Master Domäncontroller LDAP / KERBEROS Computerkonto

UCS - Univention Corporate Server
#1

Hallo Gemeinde,

hier erst einmal ein paar Infos zur Umgebung:
Zwei DC’s Univention School Edition Version 3.2-4 errata241 ( Update geplant, dafür muss die Umgebung aber fehlerfrei laufen).

Ausgangslage:
Ich habe eine neue Freigabe über das Webinterface einrichten wollen. Danach war kein Zugriff mehr auf die hinzugefügen Shares möglich. SYSVOL und NETLOGON sind noch erreichbar.
So wie es sich für mich darstellt findet sich der Master DC nicht mehr im LDAP.

Auszug aus der Fehlermeldung beim samba-tool drs showrepl:

Received smb_krb5 packet of length 108 Failed to get kerberos credentials: kinit for rechner@domain failed (Client not found in Kerberos database) Wrong username or password: kinit for rechner@domain failed (Client not found in Kerberos database) SPNEGO(gssapi_krb5) creating NEG_TOKEN_INIT failed: NT_STATUS_LOGON_FAILURE

Samba log:

[2015/03/19 10:35:01.915576,  1, pid=7215] ../source4/auth/gensec/gensec_gssapi.c:648(gensec_gssapi_update)
  GSS client Update(krb5)(1) Update failed:  Miscellaneous failure (see text): Matching credential (GC/BDC.local/local) not found
[2015/03/19 10:35:01.915630,  0, pid=7215] ../auth/gensec/gensec.c:247(gensec_update)
  Did not manage to negotiate mandetory feature SIGN for dcerpc auth_level 6
[2015/03/19 10:35:01.915678,  0, pid=7215] ../source4/librpc/rpc/dcerpc_util.c:681(dcerpc_pipe_auth_recv)
  Failed to bind to uuid e3514235-4b06-11d1-ab04-00c04fc2dcd2 for e3514235-4b06-11d1-ab04-00c04fc2dcd2@ncacn_ip_tcp:3154508c-b87a-46d9-9010-3980b05f8ed3._msdcs.local[1024,seal,krb5] NT_STATUS_ACCESS_DENIED
[2015/03/19 10:35:01.915799,  4, pid=7215] ../source4/dsdb/repl/drepl_notify.c:196(dreplsrv_notify_op_callback)
  dreplsrv_notify: Failed to send DsReplicaSync to 3154508c-b87a-46d9-9010-3980b05f8ed3._msdcs.local for CN=Configuration, DC=local - NT_STATUS_ACCESS_DENIED : WERR_ACCESS_DENIED

Vermutliche Folgefehler:
Sambashares nur als Domainadmin erreichbar?
Keine Replikation
S4 Connector kann nicht auf das LDAP zugreifen
u.v.m.

samba-tool checkdb i.O.
ssh BDC time 0.0 ms
kinit -A funktioniert
klist i.O.
dns i.O.
iptabels abgeschaltet - keine Änderung

Was kann ich noch tun um den Fehler weiter einzugrenzen.

#2

Die Ausgabe von:

udm computers/domaincontroller_master  list

ist unauffällig.

Das die Shares nicht erreichbar waren ist leider ein anderes Problem. Alle Freigaben die auf einer Platte liegen, welche über Fibrechanel eingebunden ist, kann nur der Domänenadmin zugreifen.
Workaround bis zur Lösung:

mount -o bind /fiberchannel/Ordner /locale_platte/Ordner

Freigabe geändert- ohne die Berechtigungen anzupassen- und es funktioniert wieder.

#3

Kurz der Vollständigkeit halber: Das Verhalten konnte separat über einen Support-Kanal gelöst werden.
Ursächlich war vermutlich eine parallel zu Samba 4 laufende Heimdal-Instanz.
Der Start von Heimdal auf einer Samba 4 Maschine wird per default durch die UCR-Variable kerberos/autostart verhindert:

#Kontrolle root@master:~# ucr search kerberos/autostart kerberos/autostart: no This variable configures the start mode of the Kerberos KDC service. If set to 'no' or 'disabled', the service cannot be started. If the variable is set to 'manually', the service isn't started during system boot, but can be enabled manually at a later point.

Mastodon