UCS Self-Service Passwort ändern Errorcode 20

UCS - Univention Corporate Server
#1

Hallo,

ich habe folgendes Setup:

Univention Corporate Server VM, darauf installiert: OX Appsuite, OX Documents, Self-Service

Die Benutzer sind im integrierten LDAP. Wenn nun ein Benutzer im Self Service sein Passwort ändern will kommt folgender Fehler:

Passwort ändern fehlgeschlagen. Der Grund konnte nicht festgestellt werden. Für den Fall, dass es hilft, hier die originale Fehlernachricht: Errorcode 20: Stellen Sie sicher, dass der Kerberos Dienst läuft oder informieren Sie einen Administrator.

Es scheint mir, als sei ein Kerberos Dienst gar nicht installiert?

Grüße
Simon

#2

Hallo Simon,

UCS als Domaincontroller (die UCS-Rollen Master, Backup und Slave) kommt immer mit einem Kerberos-Dienst. Standardmäßig ist das erstmal Heimdal, es sei denn auf dem System ist auch die App “Active Directory kompatibler Domänen-Controller” installiert, dann stellt Samba/AD den Kerberos-Dienst. Da von Samba/AD bislang keine Rede war, gehe ich mal von Heimdal aus.

Um zu testen, ob Kerberos überhaupt funktioniert, kann man sich auf der Kommandozeile mal ein Kerberos-Ticket ziehen:

root@master:~# kinit Administrator Administrator@DOMAIN.TEST's Password:
Dabei das Kennwort des Administrator-Benutzers eingeben. Evtl. kommt da schon eine Fehlermeldung?
Ob die Kerberos-Authentifizierung geklappt hat, kann man sich mit klist anzeigen lassen. Das sollte dann ungefähr so aussehen:

root@master:~# klist Administrator@DOMAIN.TEST's Password: Credentials cache: FILE:/tmp/krb5cc_0 Principal: Administrator@DOMAIN.TEST Issued Expires Principal Jul 9 11:05:02 2014 Jul 9 21:04:59 2014 krbtgt/DOMAIN.TEST@DOMAIN.TEST

Zusätzlich bitte einmal prüfen, ob der Kerberos-Dienst läuft:

root@master:~# ps aux | grep [h]eimdal

Falls da keine Ausgabe zurück kommt, einmal versuchen den Dienst (neu) zu starten:

root@master:~# service heimdal-kdc restart

Schönen Gruß,
Michael Grandjean

#3

Hallo Michael,

vielen Dank für die schnelle Antwort. Anbei mal die jeweiligen Ausgaben:

klist

klist: No ticket file: /tmp/krb5cc_0

kinit Administrator

Administrator@xxxx.xx Password:
kinit: krb5_get_init_creds: unable to reach any KDC in realm xxxx.xx

ps aux | grep [h]eimdal

root 16613 0.0 0.1 62192 5244 ? S 07:12 0:00 /usr/lib/heimdal-servers/kdc --config-file=/etc/heimdal-kdc/kdc.conf
root 16616 0.3 1.0 366352 41456 ? S 07:12 0:00 /usr/lib/heimdal-servers/kpasswdd

Ein restart des Service hat leider auch nichts gebracht :frowning: Es ist nix mit Samba oder AD installiert.

Vielen Dank schonmal.

Grüße
Simon

#4

Hallo,

ich habe es herausgefunden. Nach der Installation hatte ich den primären DNS Server umgestellt. Was mir für ein Microsoft AD bewusst war, hatte ich hier missachtet - falschen DNS Server angegeben. Jetzt läuft es wieder.

#5

Hallo,

ja stimmt, ohne DNS kommt man mit Kerberos nicht weit. Freut mich, dass es jetzt funktioniert :slight_smile:

Schönen Gruß,
Michael Grandjean

Mastodon