybohm


#11

Ja, das war es wohl.
Wenn ich das falsche Domänenobjekt lösche (von dem ich gehofft hatte, dass es das richtige ist) und die Gruppe “Domain Users” per ldapmodify auf die korrekte SID ändere, funktioniert alles.

Letztlich habe ich also mein Samba mit der falschen SID provisioniert.
Ich werde erstmal abklären, ob das für den Kunden ein Problem ist. Möglicherweise spielt das in dem Fall gar keine Rolle. Wie ich das LDAP auf die neue SID umstelle, ist mir jetzt erstmal klar.

Sollte es ein Problem sein:
Kann ich das mit einem Samba-Reprovisioning lösen?


#12

Ich denke schon, ja. Sie sollten vorher aber auf jeden Fall sicher stellen dass Sie im LDAP nur eine Domain-SID verwenden.


#13

So, das Re-Provisioning habe ich am Testsystem durchgeführt.

Ich habe darauf geachtet, dass im UCS-LDAP alle Objekte mit der ungewollten SambaSID gelöscht sind.
Auf den ersten Blick hat das auch gut funktioniert. Nach dem Re-Provisioning hat mein Domänenobjekt den gleichen Namen, wie im ursprünglichen Samba-3.

root@univention1:~# univention-ldapsearch -xLLL objectclass=sambadomain
dn: sambaDomainName=GFM-EDV,cn=samba,dc=gfm,dc=local
objectClass: sambaDomain
objectClass: univentionObject
univentionObjectType: settings/sambadomain
sambaNextUserRid: 1000
sambaNextGroupRid: 1000
sambaMinPwdLength: 8
sambaPwdHistoryLength: 0
sambaMaxPwdAge: -1
sambaMinPwdAge: 0
sambaDomainName: GFM-EDV
sambaSID: S-1-5-21-2657495056-2441450391-3094810640

Mein Fehler war bei der ursprünglichen UCS-3.2.5-Installation, dass ich meine Domäne GFM genannt habe, statt GFM-EDV, wie sie im Samba-3 hieß. Dies scheint jetzt das Reprovisioning ausgebügelt zu haben.

Leider wurde wieder eine neue SID erstellt:

Once the above files are installed, your Samba4 server will be ready to use
Server Role:           active directory domain controller
Hostname:              univention1
NetBIOS Domain:        GFM
DNS Domain:            gfm.local
DOMAIN SID:            S-1-5-21-2197794081-804496921-1922418941

Wenn ich nun einen neuen User anlege, bekommt er im UCS die korrekte SID und im S4, jene die beim Reprovisioning erzeugt wurde.
Der S4-Connector ist entsprechend durcheinander.

root@univention1:~/rejects# univention-ldapsearch | grep S-1-5-21-2657495056-2441450391-3094810640 | wc -l
674
root@univention1:~/rejects# univention-ldapsearch | grep S-1-5-21-2197794081-804496921-1922418941 | wc -l
0

root@univention1:~/rejects# univention-s4search | grep S-1-5-21-2657495056-2441450391-3094810640 | wc -l
223
root@univention1:~/rejects# univention-s4search | grep S-1-5-21-2197794081-804496921-1922418941 | wc -l
109

Kann man beim Re-Provisioning nicht vernindern, dass eine neue SID angelegt wird?

Ich werde als nächstes ein frisches UCS 3.2.6 mit dem richtigen Domänennamen aufsetzen und sehen, ob ich dort die gleiche Probleme bekomme.

Vielen Dank fürs Lesen.

LG,
Roland.


#14

Hallo,

die Domain-SID wird bei der Provisionierung nicht gewollt verändert. Ich nehme an das ist ein Nebeneffekt in Ihrer Umgebung aufgrund des falschen Samba-Domänenobjekts o.ä.
Ich würde vermuten dass das korrekt funktioniert wenn Sie das Ausgangssystem mit den korrekten Informationen installieren.

Mit freundlichen Grüßen
Janis Meybohm


#15

Hallo,

ich habe wieder von vorne begonnen und diesmal den korrekten Namen für das Samba-Domänenobjekt gewählt.
Soweit hat das auch gut funktioniert - die Migration hat diesmal sofort die richtige SID übernommen.

Leider habe ich nun ein anderes Phänomen, das ich mir nicht erklären kann.

Objekte werden vom S4 ins UCS korrekt gesynct (z.B. Passwortänderung an einem Windowsclient oder direkte Änderungen am master mit ldbedit), aber umgekehrt nicht.
Wenn ich etwas im UCS ändere wird das nicht ins S4 übernommen.
In der UMC neu erstellte User werden jedoch sehr wohl ins Samba übernommen. Mit diesen kann ich mich dann auch mit dem Windowsclient anmelden.
Rejects sehe ich keine.

Ich habe schon den Listener-Cache neu erstellt. Das hat nichts gebracht.

So sieht das S4-Connector-Logfile aus:
(stark gekürzt in diesen Bereichen:
init: s4_groups
init: self.group_members_cache_con
init: self.group_members_cache_ucs )

24.06.2015 15:51:12,559 MAIN        (------ ): DEBUG_INIT
24.06.2015 15:51:12,560 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.init_debug
24.06.2015 15:51:12,561 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : S4Cache.__init__
24.06.2015 15:51:12,561 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : S4Cache.__create_tables
24.06.2015 15:51:12,561 LDAP        (INFO   ): S4Cache: Execute SQL command: 'CREATE TABLE IF NOT EXISTS GUIDS (id INTEGER PRIMARY KEY, guid TEXT);'
24.06.2015 15:51:12,562 LDAP        (INFO   ): S4Cache: Execute SQL command: 'CREATE TABLE IF NOT EXISTS ATTRIBUTES (id INTEGER PRIMARY KEY, attribute TEXT);'
24.06.2015 15:51:12,562 LDAP        (INFO   ): S4Cache: Execute SQL command: 'CREATE TABLE IF NOT EXISTS DATA (id INTEGER PRIMARY KEY, guid_id INTEGER, attribute_id INTEGER, value TEXT);'
24.06.2015 15:51:12,562 MAIN        (------ ): UNIVENTION_DEBUG_END   : S4Cache.__create_tables
24.06.2015 15:51:12,562 MAIN        (------ ): UNIVENTION_DEBUG_END   : S4Cache.__init__
24.06.2015 15:51:12,562 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : LockingDB.__init__
24.06.2015 15:51:12,562 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : LockingDB.__create_tables
24.06.2015 15:51:12,563 LDAP        (INFO   ): LockingDB: Execute SQL command: 'CREATE TABLE IF NOT EXISTS S4_LOCK (id INTEGER PRIMARY KEY, guid TEXT);'
24.06.2015 15:51:12,563 LDAP        (INFO   ): LockingDB: Execute SQL command: 'CREATE TABLE IF NOT EXISTS UCS_LOCK (id INTEGER PRIMARY KEY, uuid TEXT);'
24.06.2015 15:51:12,563 MAIN        (------ ): UNIVENTION_DEBUG_END   : LockingDB.__create_tables
24.06.2015 15:51:12,563 MAIN        (------ ): UNIVENTION_DEBUG_END   : LockingDB.__init__
24.06.2015 15:51:12,573 LDAP        (INFO   ): init finished
24.06.2015 15:51:12,573 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.__init__
24.06.2015 15:51:12,573 LDAP        (INFO   ): __init__: The LDAP connection to S4 does not use SSL (switched off by UCR "connector/s4/ldap/ssl").
24.06.2015 15:51:12,583 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_option
24.06.2015 15:51:12,583 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_option
24.06.2015 15:51:12,585 LDAP        (PROCESS): Building internal group membership cache
24.06.2015 15:51:12,585 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.__search_s4
24.06.2015 15:51:12,585 LDAP        (INFO   ): Search S4 with filter: objectClass=group
24.06.2015 15:51:12,596 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.__search_s4
24.06.2015 15:51:12,596 LDAP        (INFO   ): __init__: s4_groups: [(u'CN=Allowed RODC Password Replication Group,CN=Groups,DC=gfm,DC=local', {}), (u'CN=Enterprise Read-only Domain Controllers,CN=Groups,DC=gfm,DC=local', {}), (u'CN=Denied RODC Password Replication Group,CN=Groups,DC=gfm,DC=local', {'member': [u'CN=Read-only Domain Controllers,CN=Groups,DC=gfm,DC=local', u'CN=Group Policy Creator Owners,CN=Groups,DC=gfm,DC=local', u'CN=Domain Admins,CN=Groups,DC=gfm,DC=local', u'CN=Cert Publishers,CN=Groups,DC=gfm,DC=local', u'CN=Enterprise Admins,CN=Groups,DC=gfm,DC=local', u'CN=Schema Admins,CN=Groups,DC=gfm,DC=local', u'CN=Domain Controllers,CN=Groups,DC=gfm,DC=local', u'CN=krbtgt,CN=Users,DC=gfm,DC=local']}), (u'CN=Pre-Windows 2000 Compatible Access,CN=Builtin,DC=gfm,DC=local', {'member': [u'CN=S-1-5-11,CN=ForeignSecurityPrincipals,DC=gfm,DC=local']}), (u'CN=Windows Authorization Access Group,CN=Builtin,DC=gfm,DC=local', {'member': [u'CN=S-1-5-9,CN=ForeignSecurityPrincipals,DC=gfm,DC=local']}), (u'CN=Certificate Service DCOM Access,CN=Builtin,DC=gfm,DC=local', {}), (u'CN=Network Configuration Operators,CN=Builtin,DC=gfm,DC=local', {}), (u'CN=Terminal Server License Servers,CN=Builtin,DC=gfm,DC=local', {}),  u'CN=kbs357,CN=Users,DC=gfm,DC=local', u'CN=kbs353,CN=Users,DC=gfm,DC=local', u'CN=kbs318,CN=Users,DC=gfm,DC=local', u'CN=kbs108,CN=Users,DC=gfm,DC=local', u'CN=kbs077,CN=Users,DC=gfm,DC=local', u'CN=kbs360,CN=Users,DC=gfm,DC=local', u'CN=kbs208,CN=Users,DC=gfm,DC=local', u'CN=des007,CN=Users,DC=gfm,DC=local', u'CN=kbs232,CN=Users,DC=gfm,DC=local', u'CN=hyd098,CN=Users,DC=gfm,DC=local', u'CN=kbs094,CN=Users,DC=gfm,DC=local']}), (u'CN=pp,CN=Groups,DC=gfm,DC=local', {'member': [u'CN=ncu107,CN=Users,DC=gfm,DC=local']}), (None, [u'ldap://gfm.local/CN=Configuration,DC=gfm,DC=local']), (None, [u'ldap://gfm.local/DC=DomainDnsZones,DC=gfm,DC=local']), (None, [u'ldap://gfm.local/DC=ForestDnsZones,DC=gfm,DC=local'])]

24.06.2015 15:51:12,597 LDAP        (INFO   ): __init__: self.group_members_cache_con: {u'cn=av,cn=groups,dc=gfm,dc=local': [u'cn=sca107,cn=users,dc=gfm,dc=local', u'cn=lag490,cn=users,dc=gfm,dc=local', u'cn=softw0,cn=users,dc=gfm,dc=local', u'cn=softw3,cn=users,dc=gfm,dc=local', u'cn=bde424,cn=users,dc=gfm,dc=local', u'cn=bde425,cn=users,dc=gfm,dc=local', u'cn=bde411,cn=users,dc=gfm,dc=local', u'cn=bde427,cn=users,dc=gfm,dc=local', u'cn=ppl720,cn=users,dc=gfm,dc=local', u'cn=ppl721,cn=users,dc=gfm,dc=local', u'cn=bi572,cn=users,dc=gfm,dc=local', u'cn=bde410,cn=users,dc=gfm,dc=local', u'cn=bde412,cn=users,dc=gfm,dc=local', u'cn=bde429,cn=users,dc=gfm,dc=local', u'cn=bde420,cn=users,dc=gfm,dc=local', u'cn=bde428,cn=users,dc=gfm,dc=local', u'cn=bde423,cn=users,dc=gfm,dc=local', 

 u'cn=lag495,cn=users,dc=gfm,dc=local', u'cn=lag500,cn=users,dc=gfm,dc=local', u'cn=lag491,cn=users,dc=gfm,dc=local', u'cn=lag492,cn=users,dc=gfm,dc=local', u'cn=lag499,cn=users,dc=gfm,dc=local'], u'cn=domain computers,cn=groups,dc=gfm,dc=local': [], u'cn=domain users,cn=groups,dc=gfm,dc=local': [u'cn=administrator,cn=users,dc=gfm,dc=local'], u'cn=leas,cn=groups,dc=gfm,dc=local': [u'cn=sca107,cn=users,dc=gfm,dc=local', u'cn=pra248,cn=users,dc=gfm,dc=local', u'cn=kbs356,cn=users,dc=gfm,dc=local', u'cn=leas51,cn=users,dc=gfm,dc=local', u'cn=leas53,cn=users,dc=gfm,dc=local', u'cn=kbs317,cn=users,dc=gfm,dc=local'], u'cn=administrators,cn=builtin,dc=gfm,dc=local': [u'cn=domain admins,cn=groups,dc=gfm,dc=local', u'cn=enterprise admins,cn=groups,dc=gfm,dc=local', u'cn=administrator,cn=users,dc=gfm,dc=local'], u'cn=gtss,cn=groups,dc=gfm,dc=local': [u'cn=tss,cn=users,dc=gfm,dc=local']}

24.06.2015 15:51:12,602 LDAP        (INFO   ): __init__: self.group_members_cache_ucs: {'cn=self,cn=builtin,dc=gfm,dc=local': [], 'cn=vkf,cn=groups,dc=gfm,dc=local': ['uid=des002,cn=users,dc=gfm,dc=local', 'uid=vkf062,cn=users,dc=gfm,dc=local', 'uid=vkf437,cn=users,dc=gfm,dc=local', 'uid=vkf438,cn=users,dc=gfm,dc=local', 'uid=buch10,cn=users,dc=gfm,dc=local', 'uid=vkf449,cn=users,dc=gfm,dc=local', 'uid=sca107,cn=users,dc=gfm,dc=local', 'uid=vkf060,cn=users,dc=gfm,dc=local', 'uid=vkf445,cn=users,dc=gfm,dc=local', 'uid=mk,cn=users,dc=gfm,dc=local', 'uid=sti045,cn=users,dc=gfm,dc=local',

 'uid=kbs254,cn=users,dc=gfm,dc=local', 'uid=kbs360,cn=users,dc=gfm,dc=local', 'uid=kbs316,cn=users,dc=gfm,dc=local', 'uid=kbs353,cn=users,dc=gfm,dc=local', 'uid=kbs298,cn=users,dc=gfm,dc=local', 'uid=kbs291,cn=users,dc=gfm,dc=local', 'uid=kbs363,cn=users,dc=gfm,dc=local', 'uid=kbs231,cn=users,dc=gfm,dc=local', 'uid=kbs232,cn=users,dc=gfm,dc=local', 'uid=kbs296,cn=users,dc=gfm,dc=local', 'uid=kbs247,cn=users,dc=gfm,dc=local', 'uid=kbs228,cn=users,dc=gfm,dc=local', 'uid=kbs357,cn=users,dc=gfm,dc=local', 'uid=kbs364,cn=users,dc=gfm,dc=local', 'uid=grladmin,cn=users,dc=gfm,dc=local', 'uid=vltadmin,cn=users,dc=gfm,dc=local', 'uid=kbs365,cn=users,dc=gfm,dc=local'], 'cn=system,cn=builtin,dc=gfm,dc=local': [], 'cn=gtss,cn=groups,dc=gfm,dc=local': ['uid=tss,cn=users,dc=gfm,dc=local']}
24.06.2015 15:51:12,603 LDAP        (PROCESS): Internal group membership cache was created
24.06.2015 15:51:12,604 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.initialize_ucs
24.06.2015 15:51:12,618 LDAP        (INFO   ): Override identify function for dns
24.06.2015 15:51:12,624 LDAP        (INFO   ): Override identify function for container_dc
24.06.2015 15:51:12,670 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.resync_rejected_ucs
24.06.2015 15:51:12,670 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._list_rejected_ucs
24.06.2015 15:51:12,670 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_items
24.06.2015 15:51:12,670 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_items
24.06.2015 15:51:12,670 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._list_rejected_ucs
24.06.2015 15:51:12,670 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.resync_rejected_ucs
24.06.2015 15:51:12,670 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.poll_ucs
24.06.2015 15:51:12,670 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._list_rejected_filenames_ucs
24.06.2015 15:51:12,671 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_items
24.06.2015 15:51:12,671 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_items
24.06.2015 15:51:12,671 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._list_rejected_filenames_ucs
24.06.2015 15:51:12,671 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._list_rejected_filenames_ucs
24.06.2015 15:51:12,671 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_items
24.06.2015 15:51:12,671 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_items
24.06.2015 15:51:12,671 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._list_rejected_filenames_ucs
24.06.2015 15:51:12,671 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.poll_ucs
24.06.2015 15:51:12,671 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.initialize_ucs
24.06.2015 15:51:12,672 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.initialize
24.06.2015 15:51:12,672 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_lastUSN
24.06.2015 15:51:12,672 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_option
24.06.2015 15:51:12,672 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_option
24.06.2015 15:51:12,672 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_lastUSN
24.06.2015 15:51:12,672 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.resync_rejected
24.06.2015 15:51:12,672 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._list_rejected
24.06.2015 15:51:12,672 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_items
24.06.2015 15:51:12,672 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_items
24.06.2015 15:51:12,672 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._list_rejected
24.06.2015 15:51:12,673 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.resync_rejected
24.06.2015 15:51:12,673 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : s4.poll
24.06.2015 15:51:12,673 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.__search_s4_changes
24.06.2015 15:51:12,673 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_lastUSN
24.06.2015 15:51:12,673 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_option
24.06.2015 15:51:12,673 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_option
24.06.2015 15:51:12,673 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_lastUSN
24.06.2015 15:51:12,673 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.__search_s4
24.06.2015 15:51:12,673 LDAP        (INFO   ): Search S4 with filter: (uSNCreated>=5745)
24.06.2015 15:51:12,696 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.__search_s4
24.06.2015 15:51:12,696 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.__search_s4
24.06.2015 15:51:12,697 LDAP        (INFO   ): Search S4 with filter: (uSNChanged>=5745)
24.06.2015 15:51:12,719 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.__search_s4
24.06.2015 15:51:12,719 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.__search_s4_changes
24.06.2015 15:51:12,719 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_lastUSN
24.06.2015 15:51:12,720 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_option
24.06.2015 15:51:12,720 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_option
24.06.2015 15:51:12,720 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_lastUSN
24.06.2015 15:51:12,721 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.__object_from_element
24.06.2015 15:51:12,721 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.__object_from_element
24.06.2015 15:51:12,721 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._list_rejected
24.06.2015 15:51:12,721 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_items
24.06.2015 15:51:12,721 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_items
24.06.2015 15:51:12,721 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._list_rejected
24.06.2015 15:51:12,721 MAIN        (------ ): UNIVENTION_DEBUG_END   : s4.poll
24.06.2015 15:51:12,721 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._commit_lastUSN
24.06.2015 15:51:12,721 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._set_config_option
24.06.2015 15:51:12,832 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._set_config_option
24.06.2015 15:51:12,832 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._commit_lastUSN
24.06.2015 15:51:12,832 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.initialize
24.06.2015 15:51:12,833 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.poll_ucs
24.06.2015 15:51:12,833 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._list_rejected_filenames_ucs
24.06.2015 15:51:12,833 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_items
24.06.2015 15:51:12,833 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_items
24.06.2015 15:51:12,833 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._list_rejected_filenames_ucs
24.06.2015 15:51:12,833 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._list_rejected_filenames_ucs
24.06.2015 15:51:12,833 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_items
24.06.2015 15:51:12,833 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_items
24.06.2015 15:51:12,834 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._list_rejected_filenames_ucs
24.06.2015 15:51:12,834 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.poll_ucs
24.06.2015 15:51:12,834 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : s4.poll
24.06.2015 15:51:12,834 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.__search_s4_changes
24.06.2015 15:51:12,834 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_lastUSN
24.06.2015 15:51:12,834 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_option
24.06.2015 15:51:12,834 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_option
24.06.2015 15:51:12,834 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_lastUSN
24.06.2015 15:51:12,834 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.__search_s4
24.06.2015 15:51:12,834 LDAP        (INFO   ): Search S4 with filter: (uSNCreated>=5745)
24.06.2015 15:51:12,858 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.__search_s4
24.06.2015 15:51:12,858 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.__search_s4
24.06.2015 15:51:12,858 LDAP        (INFO   ): Search S4 with filter: (uSNChanged>=5745)
24.06.2015 15:51:12,881 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.__search_s4
24.06.2015 15:51:12,881 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.__search_s4_changes
24.06.2015 15:51:12,881 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_lastUSN
24.06.2015 15:51:12,881 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_option
24.06.2015 15:51:12,881 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_option
24.06.2015 15:51:12,882 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_lastUSN
24.06.2015 15:51:12,882 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.__object_from_element
24.06.2015 15:51:12,882 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.__object_from_element
24.06.2015 15:51:12,882 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._list_rejected
24.06.2015 15:51:12,882 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._get_config_items
24.06.2015 15:51:12,883 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._get_config_items
24.06.2015 15:51:12,883 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap._list_rejected
24.06.2015 15:51:12,883 MAIN        (------ ): UNIVENTION_DEBUG_END   : s4.poll

Einen Windowsclient konnte ich problemlos joinen.
Danach habe ich zum Testen noch einen Backup-DC joinen wollen, aber da habe ich beim Joinen diese Fehlermeldung erhalten:

univention-run-join-scripts started
Mi 24. Jun 14:44:35 CEST 2015

RUNNING 96univention-samba4.inst
2015-06-24 14:44:35.887436160+02:00 (in joinscript_init)
ERROR: It is not possible to install a samba 4 domaincontroller 
       into a samba 3 environment.
EXITCODE=1
RUNNING 98univention-samba4-dns.inst
2015-06-24 14:44:36.249778590+02:00 (in joinscript_init)
Samba4 backend database not available yet, exiting joinscript 98univention-samba4-dns.
EXITCODE=1

Mi 24. Jun 14:44:36 CEST 2015
univention-run-join-scripts finished

Natürlich handelt es sich um einen Samba 4 - DC.

Hat jemand schon einmal ein solches Verhalten beobachten können?
Wo könnte ich den Fehler noch suchen?

EDIT:
Ich habe festgestellt, dass ich nach der Installation von Samba 4, direkt auf UCS 4 upgedatet habe ohne nachzusehen, ob alle Join-Skripte korrekt durchgeführt wurden. Möglicherweise kommt das Problem daher.
(98univention-samba4-dns)


#16

Ich habe das Problem auf eine “well known” Gruppe eingegrenzt: SID: S-1-5-32-545, Name: Users

Ich habe mit diesem Befehl eine Gruppe angelegt:

udm groups/group create --position=cn=groups,dc=gfm,dc=local --set name=users --set gidNumber=1100 --set sambaRID=1201 --set description='added by Siedl Networks' --option samba --option posix --option mail

und bei der Migration wird das dann offenbar falsch gemappt - eben auf S-1-5-32-545.

Also habe beim nächsten Versuch diese Gruppe einfach ausgelassen und erwartet, dass bei der Migration diese Gruppe automatisch angelegt wird. (wie viele andere Standardgruppen)
Dies passiert aber nicht. Stattdessen schlug die Migration völlig fehl.

Nächster Versuch: Ich habe den oben gezeigten Befehl modifiziert und die Gruppe anders erstellt:

udm groups/group create --position=cn=groups,dc=gfm,dc=local --set name=users --set description='added by Siedl Networks' --option samba --option posix --option mail

und dort keine Benutzer hinzugefügt.

Dann gelingt die Migration zwar, aber danach kann der Position-Sync nicht ausgeführt werden:

root@univention1:~/siedl/create# /usr/share/univention-s4-connector/univention-s4-position-sync --dry-run
Option --dry-run given, checking only:
RENAME:  cn=print operators,cn=builtin,dc=gfm,dc=local  to  cn=Printer-Admins,cn=groups,DC=GFM,DC=LOCAL
RENAME:  cn=users,cn=builtin,dc=gfm,dc=local  to  cn=users,cn=groups,DC=GFM,DC=LOCAL
root@univention1:~/siedl/create# /usr/share/univention-s4-connector/univention-s4-position-sync
Really modify Samba4 object positions? [yN]: y
RENAME:  cn=print operators,cn=builtin,dc=gfm,dc=local  to  cn=Printer-Admins,cn=groups,DC=GFM,DC=LOCAL
Traceback (most recent call last):
  File "/usr/share/univention-s4-connector/univention-s4-position-sync", line 212, in <module>
    samdb.rename(ldb.Dn(samdb, object['dn']), ldb.Dn(samdb, mapped_dn))
_ldb.LdbError: (53, 'subtree_rename: Cannot move cn=print operators,cn=builtin,dc=gfm,dc=local to CN=Printer-Admins,CN=Groups,DC=gfm,DC=local - DISALLOW_MOVE set')

Wie müsste man diese Gruppe korrekt anlegen?
Warum wird sie nicht automatisch bei der Migration erstellt?

LG,
Roland.


#17

Wir konnten das über den Support klären.

[quote=“roland.gsell”]Objekte werden vom S4 ins UCS korrekt gesynct (z.B. Passwortänderung an einem Windowsclient oder direkte Änderungen am master mit ldbedit), aber umgekehrt nicht.
Wenn ich etwas im UCS ändere wird das nicht ins S4 übernommen.
In der UMC neu erstellte User werden jedoch sehr wohl ins Samba übernommen. Mit diesen kann ich mich dann auch mit dem Windowsclient anmelden.
Rejects sehe ich keine.[/quote]Das Problem war hier dass die Benutzer ohne Kerberos-Option angelegt und daher vom S4-Connector ignoriert wurden. Durch den Aufruf von “kerberos_now” bzw. das entfernen der “–option” Schalter im “udm users/user create” Aufruf (Migrate Existing Samba 3 Installations to UCS 3 with Samba 3) werden die notwendigen Attribute angelegt und die Benutzer werden korrekt synchronisiert.

[quote=“roland.gsell”]Danach habe ich zum Testen noch einen Backup-DC joinen wollen, aber da habe ich beim Joinen diese Fehlermeldung erhalten:

RUNNING 96univention-samba4.inst 2015-06-24 14:44:35.887436160+02:00 (in joinscript_init) ERROR: It is not possible to install a samba 4 domaincontroller into a samba 3 environment. EXITCODE=1[/quote]Das deutet darauf hin dass der letzte Schritt der Post-Migration Tasks nicht aufgeführt wurde und daher noch der Service “Samba 3” an einem Rechnerobjekt registriert ist.

Die Probleme mit der Users Gruppe konnten wir bisher nicht nachvollziehen. Da es keine Probleme gibt wenn Sie ohne die Gruppe migrieren würde ich sie weg lassen und ggf. hinterher anlegen. Ich denke auch nicht das die Gruppe automatisch angelegt wird da sie, denke ich, nicht zwingend benötigt wird.

Mit freundlichen Grüßen
Janis Meybohm


#18

Ich habe festgestellt, dass das kerberos_now Skript unter UCS 3.2.6 scheinbar nicht verlässlich funktioniert.
Die User hatten nach der Ausführung immer noch kein Kerberos-Konto, obwohl das Skript selbst ohne Fehlermeldung durchlief.

Aber da ich nun weiß, dass man Samba 3 auch unter UCS 4 installieren kann, war das auch kein Problem.
Dort hat kerberos_now dann geklappt und die restliche Migration offenbar auch.
Ich führe noch einige Tests durch.

Danke.