Neuerstellte Benutzer Anmeldungsproblem

Hallo,

hoffe, jemand kann mir mit meinem Problem weiterhelfen.

Seit einiger Zeit können auf unserem UC Server (installierte UCS Version ist 4.1-4 errata353)
neuerstellte Benutzer sich nicht an unseren Windows-Clients (Windows 10 Pro x64) anmelden, Passwort wird nicht angenommen.
Kommt immer die Meldung, dass Passwort falsch ist. Die alten Benutzer können sich wie gewohnt anmelden.

Der Admin vor mir hatte die IP-Adressen der Clients auf dynamisch gestellt, aber habe schon mehrmals gecheckt,
jeder Client hat die richtigen IP-Adresse, die auf dem Server für ihn eingetragen ist und auf jedem Client ist als erster DNS-Server UCS eingetragen,
als zweiter DNS-Server der Router.

Jemand eine Idee, woran es liegen könnte?

Beste Grüße Mori

Hallo Mori,

läuft der bind Service auf dem UCS-Server?
Werden DNS Anfragen vom UCS beantwortet oder antwortet da der Router ?
Hat nicht zwangsweise was mit deinem Problem zutun, könnte aber problematisch werden wenn deine Clients bei der Namensauflösung deien Domäne nicht finden weil der Router antwortet.

MfG
Gronkdalonka

Hallo Gronkdalonka,

ich glaube schon, dass der bind Service läuft, bin aber nicht sicher,
ich werde morgen früh alles überprüfen und melde mich dann,

Beste Grüße Mori

Hallo,

bind9 und winbind sind installiert.

Bei nslookup auf dem Client kommt das:

nslookup
Standardserver: UnKnown
Address: IP des UC Servers

Beste Grüße Mori

Auf dem Server ist Samba4 installiert, richtig? Können Sie das bitte prüfen (alles bitte als root)?

[code]# dpkg -l | grep samba

dpkg -l | grep connector[/code]

Haben Sie rejects in der Umgebung?

# univention-s4connector-list-rejected

Wieviele Server und Clients gibt es in der Umgebung? Funktioniert die Replikation der Server?

# samba-tool-drs-showrepl

Welche Version von UCS wird eingesetzt?

# ucr search --brief version

Treten Tracebacks in den Connector und Listener Logs auf?

[code]# less /var/log/univention/connectors4.log

less /var/log/univention/connector-status.log

less /var/log/univention/listener.log[/code]

Hallo Thorp-Hansen,

kam leider erst jetzt dazu eine Antwort zu schreiben. Muss auch noch sagen, dass ich mit Univention und Linux/Debian noch nicht viel Erfahrung habe,
bitte nicht so streng mit mir sein :slight_smile:

Hier die Ausgaben zu den Befehlen:

# dpkg -l | grep samba ii python-samba 2:4.5.1-1.849.201612152121 amd64 Python bindings for Samba ii samba 2:4.5.1-1.849.201612152121 amd64 SMB/CIFS file, print, and login server for Unix ii samba-common 2:4.5.1-1.849.201612152121 all common files used by both the Samba server and client ii samba-common-bin 2:4.5.1-1.849.201612152121 amd64 Samba common files used by both the server and the client ii samba-dsdb-modules 2:4.5.1-1.849.201612152121 amd64 Samba Directory Services Database ii samba-libs:amd64 2:4.5.1-1.849.201612152121 amd64 Samba core libraries ii samba-vfs-modules 2:4.5.1-1.849.201612152121 amd64 Samba Virtual FileSystem plugins ii univention-nagios-samba 1.0.0-2.3.201609070852 amd64 nagios plugin for UCS samba ii univention-newsid 7.0.1-1.28.201511032330 amd64 UCS - generate a new samba sid ii univention-samba-local-config 10.0.3-1.519.201611040645 all UCS - UCR Extensions for configuration of local shares ii univention-samba4 5.0.2-1.688.201611040648 amd64 UCS - Samba4 integration package ii univention-samba4-sysvol-sync 5.0.2-1.688.201611040648 all UCS - Samba4 sysvol synchronization

# dpkg -l | grep connector ii libck-connector0:amd64 0.4.5-3.1.12.201409242141 amd64 ConsoleKit libraries ii python-univention-connector-s4 10.0.4-4.629.201612131743 all UCS - Modules for connector sychronisation ii univention-nagios-s4-connector 1.0.0-3.3.201512090901 amd64 nagios plugin for UCS S4 connector ii univention-s4-connector 10.0.4-4.629.201612131743 all UCS - Modules for sync UCS and Samba4 LDB directory

Zu den rejects in der Umgebung

# univention-s4connector-list-rejected kam das:

connector/s4/ldap/certificate not set

Im Moment gibt es nur diesen einen Server und 5 Clients, bevor ich zweiten Server für die Replikation einrichten könnte, ging es mit dem Benutzerproblem los.
Ich will zuerst dieses Problem lösen, bevor ich mit der Replikation anfange.

Zu der UCS-Version:

# ucr search --brief version

appcenter/apps/cups/version: 1.5.3 appcenter/apps/dhcp-server/version: 10.0.1 appcenter/apps/kde/version: 4 appcenter/apps/nagios/version: 3.4 appcenter/apps/pkgdb/version: 9 appcenter/apps/radius/version: 3.0 appcenter/apps/samba4/version: 4.5 appcenter/apps/xrdp/version: 0.8.1 repository/mirror/version/end: <empty> repository/mirror/version/start: <empty> repository/online/component/.*/version: <empty> repository/online/component/4.1-0-errata/version: 4.1 repository/online/component/4.1-1-errata/version: 4.1 repository/online/component/4.1-2-errata/version: 4.1 repository/online/component/4.1-3-errata/version: 4.1 repository/online/component/4.1-4-errata/version: 4.1 repository/online/component/xrdp_20150902/version: current update/umc/nextversion: true version/erratalevel: 366 version/patchlevel: 4 version/releasename: Vahr version/version: 4.1

Die Logfiles

[code]# less /var/log/univention/connectors4.log

less /var/log/univention/connector-status.log

[/code] sind leer.

Bei # less /var/log/univention/listener.logsteht folgendes:

01.01.17 06:25:19.932 DEBUG_INIT UNIVENTION_DEBUG_BEGIN : uldap.__open host=master.isff.see port=7389 base=dc=isff,dc=see UNIVENTION_DEBUG_END : uldap.__open host=master.isff.see port=7389 base=dc=isff,dc=see 02.01.17 01:09:09.784 LISTENER ( PROCESS ) : updating 'cn=master,cn=dc,cn=computers,dc=isff,dc=see' command m 02.01.17 01:09:10.952 LISTENER ( WARN ) : received signal 15 02.01.17 01:09:16.082 DEBUG_INIT UNIVENTION_DEBUG_BEGIN : uldap.__open host=master.isff.see port=7389 base=dc=isff,dc=see UNIVENTION_DEBUG_END : uldap.__open host=master.isff.see port=7389 base=dc=isff,dc=see 02.01.17 09:54:38.238 LISTENER ( PROCESS ) : updating 'uid=Morimystes,cn=Administration,cn=users,dc=isff,dc=see' command m 02.01.17 11:17:26.210 LISTENER ( PROCESS ) : updating 'uid=Morimystes,cn=Administration,cn=users,dc=isff,dc=see' command m 02.01.17 11:17:26.252 LISTENER ( PROCESS ) : updating 'uid=Morimystes,cn=Administration,cn=users,dc=isff,dc=see' command m 02.01.17 12:13:04.502 LISTENER ( PROCESS ) : updating 'uid=Muh,cn=users,dc=isff,dc=see' command m

Kann damit noch nicht viel anfangen, bin noch am lernen. Hoffentlich kannst du was daraus lesen.

Beste Grüße Mori

Steht die Variable connector/s4/ldap/ssl auf “yes”?

# ucr search connector/s4/ldap/ssl

Läuft der S4 Connector und kann man ihn neustarten?

[code]# ps aux | grep s4connector

/etc/init.d/univention-s4-connector restart[/code]

Hinweis: Wenn die Variable: “connector/s4/ldap/ssl” auf “yes” steht, aber kein Zertifikatspfad angegeben ist, startet der S4 Connector ggf. nicht. Setzen Sie dann die Variable auf “no” und starten Sie den S4 Connector neu.

[code]# ucr set connector/s4/ldap/ssl=‘no’

/etc/init.d/univention-s4-connector restart[/code]

Hallo Thorp-Hansen,

die Variable connector/s4/ldap/ssl stand auf “yes”, habe auf “no” gestellt und den S4 Connector neugestartet und jetzt funktioniert alles wieder!!!
Vielen, vielen herzlichen Dank, ich war schon verzweifelt :slight_smile:

Beste Grüße Mori

Hallo,

das Problem ist wieder da…

Wenn ich den connector auf ‘no’ setze, ihn neustarte, auf ‘yes’ setze, läuft er normal. Nach einigen Tagen können sich neue erstellte Benutzer, die sich nicht angemeldet haben, als der connector normal lief, nicht mehr anmelden. Kommt die Meldung “Passwort ist falsch”.

Beste Grüße
Morimystes

Haben Sie rejects in der Umgebung?

# univention-s4connector-list-rejected

Wieviele Server und Clients gibt es in der Umgebung? Funktioniert die Replikation der Server?

# samba-tool-drs-showrepl

Treten Tracebacks in den Connector und Listener Logs auf?

[code]# less /var/log/univention/connectors4.log

less /var/log/univention/connector-status.log

less /var/log/univention/listener.log[/code]

Haben Sie rejects in der Umgebung?

# univention-s4connector-list-rejected connector/s4/ldap/certificate not set

Wieviele Server und Clients gibt es in der Umgebung? Funktioniert die Replikation der Server?

Ist nur ein UCS-Master und 5 Clients

# samba-tool-drs-showrepl bash: samba-tool-drs-showrepl: Kommando nicht gefunden.

Treten Tracebacks in den Connector und Listener Logs auf?

# less /var/log/univention/connectors4.log /var/log/univention/connectors4.log: Datei oder Verzeichnis nicht gefunden

# less /var/log/univention/connector-status.log /var/log/univention/connector-status.log: Datei oder Verzeichnis nicht gefunden

# less /var/log/univention/listener.log 19.02.17 06:25:19.956 DEBUG_INIT 19.02.17 06:25:19.964 LISTENER ( ERROR ) : failed to connect to any notifier 19.02.17 06:25:19.964 LISTENER ( WARN ) : can not connect any server, retrying in 30 seconds 19.02.17 06:25:49.965 LISTENER ( WARN ) : chosen server: master.isff.see:7389 UNIVENTION_DEBUG_BEGIN : uldap.__open host=master.isff.see port=7389 base=dc=isff,dc=see UNIVENTION_DEBUG_END : uldap.__open host=master.isff.see port=7389 base=dc=isff,dc=see 20.02.17 09:54:04.971 LISTENER ( PROCESS ) : updating 'cn=surfpc03,cn=flur,cn=computers,dc=isff,dc=see' command m 20.02.17 09:56:14.545 LISTENER ( PROCESS ) : updating 'uid=kuh,cn=users,dc=isff,dc=see' command d 20.02.17 09:56:14.572 LISTENER ( PROCESS ) : samba4-idmap: removing entry for S-1-5-21-1964913837-748360579-442910827-1293 20.02.17 09:56:14.602 LISTENER ( PROCESS ) : updating 'cn=Domain Users,cn=groups,dc=isff,dc=see' command m 20.02.17 09:57:18.364 LISTENER ( PROCESS ) : updating 'cn=muh,cn=uid,cn=temporary,cn=univention,dc=isff,dc=see' command a 20.02.17 09:57:18.397 LISTENER ( PROCESS ) : updating 'cn=2199,cn=uidNumber,cn=temporary,cn=univention,dc=isff,dc=see' command a 20.02.17 09:57:18.416 LISTENER ( PROCESS ) : updating 'cn=2199,cn=gidNumber,cn=temporary,cn=univention,dc=isff,dc=see' command a 20.02.17 09:57:18.424 LISTENER ( PROCESS ) : updating 'cn=2199,cn=gidNumber,cn=temporary,cn=univention,dc=isff,dc=see' command d 20.02.17 09:57:18.478 LISTENER ( PROCESS ) : updating 'uid=muh,cn=users,dc=isff,dc=see' command a 20.02.17 09:57:18.512 LISTENER ( PROCESS ) : samba4-idmap: added entry for S-1-4-2199 20.02.17 09:57:18.541 LISTENER ( PROCESS ) : updating 'cn=muh,cn=uid,cn=temporary,cn=univention,dc=isff,dc=see' command d 20.02.17 09:57:18.575 LISTENER ( PROCESS ) : updating 'cn=uidNumber,cn=temporary,cn=univention,dc=isff,dc=see' command m 20.02.17 09:57:18.591 LISTENER ( PROCESS ) : updating 'cn=2199,cn=uidNumber,cn=temporary,cn=univention,dc=isff,dc=see' command d 20.02.17 09:57:18.606 LISTENER ( PROCESS ) : updating 'uid=muh,cn=users,dc=isff,dc=see' command m 20.02.17 09:57:18.622 LISTENER ( PROCESS ) : updating 'uid=muh,cn=users,dc=isff,dc=see' command m 20.02.17 09:57:18.637 LISTENER ( PROCESS ) : updating 'cn=Domain Users,cn=groups,dc=isff,dc=see' command m 20.02.17 09:57:20.611 LISTENER ( PROCESS ) : updating 'cn=S-1-5-21-1964913837-748360579-442910827-1298,cn=sid,cn=temporary,cn=univention,dc=isff,dc=see' command a 20.02.17 09:57:20.641 LISTENER ( PROCESS ) : updating 'uid=muh,cn=users,dc=isff,dc=see' command m 20.02.17 09:57:20.644 LISTENER ( PROCESS ) : samba4-idmap: renaming entry for S-1-4-2199 to S-1-5-21-1964913837-748360579-442910827-1298 20.02.17 09:57:20.746 LISTENER ( PROCESS ) : updating 'cn=S-1-5-21-1964913837-748360579-442910827-1298,cn=sid,cn=temporary,cn=univention,dc=isff,dc=see' command d 20.02.17 10:08:17.377 LISTENER ( WARN ) : received signal 15 20.02.17 10:08:22.513 DEBUG_INIT UNIVENTION_DEBUG_BEGIN : uldap.__open host=master.isff.see port=7389 base=dc=isff,dc=see UNIVENTION_DEBUG_END : uldap.__open host=master.isff.see port=7389 base=dc=isff,dc=see 20.02.17 10:08:25.977 LISTENER ( WARN ) : received signal 15 20.02.17 10:08:36.109 DEBUG_INIT UNIVENTION_DEBUG_BEGIN : uldap.__open host=master.isff.see port=7389 base=dc=isff,dc=see UNIVENTION_DEBUG_END : uldap.__open host=master.isff.see port=7389 base=dc=isff,dc=see

[quote]

# univention-s4connector-list-rejected
connector/s4/ldap/certificate not set

Steht die Variable connector/s4/ldap/ssl auf “yes”?

# ucr search connector/s4/ldap/ssl

Hinweis: Wenn die Variable: “connector/s4/ldap/ssl” auf “yes” steht, aber kein Zertifikatspfad angegeben ist, startet der S4 Connector ggf. nicht. Setzen Sie dann die Variable auf “no” und starten Sie den S4 Connector neu.

[code]# ucr set connector/s4/ldap/ssl=‘no’

/etc/init.d/univention-s4-connector restart[/code]

[quote]Steht die Variable connector/s4/ldap/ssl auf “yes”?

# ucr search connector/s4/ldap/ssl

Hinweis: Wenn die Variable: “connector/s4/ldap/ssl” auf “yes” steht, aber kein Zertifikatspfad angegeben ist, startet der S4 Connector ggf. nicht. Setzen Sie dann die Variable auf “no” und starten Sie den S4 Connector neu.

[code]# ucr set connector/s4/ldap/ssl=‘no’

/etc/init.d/univention-s4-connector restart[/code][/quote]

Ich bin gezwungen diesen Vorgang alle paar Tage zu wiederholen, sonst funktioniert die Anmeldung irgendwann mal nicht mehr.
Funkioniert erst wieder, wenn ich diese Schritte durchführe.

Gibt es einen Weg das Problem endgültig zu lösen?
Das Ganze per Cron-Job ausführen zu lassen wäre noch möglich.
Besser wäre natürlich die Ursache zu finden =/

Ggf. fehlt mir grad eine Information, aber ich habe doch jetzt schon mehrmals den Hinweis gegeben?

connector/s4/ldap/certificate not set

“connector/s4/ldap/ssl” kann nur mit einem gesetzten Zertifikatspfad verwendet werden, andernfalls gibt es Probleme. Wenn kein Zertifikatspfad angegeben ist, muss die Variable auf “no” stehen oder ein Zertifikat angegeben werden.

[quote=“Thorp-Hansen”]Ggf. fehlt mir grad eine Information, aber ich habe doch jetzt schon mehrmals den Hinweis gegeben?

connector/s4/ldap/certificate not set

“connector/s4/ldap/ssl” kann nur mit einem gesetzten Zertifikatspfad verwendet werden, andernfalls gibt es Probleme. Wenn kein Zertifikatspfad angegeben ist, muss die Variable auf “no” stehen oder ein Zertifikat angegeben werden.[/quote]

Das habe ich verstanden, nur weiß ich nicht, wo der SSL-Zertifikat liegt und wie man den Pfad angibt.

Beste Grüße
Morimystes

Dann im einfachsten Fall die Variable auf “No” lassen. Ohne Zertifikat kein SSL, es bringt ja auch nichts, das auf Verdacht “yes” zu setzen. Das Zertifikat wird hier angegeben: “connector/s4/ldap/certificate” also:

# ucr set connector/s4/ldap/certificate="<Zertifikat>"

Siehe auch hier: http://docs.software-univention.de/handbuch-4.1.html#domain:ssl

Wäre es sinnvoll das Handbuch zu UCS unter docs.univention.de mal durchzuarbeiten? Zumindest die Parts für die gerade aktuellen Aufgaben?

Das mache ich auch, stehe leider stark unter Zeitdruck und muss noch viele Aufgaben erledigen, die mit diesem Problem hier nichts zu tun haben.

Für deine Tips bin ich dir unendlich dankbar, es hat mich sehr viel weiter gebracht.

Beste Grüße
Morimystes

War eine Weile weg, versuche jetzt das Zertifikat für “connector/s4/ldap/certificate” zu setzen, Befehl dazu kenne ich dank Herr Hansen:

# ucr set connector/s4/ldap/certificate="<Zertifikat>"

Ich finde nur das Zertifikat selbst nicht, weder wo er liegt, sprich Zertifikatspfad noch wie sein Name ist.
Habe das UCS-Handbuch studiert, eine Menge über SSL und S4-Connector gelesen, aber nichts brauchbares gefunden.
Ich verzweifle langsam :frowning:

Beste Grüße
Morimystes

Habe gerade zuerst

# ucr set connector/s4/ldap/certificate="/etc/univention/ssl/ucsCA/CAcert.pem"

und dann

# ucr set connector/s4/ldap/certificate="/etc/ssl/certs/ca-certificates.crt"

probiert, s4-connector auf ‘yes’ gesetzt und neugestartet.

Danach # univention-s4connector-list-rejected ausgeführt, in beiden Fällen kam das:

# univention-s4connector-list-rejected Traceback (most recent call last): File "/usr/sbin/univention-s4connector-list-rejected", line 162, in <module> main() File "/usr/sbin/univention-s4connector-list-rejected", line 123, in main False File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 802, in __init__ self.open_s4() File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 927, in open_s4 self.lo_s4 = univention.uldap.access(host=self.s4_ldap_host, port=int(self.s4_ldap_port), base=self.s4_ldap_ba, start_tls=tls_mode, ca_certfile=self.s4_ldap_certificate, decode_ignorelist=['objectSid', 'objectGUID', 'repsFroCertificate', 'dNSProperty', 'dnsRecord', 'member'], uri=ldapuri, reconnect=False) File "/usr/lib/pymodules/python2.7/univention/uldap.py", line 150, in __init__ self.__open(ca_certfile) File "/usr/lib/pymodules/python2.7/univention/uldap.py", line 185, in __open self.lo.start_tls_s() File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 571, in start_tls_s return self._ldap_call(self._l.start_tls_s) File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 106, in _ldap_call result = func(*args,**kwargs) ldap.CONNECT_ERROR: {'info': 'TLS: hostname does not match CN in peer certificate', 'desc': 'Connect error'}

In /etc/ssl/certs gibt es noch ssl-cert-snakeoil.pem, ist das vielleicht das Richtige?

Was mache ich falsch, ich habe schon so viel zu dem Thema gelesen, dass mein Kopf platzt, kann sein, dass ich komplettes Blödsinn mache, ich sehe nicht mehr durch.

Für jede Hilfe wäre ich sehr dankbar.

Beste Grüße
Morimystes

Du hast das CA-Zertifikat angegeben. Wenn, mußt du vermutlich das des Hostnamens angeben.

Mastodon