Univention-s4connector-list-rejected

german

#1

Wie kann ich diesen Fehler beheben?

[code]UCS rejected

S4 rejected

1:    S4 DN: DC=_VLMCS._TCP,DC=pilz.local,CN=MicrosoftDNS,CN=System,DC=domain,DC=local
     UCS DN: <not found>
2:    S4 DN: cn={2B767672-73AB-4E6E-80BF-91834086F199},CN=Policies,CN=System,DC=domain,DC=local
     UCS DN: cn={2b767672-73ab-4e6e-80bf-91834086f199},cn=policies,cn=system,dc=domain,dc=local
3:    S4 DN: cn={3B1451D9-72A9-4F9C-9323-26CBA6FBF15F},CN=Policies,CN=System,DC=domain,DC=local
     UCS DN: cn={3b1451d9-72a9-4f9c-9323-26cba6fbf15f},cn=policies,cn=system,dc=domain,dc=local
4:    S4 DN: CN=sqladmin,OU=Mitarbeiter,OU=Pilz,DC=domain,DC=local
     UCS DN: uid=sqladmin,ou=mitarbeiter,ou=pilz,dc=domain,dc=local

    last synced USN: 5965[/code]

#2

Hallo,

das ist zunächst ja nur die Information, welche Objekte derzeit nicht synchron sind.
Meine eigene Kristallkugel ist gerade wieder mal zur Reparatur und gesehen habe sich selbst diese Art von Rejects auch noch nicht.
Schaust Du bitte mal, ob in /var/log/univention/connector-s4.log* noch etwas zu den einzelnen Rejects zu finden ist?

Viele Grüße,
Dirk


#3

Das steht in der Log beim user sqladmin:

08.12.2013 06:25:11,709 LDAP (PROCESS): sync to ucs: Resync rejected dn: CN=sqladmin,OU=Mitarbeiter,OU=firma,DC=pilz,DC=local 08.12.2013 06:25:11,715 LDAP (PROCESS): sync to ucs: [ user] [ modify] uid=sqladmin,ou=mitarbeiter,ou=firma,dc=pilz,dc=local 08.12.2013 06:25:12,69 LDAP (ERROR ): Unknown Exception during sync_to_ucs 08.12.2013 06:25:12,70 LDAP (ERROR ): Traceback (most recent call last): File "/usr/lib/pymodules/python2.6/univention/s4connector/__init__.py", line 1320, in sync_to_ucs result = self.modify_in_ucs(property_type, object, module, position) File "/usr/lib/pymodules/python2.6/univention/s4connector/__init__.py", line 1187, in modify_in_ucs return ucs_object.modify() and self.__modify_custom_attributes(property_type, object, ucs_object, module, position) File "/usr/lib/pymodules/python2.6/univention/admin/handlers/__init__.py", line 344, in modify return self._modify(modify_childs,ignore_license=ignore_license) File "/usr/lib/pymodules/python2.6/univention/admin/handlers/__init__.py", line 748, in _modify ml=self._ldap_modlist() File "/usr/lib/pymodules/python2.6/univention/admin/handlers/users/user.py", line 2369, in _ldap_modlist self.userSid = self.__generate_user_sid(self.oldattr['uidNumber'][0]) File "/usr/lib/pymodules/python2.6/univention/admin/handlers/users/user.py", line 2575, in __generate_user_sid raise univention.admin.uexceptions.sidAlreadyUsed, ': %s' % self['sambaRID'] sidAlreadyUsed: : 21082

Ausgaben von:
univention-s4search cn=sqladmin

# record 1 dn: CN=sqladmin,OU=Mitarbeiter,OU=Firma,DC=firma,DC=local objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: sqladmin sn: SQLAdmin givenName: SQLAdmin instanceType: 4 whenCreated: 20131129093436.0Z displayName: SQLAdmin uSNCreated: 4267 name: sqladmin objectGUID: 042374ce-0e5f-449e-9b82-ad4771e89fd1 badPwdCount: 0 codePage: 0 countryCode: 0 badPasswordTime: 0 lastLogoff: 0 lastLogon: 0 primaryGroupID: 513 objectSid: S-1-5-21-1844237615-448539723-682003330-21082 accountExpires: 9223372036854775807 logonCount: 0 sAMAccountName: sqladmin sAMAccountType: 805306368 objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=firma,DC=local userAccountControl: 512 scriptPath: logon.bat description: CSB SQL Admin homeDrive: Z: userPrincipalName: sqladmin@FIRMA.LOCAL memberOf: CN=CSB,OU=Mitarbeiter,OU=Firma,DC=firma,DC=local memberOf: CN=Domain Admins,CN=Groups,DC=firma,DC=local homeDirectory: \\vmdatensrv\benutzer\sqladmin lockoutTime: 0 pwdLastSet: 130304749620000000 servicePrincipalName: MSSQLSvc/CSBSRV01.firma.local servicePrincipalName: MSSQLSvc/CSBSRV01.firma.local:1433 whenChanged: 20131204182735.0Z uSNChanged: 6289 distinguishedName: CN=sqladmin,OU=Mitarbeiter,OU=Firma,DC=firma,DC=local

Ausgabe von:
univention-ldapsearch uid=sqladmin

[code]# extended LDIF

LDAPv3

base <dc=pilz,dc=local> (default) with scope subtree

filter: uid=sqladmin

requesting: ALL

sqladmin, Mitarbeiter, Firma, firma.local

dn: uid=sqladmin,ou=Mitarbeiter,ou=Firma,dc=firma,dc=local
uid: sqladmin
krb5PrincipalName: sqladmin@FIRMA.LOCAL
objectClass: top
objectClass: person
objectClass: univentionPWHistory
objectClass: posixAccount
objectClass: shadowAccount
objectClass: univentionMail
objectClass: sambaSamAccount
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: krb5Principal
objectClass: krb5KDCEntry
objectClass: univentionObject
uidNumber: 10041
sambaAcctFlags: [U ]
krb5MaxLife: 86400
cn: SQLAdmin SQLAdmin
krb5MaxRenew: 604800
sambaLogonScript: logon.bat
description: CSB SQL Admin
loginShell: /bin/bash
univentionObjectType: users/user
displayName: SQLAdmin
sambaHomeDrive: Z:
gecos: SQLAdmin SQLAdmin
sn: SQLAdmin
pwhistory: $6$H7nb4STr5Pm07Tmn$4LVPZnxt3ni8UzHtCRq6OyUtQe87LZ88SaWcFHISI7sU7nG
ABpEMrdrOWJkvOcSmHEptmEqSs5z5JJ7p3IRT31
homeDirectory: /home/sqladmin
givenName: SQLAdmin
gidNumber: 5001
sambaPrimaryGroupSID: S-1-5-21-1844237615-448539723-682003330-513
sambaNTPassword: AA564F76A782DF7EEE00877378261843
sambaSID:: Uy0xLTUtMjEtMTg0NDIzNzYxNS00NDg1Mzk3MjMtNjgyMDAzMzMwLTIxMDgyIA==
sambaHomePath: \vmdatensrv\benutzer\sqladmin
krb5Key:: MEyhKzApoAMCARKhIgQgU6W/jOU0mxJBKDx0RLRKXrRHQzAWco61f3ZBenPzkYmiHTAb
oAMCAQOhFAQSUElMWi5MT0NBTHNxbGFkbWlu
krb5Key:: MDyhGzAZoAMCARGhEgQQ8D0i+oYGKjiyjvsKdQLad6IdMBugAwIBA6EUBBJQSUxaLkxP
Q0FMc3FsYWRtaW4=
krb5Key:: MEShIzAhoAMCARChGgQYqOWtAu9AktwTKs37DdoNDSWej+yoQ670oh0wG6ADAgEDoRQE
ElBJTFouTE9DQUxzcWxhZG1pbg==
krb5Key:: MDyhGzAZoAMCARehEgQQqlZPdqeC337uAIdzeCYYQ6IdMBugAwIBA6EUBBJQSUxaLkxP
Q0FMc3FsYWRtaW4=
krb5Key:: MDShEzARoAMCAQOhCgQIaLomGmiYFZeiHTAboAMCAQOhFAQSUElMWi5MT0NBTHNxbGFk
bWlu
krb5Key:: MDShEzARoAMCAQKhCgQIaLomGmiYFZeiHTAboAMCAQOhFAQSUElMWi5MT0NBTHNxbGFk
bWlu
krb5Key:: MDShEzARoAMCAQGhCgQIaLomGmiYFZeiHTAboAMCAQOhFAQSUElMWi5MT0NBTHNxbGFk
bWlu
sambaMungedDial: bQAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIABkA
AEAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAUAAFABoACA
ABAEMAdAB4AEMAZgBnAFAAcgBlAHMAZQBuAHQANTUxZTBiYjAYAAgAAQBDAHQAeABDAGYAZwBGAGw
AYQBnAHMAMQAwMDAwMDAwMA==
userPassword:: e2NyeXB0fSQ2JC50OXJvNERlQkhnZHpnWGokVTl0SjRkeFZaNXpGZ1YydXZWc25
vNjBDeWxFQTJhTy5JVlhaQXhzLkNYajlFUFM1Mi40alIxdGVTbUpSVWt1dlVlcE5Ub25iMTdlZEti
N2VvWjJ3QS8=
sambaPasswordHistory: 42609DB579A86067FA2092B102261A9EB16999714C9AA4A8277531DC
B4E91D06EAC36C79F7FA7EC0BF35BBA9B2C3FB6BA4D9F86C5333D98F9FAD069FF7F663E8273CA
3669B021A9800C88959DC3FF8F16D2125775D3902EBC3A24C528B922F3D
krb5KDCFlags: 126
krb5KeyVersionNumber: 3
sambaPwdLastSet: 1386001362
[/code]

Warum passiert das dauernd???


#4

Hallo,

Die Exception endet mit “sidAlreadyUsed”.

Du könntest mal mit

univention-ldapsearch sambaSID=*21082

nachsehen, welches Objekt da in Frage kommt.

Viele Grüße,
Dirk


#5

Das ist die sambaSID des selben Benutzers wie im samba4:

univention-ldapsearch sambaSID=*21082

[code]# extended LDIF

LDAPv3

base <dc=pilz,dc=local> (default) with scope subtree

filter: sambaSID=*21082

requesting: ALL

sqladmin, Mitarbeiter, Firma, firma.local

dn: uid=sqladmin,ou=Mitarbeiter,ou=Firma,dc=firma,dc=local
uid: sqladmin
krb5PrincipalName: sqladmin@FIRMA.LOCAL
objectClass: top
objectClass: person
objectClass: univentionPWHistory
objectClass: posixAccount
objectClass: shadowAccount
objectClass: univentionMail
objectClass: sambaSamAccount
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: krb5Principal
objectClass: krb5KDCEntry
objectClass: univentionObject
uidNumber: 10041
sambaAcctFlags: [U ]
krb5MaxLife: 86400
cn: SQLAdmin SQLAdmin
krb5MaxRenew: 604800
sambaLogonScript: logon.bat
description: CSB SQL Admin
loginShell: /bin/bash
univentionObjectType: users/user
displayName: SQLAdmin
sambaHomeDrive: Z:
gecos: SQLAdmin SQLAdmin
sn: SQLAdmin
pwhistory: $6$H7nb4STr5Pm07Tmn$4LVPZnxt3ni8UzHtCRq6OyUtQe87LZ88SaWcFHISI7sU7nG
ABpEMrdrOWJkvOcSmHEptmEqSs5z5JJ7p3IRT31
homeDirectory: /home/sqladmin
givenName: SQLAdmin
gidNumber: 5001
sambaPrimaryGroupSID: S-1-5-21-1844237615-448539723-682003330-513
sambaNTPassword: AA564F76A782DF7EEE00877378261843
sambaSID:: Uy0xLTUtMjEtMTg0NDIzNzYxNS00NDg1Mzk3MjMtNjgyMDAzMzMwLTIxMDgyIA==
sambaHomePath: \vmdatensrv\benutzer\sqladmin
krb5Key:: MEyhKzApoAMCARKhIgQgU6W/jOU0mxJBKDx0RLRKXrRHQzAWco61f3ZBenPzkYmiHTAb
oAMCAQOhFAQSUElMWi5MT0NBTHNxbGFkbWlu
krb5Key:: MDyhGzAZoAMCARGhEgQQ8D0i+oYGKjiyjvsKdQLad6IdMBugAwIBA6EUBBJQSUxaLkxP
Q0FMc3FsYWRtaW4=
krb5Key:: MEShIzAhoAMCARChGgQYqOWtAu9AktwTKs37DdoNDSWej+yoQ670oh0wG6ADAgEDoRQE
ElBJTFouTE9DQUxzcWxhZG1pbg==
krb5Key:: MDyhGzAZoAMCARehEgQQqlZPdqeC337uAIdzeCYYQ6IdMBugAwIBA6EUBBJQSUxaLkxP
Q0FMc3FsYWRtaW4=
krb5Key:: MDShEzARoAMCAQOhCgQIaLomGmiYFZeiHTAboAMCAQOhFAQSUElMWi5MT0NBTHNxbGFk
bWlu
krb5Key:: MDShEzARoAMCAQKhCgQIaLomGmiYFZeiHTAboAMCAQOhFAQSUElMWi5MT0NBTHNxbGFk
bWlu
krb5Key:: MDShEzARoAMCAQGhCgQIaLomGmiYFZeiHTAboAMCAQOhFAQSUElMWi5MT0NBTHNxbGFk
bWlu
sambaMungedDial: bQAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIABkA
AEAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAUAAFABoACA
ABAEMAdAB4AEMAZgBnAFAAcgBlAHMAZQBuAHQANTUxZTBiYjAYAAgAAQBDAHQAeABDAGYAZwBGAGw
AYQBnAHMAMQAwMDAwMDAwMA==
userPassword:: e2NyeXB0fSQ2JC50OXJvNERlQkhnZHpnWGokVTl0SjRkeFZaNXpGZ1YydXZWc25
vNjBDeWxFQTJhTy5JVlhaQXhzLkNYajlFUFM1Mi40alIxdGVTbUpSVWt1dlVlcE5Ub25iMTdlZEti
N2VvWjJ3QS8=
sambaPasswordHistory: 42609DB579A86067FA2092B102261A9EB16999714C9AA4A8277531DC
B4E91D06EAC36C79F7FA7EC0BF35BBA9B2C3FB6BA4D9F86C5333D98F9FAD069FF7F663E8273CA
3669B021A9800C88959DC3FF8F16D2125775D3902EBC3A24C528B922F3D
krb5KDCFlags: 126
krb5KeyVersionNumber: 3
sambaPwdLastSet: 1386001362

search result

search: 3
result: 0 Success

numResponses: 2

numEntries: 1[/code]


#6

Merkwürdig. s4search hat geliefert:

objectSid: S-1-5-21-1844237615-448539723-682003330-21082

Die sambaSID ist base64 kodiert, aber eigentlich identisch

$ echo Uy0xLTUtMjEtMTg0NDIzNzYxNS00NDg1Mzk3MjMtNjgyMDAzMzMwLTIxMDgyIA== | base64 --decode S-1-5-21-1844237615-448539723-682003330-21082

Für den Moment ist mir das auch nicht erklärbar.


#7

Bitte einmal connector/debug/level auf 4 setzen, S4 Connector neu starten und die connector-Logdatei posten.

Grüße aus Bremen