Bind liefert keine neuen adressen aus

Hallo,

Nach dem Anlegen neuer Rechner werden diese korrekt im dns UMCModul angezeigt. Im LDAP werden sie scheinbar auch richtig angelegt. z.B.

[code]root@helios:~# univention-ldapsearch | grep neptun
uniqueMember: cn=neptun,cn=computers,dc=schumann,dc=lahm
memberUid: neptun$
mXRecord: 50 neptun.schumann.lahm

neptun, computers, schumann.lahm

dn: cn=neptun,cn=computers,dc=schumann,dc=lahm
displayName: neptun
cn: neptun
krb5PrincipalName: host/neptun.schumann.lahm@SCHUMANN.LAHM
sn: neptun
uid: neptun$

neptun, schumann.lahm, dhcp, schumann.lahm

dn: cn=neptun,cn=schumann.lahm,cn=dhcp,dc=schumann,dc=lahm
cn: neptun

neptun, schumann.lahm, dns, schumann.lahm

dn: relativeDomainName=neptun,zoneName=schumann.lahm,cn=dns,dc=schumann,dc=lah
relativeDomainName: neptun
pTRRecord: neptun.schumann.lahm.[/code]

ein ucr commit brachte nichts, und ein bind9 force-reload bring auch kein Ergebnis. Der Name wird nicht aufgelöst :

[code]root@helios:/etc/bind/univention.conf.d# host neptun.schumann.lahm
Host neptun.schumann.lahm not found: 3(NXDOMAIN)
root@helios:/etc/bind/univention.conf.d# host 192.168.178.150
Host 150.178.168.192.in-addr.arpa. not found: 3(NXDOMAIN)
root@helios:/etc/bind/univention.conf.d# nslookup neptun
Server: 192.168.178.200
Address: 192.168.178.200#53

** server can’t find neptun: NXDOMAIN[/code]

Wo kann ich weiter suchen? Die Verzeichnisse scheinen richtig eingebunden zu sein…

Viele Grüße
Marc Schumannn

Hallo,

da es sich anscheinend um den selben DNS-Server handelt, wie in Ihrem anderen Beitrag, gehe ich davon aus, daß das Backend Samba4 ist.

Evtl. könnte die Synchronisation zwischen LDAP und Samba4 nicht sauber erfolgt sein. Was ergibt denn die Abfrage per univention-s4search?

univention-s4search name=neptun

Viele Grüße
Ulf Friedel

Hallo,

die Abfrage ergibt:
root@helios:~# univention-s4search name=neptun

Referral

ref: ldap://schumann.lahm/CN=Configuration,D … nn,DC=lahm

Referral

ref: ldap://schumann.lahm/DC=DomainDnsZones, … nn,DC=lahm

Referral

ref: ldap://schumann.lahm/DC=ForestDnsZones, … nn,DC=lahm

returned 3 records

0 entries

3 referrals

…sagt mir gerade irgendwie gar nichts …sorry.

Hallo,

auf mich macht es den Eindruck, daß das Samba 4 und das LDAP Verzeichnis nicht synchron sind.

Evtl. wäre es hilfreich zu wissen, was in /var/log/univention/listener.log und /var/log/univention/connector-s4.log geschrieben wurde, als das Rechnerobjekt angelegt wurde. Könnten Sie desweiteren bitte einmal die Ausgabe von univention-s4connector-list-rejected posten?

Viele Grüße
Ulf Friedel

Hallo,
univention-s4connector-list-rejected bringt

root@helios:~# univention-s4connector-list-rejected
connector/s4/ldap/certificate not set -> sieht irgendwie nicht gut aus…

s4 log ist leer, komplett. und
less /var/log/univention/listener.log | grep neptun
liefert auch kein Ergebnis.

Gruss
Marc

Hallo,

Diese Meldung sagt meines Erachtens aus, daß die UCR Variable connector/s4/ldap/ssl auf yes steht, aber die Variable connector/s4/ldap/certificate nicht gesetzt ist. Diese Konstellation führte aber auf meinem Testsystem nicht zu dem von Ihnen geschilderten Verhalten.

Ich konnte das Verhalten jedoch reproduzieren, wenn der univention-s4-connector nicht lief.

Könnten Sie bitte überprüfen ob dieser auf helios läuft?

# ps aux | grep s4connector

Viele Grüße
Ulf Friedel

Hallo,

gerade bemerkt, wenn man connector/s4/ldap/ssl auf yes setzt, ohne connector/s4/ldap/certificate zu setzen und danach einen Neustart des univention-s4-connector durchführen möchte, startet dieser nicht mehr, bzw. bleibt nicht aktiv.

root@master:~# /etc/init.d/univention-s4-connector restart
Stopping univention-s4-connector daemon.
done.
Starting univention-s4-connector daemon.
done.
root@master:~# ps aux | grep s4connector
root     16967  0.0  0.0   7600   836 pts/1    S+   19:24   0:00 grep s4connector

Leider fehlen mir jetzt aber die nötigen Kenntnisse bezüglich der Variable connector/s4/ldap/certificate, um weiterhelfen zu können. Da ich adhoc nichts dazu finden konnte. Wobei ich vermute, daß darin der Pfad zum SSL-Zertifikat angegeben werden muß.

Viele Grüße
Ulf Friedel

Die variable existiert bei mir gar nicht. Habe sie angelegt, aber wie müsste den der Pfad " normalerweise " lauten?

Gruss
Marc

Hallo,

hier muß ich leider gerade passen.

Probiert man es mit ‘/etc/univention/ssl/FQDN/cert.pem’, wobei FQDN hier natürlich für den vollständigen Namen des Rechners steht, kommt es beim mir in /var/log/univention/connector-s4-status.log zu folgender Meldung:

 --- connect failed, failure was: ---

Traceback (most recent call last):
  File "/usr/lib/pymodules/python2.6/univention/s4connector/s4/main.py", line 280, in main
    connect()
  File "/usr/lib/pymodules/python2.6/univention/s4connector/s4/main.py", line 163, in connect
    baseConfig['%s/s4/listener/dir' % CONFIGBASENAME])
  File "/usr/lib/pymodules/python2.6/univention/s4connector/s4/__init__.py", line 734, in __init__
    self.open_s4()
  File "/usr/lib/pymodules/python2.6/univention/s4connector/s4/__init__.py", line 851, in open_s4
    self.lo_s4=univention.uldap.access(host=self.s4_ldap_host, port=int(self.s4_ldap_port), base=self.s4_ldap_base, binddn=self.s4_ldap_binddn, bindpw=self.s4_ldap_bindpw, start_tls=tls_mode, ca_certfile=self.s4_ldap_certificate, decode_ignorelist=['objectSid', 'objectGUID', 'repsFrom', 'replUpToDateVector', 'ipsecData', 'logonHours', 'userCertificate', 'dNSProperty', 'dnsRecord', 'member'], uri=ldapuri)
  File "/usr/lib/pymodules/python2.6/univention/uldap.py", line 182, in __init__
    self.__open(ca_certfile)
  File "/usr/lib/pymodules/python2.6/univention/uldap.py", line 223, in __open
    self.lo.start_tls_s()
  File "/usr/lib/python2.6/dist-packages/ldap/ldapobject.py", line 784, in start_tls_s
    res = SimpleLDAPObject.start_tls_s(self)
  File "/usr/lib/python2.6/dist-packages/ldap/ldapobject.py", line 526, in start_tls_s
    return self._ldap_call(self._l.start_tls_s)
  File "/usr/lib/python2.6/dist-packages/ldap/ldapobject.py", line 96, in _ldap_call
    result = func(*args,**kwargs)
CONNECT_ERROR: {'info': 'TLS: hostname does not match CN in peer certificate', 'desc': 'Connect error'}

Viele Grüße
Ulf Friedel

Hallo,

mir ist aufgefallen, daß auf allen Systemen wo ich nachgeschaut hatte, connector/s4/ldap/ssl grundsätzlich auf ‘no’ stand. Somit sieht es für mich so aus als ob die Variable bei Ihnen möglicherweise manuell auf ‘yes’ gesetzt wurde.

Leider habe ich es auf keinem System geschafft den S4 Connector zum Laufen zu bringen sobald connector/s4/ldap/ssl auf ‘yes’ stand, vielleicht reicht es ja nicht aus connector/s4/ldap/certificate zu setzten, evtl. muß zusätzlich noch eine weitere UCR Variable gesetzt werden. Aufgrund dessen, daß ich nichts in den Dokumentation usw. finden konnte, kann ich dies aber nicht beantworten.

Möglicherweise gibt es jemanden der sein System erfolgreich so betreibt und sein Vorgehen hier bitte schildern könnte.

Mein Vorschlag damit Sie vorerst wieder über ein funktionstüchtiges System verfügen, wäre connector/s4/ldap/ssl auf ‘no’ zusetzen und danach den Connector zu starten.

Sollte dies nicht zu einer Lösung Ihres Problemes führen, wäre es hilfreich, wenn Sie bitte die Ausgabe von univention-check-join-status und ucr search --brief connector posten könnten.

Viele Grüße
Ulf Friedel

Mastodon