Hallo,
wir haben ein UCS 4.1 in ein bestehendes AD integriert.
Das hat soweit gut funktioniert und ich kann mich am Univention-System via AD-User (Domain-Admins usw.) anmelden und die meisten Aktionen funktionieren auch:
Probleme gibt es bei der Authentifikation über NTLM an das AD. Folgendes Scenario:
Windows - PC mit IE oder Firefox -> Squid-Proxy auf dem UCS AD-Member System.
Ich habe alle Variablen verglichen mit einem System, bei dem genau das funktioniert.
Aufgefallen ist mir, dass der heimdal-krbd Dienst gestoppt ist. (Das finde ich irgendwie merkwürdig)
Jetzt habe ich einige Fragen:
- An welchen Orten kann ich denn jetzt mal schauen, ob mir was auffält
- Da die Anmeldung am Linux über ein AD-User funktioniert, gehe ich davon aus, dass das über PAM-LDAP realisiert ist. (Stimmt das?)
Folgende Fehlermeldungen sind mir aufgefallen:
2015/12/11 15:03:58| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned ‘BH failed to verifyNtlmTypeThree(): Non-hexadecimal digit found’
Es gab noch eine Fehlermeldung wie “[…] syncrepl failed […]”
Es gibt mehrere Fehlerursachen:
In diesem AD gibt es internationale User - also auch chinesische, wobei diese aber mit normaler Schrift geschrieben sind.
Folgende Fehler scheinen es nicht sein:
Die Kerberos-Verbindung scheint grundsätzlich zu laufen - die Zeitsynchronisation passt auch. Der DC1 vom AD ist der Zeitserver und das geht auch. Alle Kerberos-Einträge sehen gut aus.
Welche Logs sollte ich mir genauer anschauen, bzw. welche Configs/UCS-Registry sind da interessant.
Vielen Dank