Univention Bugzilla – Bug 27264
objectSid von Gruppen wird wiederholt von UCS nach S4 geschrieben
Last modified: 2014-03-19 17:43:16 CET
Wenn man connector/debug/level=4 vor dem Joinen in OU=SITE1 setzt, dann sieht man z.B. auf einem UCS@School 3.0 Slave: 1. Nach dem initialen Anlegen der Schul-OU per "create_ou SITE1 slave": ============================================================================== 16.04.2012 22:14:20,157 LDAP (PROCESS): sync from ucs: [ group] [ add] cn=OUsite1-DC-Edukativnetz,cn=ucsschool,cn=groups,dc=arucs3s4x1,dc=qa 16.04.2012 22:14:20,158 LDAP (INFO ): sync_from_ucs: add object: cn=OUsite1-DC-Edukativnetz,cn=ucsschool,cn=groups,dc=arucs3s4x1,dc=qa 16.04.2012 22:14:20,159 LDAP (INFO ): addlist: [('objectClass', ['top', 'group']), ('objectSid', ['\x01\x05\x00\x00\x00\x00\x00\x05\x15\x00\x00\x00{!,\x03>E\xd2\xb7\xa0\x15\xa6\xa2O+\x00\x00']), ('sAMAccountName', ['OUsite1-DC-Edukativnetz']) ============================================================================== und ein wenig später: ============================================================================== 16.04.2012 22:14:40,839 LDAP (PROCESS): sync from ucs: [ group] [ add] cn=ousite1-dc-edukativnetz,cn=ucsschool,cn=groups,dc=arucs3s4x1,dc=qa 16.04.2012 22:14:40,843 LDAP (INFO ): get_object: got object: CN=OUsite1-DC-Edukativnetz,CN=ucsschool,CN=Groups,DC=arucs3s4x1,DC=qa 16.04.2012 22:14:40,843 LDAP (INFO ): encode_s4_object: attrib objectGUID ignored during encoding 16.04.2012 22:14:40,843 LDAP (INFO ): sync_from_ucs: modify object: cn=ousite1-dc-edukativnetz,cn=ucsschool,cn=groups,dc=arucs3s4x1,dc=qa 16.04.2012 22:14:40,844 LDAP (INFO ): sync_from_ucs: modlist: [(2, 'objectSid', ['\x01\x05\x00\x00\x00\x00\x00\x05\x15\x00\x00\x00{!,\x03>E\xd2\xb7\xa0\x15\xa6\xa2O+\x00\x00'])] ============================================================================== Hier ist die objectSid eigentlich unverändert und ein modify nicht notwendig. 2. Dann folgt eine modify-Meldung, der anscheinend keine modlist-Operation folgt: ============================================================================== 16.04.2012 22:15:11,25 LDAP (PROCESS): sync to ucs: [ group] [ modify] cn=ousite1-dc-edukativnetz,cn=ucsschool,cn=groups,dc=arucs3s4x1,dc=qa ============================================================================== 3. Dann wurde zum Test per UDM eine Klasse in OU=SITE1 angelegt und ein Schüler mit dieser Klasse angelegt. Daraufhin sieht man im connector-s4.log: ============================================================================== 17.04.2012 02:31:50,801 LDAP (PROCESS): sync from ucs: [ group] [ modify] cn=ousite1-dc-edukativnetz,cn=ucsschool,cn=groups,dc=arucs3s4x1,dc=qa 17.04.2012 02:31:50,802 LDAP (INFO ): get_object: got object: CN=OUsite1-DC-Edukativnetz,CN=ucsschool,CN=Groups,DC=arucs3s4x1,DC=qa 17.04.2012 02:31:50,802 LDAP (INFO ): encode_s4_object: attrib objectGUID ignored during encoding 17.04.2012 02:31:50,803 LDAP (INFO ): sync_from_ucs: modify object: cn=ousite1-dc-edukativnetz,cn=ucsschool,cn=groups,dc=arucs3s4x1,dc=qa 17.04.2012 02:31:50,803 LDAP (INFO ): sync_from_ucs: modlist: [(2, 'objectSid', ['\x01\x05\x00\x00\x00\x00\x00\x05\x15\x00\x00\x00{!,\x03>E\xd2\xb7\xa0\x15\xa6\xa2O+\x00\x00'])] ============================================================================== Auch hier ist die objectSid eigentlich unverändert und ein modify nicht notwendig. +++ This bug was initially created as a clone of Bug #26971 +++
Note: Die Verwendung des provision Controls wird im aktuellen Code deaktiviert, wenn zusätzlich zum Default connector/s4/mapping/sid == true manuell connector/s4/mapping/sid_to_s4 = false gesetzt wird. Dann sieht man einen UNWILLING_TO_PERFORM Traceback pro modify, wohingegen die add-Operationen mit objectSid auch ohne das Control korrekt funktionieren.
Created attachment 4388 [details] connector-s4.log von UCS@School 3.0 Samba 4 DC Slave Join und anschliessendem Anlegen von Klasse 1A und testschueler1 Unter anderem sieht man nach dem initialen sync_from_ucs: modify object: CN=SLAVE,ou=domain controllers,dc=arucs3s4x1,dc=qa auch einen zweiten Modify auf objectSid für die lowercase-Variante: sync_from_ucs: modify object: cn=slave,ou=domain controllers,dc=arucs3s4x1,dc=qa
Das sollten wir mit einem normalen UCS Update beheben.
*** This bug has been marked as a duplicate of bug 32322 ***