Update 4.1 auf 4.2 samba Probleme

ucs-4-1
ucs-4-2

#1

Hallo zusammen,

ich habe heute mittag angefangen meinen UCS 4.1 auf die 4.2 zu aktualisieren. Irgendwas auf dem Weg muss schief gegangen sein, denn nun kann man sich nicht mehr mit den Windows PCs an der Domäne anmelden. Man bekommt die Meldung dass das Passwort falsch sei. Nehme ich die gleichen Credentials kann ich mich aber an der UCS Console (https) anmelden.

Was ist passiert auf dem Weg zum Update?

  • Ich musste wegen des QEMU Problems die VM ausschalten und den ucr eintrag setzen
  • Beim Update lief das 33univention-portal Join Script nicht durch, dieses hat geholfen: 4.2 Domain Join Script Fails
  • Nach dem Update lief kein Samba mehr und der Server taucht in der Netzwerkumgebung nicht auf
  • habe nach geschaut und es war das Paket “univention-samba4” nicht installiert. Muss das so sein? Ich hab es jedenfalls installiert und nun samba noch mal starten können. Rechner taucht auf

Nun kann man sich wie oben schon geschrieben mit den Benutzerdaten nicht mehr an dem Server anmelden. Also Windows Login sagt “Der Benutzername bzw. das Kennwort ist falsch.” und wenn ich mit meinem Linux PC mal per smbclient gucken will “NT_STATUS_LOGON_FAILURE”.

Hat jemand eine Idee wie ich das Problem eingrenzen kann?
Lucas


#2

Ah noch was:
Ich hab dann hier im Forum gelesen dass es evtl mit den Certs zutun hat. Habe daraufhin die CA neu gebaut.

Habe hier nen Thread gefunden “Benutzer können sich nicht anmelden” und mal dies ausprobiert:

root@ucs:~# univention-s4search
TLS …/source4/lib/tls/tls_tstream.c:1593 - check failed for verify_peer[ca_and_name] and peer_name[ucs..intranet] status 0x42 (invalid signer_not_found )
Failed to connect to ldap URL 'ldaps://ucs.
.intranet’ - LDAP client internal error: NT_STATUS_INVALID_PARAMETER
Failed to connect to 'ldaps://ucs.
.intranet’ with backend ‘ldaps’: LDAP client internal error: NT_STATUS_INVALID_PARAMETER
Failed to connect to ldaps://ucs.
.intranet - LDAP client internal error: NT_STATUS_INVALID_PARAMETER

Hat das evtl was mit meinem Problem zutun?
lg
Lucas


#3

OK, wir haben eine neue CA und ein von s4search beschwert sich mit “invalid signer_not_found”, vertraut also der CA nicht…
Die TLS-Settings von Samba sind m.E. in /etc/samba/smb.conf und verweisen auf Dateien in /etc/univention/ssl/.
Auf dem Master sollten da schon die richtigen Dateien liegen. Hier fällt mir nur ein, dass Samba noch nicht neu gestartet wurde.
Bei anderen Systemrollen (außer DC-Backup) sollte man prüfen, ob die neuen Zertifikate gemäß Erneuern der TLS/SSL-Zertifikate übertragen wurden.