Univention-join ldap.secret Fehler

s.schulz · September 29, 2011, 2:42pm

Hallo,

univention-join bricht mit folgendem Fehler auf einem zukünftigen BDC ab.

[code]root@server:~# univention-join
univention-join: joins a computer to an ucs domain
copyright © 2001-2011 Univention GmbH, Germany

Insert DC Master Account : Administrator
Insert DC Master Password:

Search DC Master: done
Check DC Master: done
Stop LDAP Server: done
Search ldap/base done
Start LDAP Server: done
Search LDAP binddn done
Sync time done
Join Computer Account: done
Sync ldap.secret:

Join failed! *
Contact your system administrator *

Message: /etc/ldap.secret not found

[/code]

/etc/ldap.secret ist aber auf dem PDC vorhanden. ssh funktioniert auch.
Systemstand beider System UCS 2.4-2-3

Scherer · September 30, 2011, 7:34am

Hallo,

wie sind die Berechtigungen der Datei auf dem DC Master und auf dem DC Backup? Bitte senden Sie einmal die Ausgabe von ls -l /etc/ldap.secret auf beiden Servern.

Mit freundlichen Grüßen
Tobias Scherer

s.schulz · September 30, 2011, 7:56am

Hallo Herr Scherer,

ls -l /etc/ldap.secret Ausgaben:

DC Master:
-rw-r----- 1 root DC Backup Hosts 8 May 9 2006 /etc/ldap.secret

DC Backup:
(/etc/ldap.secret nicht vorhanden)

Grüße,
S.Schulz

Scherer · September 30, 2011, 8:24am

Hallo Herr Schulz,

setzen Sie bitte einmal die folgende Gruppe für die Datei auf dem DC Master und führen dann den Joinvorgang erneut durch:

chgrp "Backup Join" /etc/ldap.secret

Mit freundlichen Grüßen
Tobias Scherer

s.schulz · September 30, 2011, 8:58am

Hallo Herr Scherer,

Berechtigung auf dem DC Master nun:
-rw-r----- 1 root Backup Join 8 May 9 2006 /etc/ldap.secret

erneuter Join auf dem DC Backup leider noch immer
Message: /etc/ldap.secret not found

Grüße,
S.Schulz

Scherer · September 30, 2011, 12:54pm

Hallo Herr Schulz,

wie sind denn die Ausgaben der folgenden Befehle:

ldapsearch -x cn="DC Backup Hosts" ldapsearch -x cn="Backup Join"

Wir der Domänenbeitritt mit dem Administrator durchgeführt oder mit einem anderen Benutzer?

Mit freundlichen Grüßen
Tobias Scherer

s.schulz · September 30, 2011, 1:10pm

ldapsearch -x cn=“DC Backup Hosts”

[code]root@serverlinux:~# ldapsearch -x cn=“DC Backup Hosts”

extended LDIF

LDAPv3

base <dc=server,dc=ucs,dc=de> (default) with scope subtree

filter: cn=DC Backup Hosts

requesting: ALL

DC Backup Hosts, groups, server.ucs.de

dn: cn=DC Backup Hosts,cn=groups,dc=server,dc=ucs,dc=de
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
cn: DC Backup Hosts
sambaSID: S-1-5-21-3674176646-1083804073-3531624039-11012
sambaGroupType: 2
gidNumber: 5005
uniqueMember: cn=serverlinux,cn=dc,cn=computers,dc=server,dc=ucs,dc=de
uniqueMember: uid=join-backup,cn=users,dc=server,dc=ucs,dc=de
uniqueMember: cn=serverbdc,cn=dc,cn=computers,dc=server,dc=ucs,dc=de
memberUid: serverlinux$
memberUid: serverbdc$

search result

search: 2
result: 0 Success

numResponses: 2

numEntries: 1[/code]

ldapsearch -x cn=“Backup Join”

[code]root@serverlinux:~# ldapsearch -x cn=“Backup Join”

extended LDIF

LDAPv3

base <dc=server,dc=ucs,dc=de> (default) with scope subtree

filter: cn=Backup Join

requesting: ALL

Backup Join, groups, server.ucs.de

dn: cn=Backup Join,cn=groups,dc=server,dc=ucs,dc=de
sambaGroupType: 2
cn: Backup Join
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
gidNumber: 5008
sambaSID: S-1-5-21-3674176646-1083804073-3531624039-11017
description: Group for joining domain controller backup servers
uniqueMember: uid=join-backup,cn=users,dc=server,dc=ucs,dc=de
memberUid: join-backup

search result

search: 2
result: 0 Success

numResponses: 2

numEntries: 1[/code]

in univention-join wird als ‘DC Master Account’ Administrator verwendet

Scherer · September 30, 2011, 1:17pm

Hallo Herr Schulz,

funktioniert der Join wenn Sie den Administrator und die Gruppe Domain Admins als Mitglieder zur Gruppe Backup Join hinzufügen?

Mit freundlichen Grüßen
Tobias Scherer

s.schulz · September 30, 2011, 2:53pm

fast…
danach kam er bis:

Message:  /etc/ldap-backup.secret not found

dann habe ich mit

chgrp "Backup Join" /etc/ldap-backup.secret

auf dem DC Master auch diese Gruppe geändert

nun kommt er bis:

univention-join: joins a computer to an ucs domain
copyright (c) 2001-2011 Univention GmbH, Germany

Insert DC Master Account : Administrator
Insert DC Master Password:

Search DC Master:                                          done
Check DC Master:                                           done
Stop LDAP Server:                                          done
Search ldap/base                                           done
Start LDAP Server:                                         done
Search LDAP binddn                                         done
Sync time                                                  done
Join Computer Account:                                     done
Sync ldap.secret:                                          done
Sync ldap-backup.secret:                                   done
Sync SSL directory:                                        done
Check TLS connection                                       done
Download host certificate                                  done
Sync SSL settings:                                         done
Restart LDAP Server:                                       done
Sync Kerberos settings:                                    done
Configure 01univention-ldap-server-init.inst               done
Configure 02univention-directory-notifier.inst             done
Configure 03univention-directory-listener.inst             done


**************************************************************************
* Join failed!                                                           *
* Contact your system administrator                                      *
**************************************************************************
* Message:   FAILED: failed do copy /var/lib/univention-ldap/notify/transaction from the dc master. Please try again.
**************************************************************************

ls -l /var/lib/univention-ldap/notify/transaction
-rw-r----- 1 root DC Backup Hosts 603624 Sep 30 16:27 /var/lib/univention-ldap/notify/transaction

Scherer · September 30, 2011, 3:14pm

Hallo,

dann fügen Sie den Administrator und die Gruppe Domain Admins bitte noch als Mitglieder zur Gruppe DC Backup Hosts hinzu.

Mit freundlichen Grüßen
Tobias Scherer

s.schulz · September 30, 2011, 3:30pm

Hallo Herr Scherer,

univention-join ist nun komplett durchgeführt.

Danke und ein schönes verlängertes Wochenende,
S.Schulz

P.S.: warum diese Berechtigungsprobleme?
hat es vielleicht etwas damit zu tun, dass der DC Master im laufe der Jahre von UCS 2.1 bis 2.4 geupdated wurde?

Scherer · October 4, 2011, 6:31am

Hallo Herr Schulz,

bei einem so “gewachsenen” System lässt sich natürlich schwer sagen, wo genau die Berechtigungen so gesetzt wurden. Uns sind keine generellen Probleme diesbezüglich bei Updates von älteren Installationen bekannt.

Mit freundlichen Grüßen
Tobias Scherer