Univention Bugzilla – Bug 19128
UCS 2.4-0 Slave fehlerhafter Join gegen 2.4-0 Master
Last modified: 2010-08-31 13:23:14 CEST
Created attachment 2528 [details] join.log Beim versuchten Join eines 2.4-0 Slave schlägt 24univention-samba.inst fehl. Da die join.log noch einige weitere Fehler zu offenbaren scheint, hänge ich sie komplett an.
Für den Slave PDC wird nun temporär der Join-User als Samba Benutzer für das passdb Backend gesetzt. Damit funktioniert es. Das deckt allerdings noch nicht den Fall ab, wenn später ein weiterer DC-Slave versucht zu joinen. In diesem Fall müsste der Slave-PDC die entsprechende Berechtigung haben, siehe auch Bug #11336
Überlegung ist jetzt folgendes: - Erweiterung der computers-UDM-Module (DC's + Memberserver) um die Option samba - Im Samba Join-Skript wird die Option für den Rechner gesetzt - Speicherung des Passworts für den Maschinen Account: echo foo| net -f -i changesecretpw - Wenn das Passwort automatisch geändert wird, dann müsste das neue Passwort entsprechend gespeichert werden
(In reply to comment #2) > Überlegung ist jetzt folgendes: > > - Erweiterung der computers-UDM-Module (DC's + Memberserver) um die Option > samba Die Module wurden jetzt um die Samba-Option erweitert. Allerdings wird dort nicht das Passwort gesetzt. Das Passwort muss über den "net rpc join"-Befehl gesetzt werden, da der changesecretpw dafür nicht geeignet ist. Es gab noch die Überlegung dem "net rpc join" das neue Passwort mitzugeben, allerdings wäre das dann spätestens auf dem Memberserver beim automatischen Ändern des Passworts schief gegangen, da der Memberserver keinen Account zum Joinen hat. \item In den Computer"=Modulen (\ucsName{domaincontroller\_master}, \ucsName{domaincontroller\_backup}, \ucsName{domaincontroller\_slave} und \ucsName{memberserver}) kann ab sofort die Samba"=Option auf dem Optionen"=Reiter aktiviert werden (\ucsBug{19128}).
Verified: * Die UDM-Option samba steht jetzt zusätzlich zu windows Clients auch an den Serverrollen zur Verfügung, nicht aber an anderen Systemrollen. * Changelog ok * UDM-web und -cli Tests erfolgreich: * Samba-Joinskript läuft auf einem UCS 2.4 Slave erfolgreich durch, testjoin auf Slave ist danach erfolgreich. Wenn man an einem Samba-gejointen Master z.B. per UDM-web die Samba-Option wieder entfernt, werden folgende Felder im LDAP entfernt und testjoin schlägt dann wieder fehl: < objectClass: sambaSamAccount < sambaSID: S-1-5-21-506493462-296373351-3408005049-5002 < displayName: qamaster < sambaLMPassword: 3DE5B96EDD10A379AD72BD8738060FA7 < sambaNTPassword: 488B2B2349CC86D0013A8C8E010DBAB3 < sambaPwdLastSet: 1281437394 < sambaAcctFlags: [S ] Wenn man danach wieder die option setzt: shell:~# udm computers/domaincontroller_master modify \ --dn cn=qamaster,cn=dc,cn=computers,dc=ucs24,dc=qa --append-option samba werden folgende Attribute im LDAP hinzugefügt: > objectClass: sambaSamAccount > sambaSID: S-1-5-21-506493462-296373351-3408005049-5002 > sambaAcctFlags: [S ] > displayName: qamaster Ein erneuter Samba-Join setzt auch wieder ein neues (random) Passwort: root@qamaster:~# net rpc join -Ujoin-backup%$(</etc/backup-join.secret) > sambaLMPassword: BDDCAD8EA815069BDDFEFB0AC5107C59 > sambaNTPassword: 68BC4B0B027433E0F2921E18AD73D736 > sambaPwdLastSet: 1281437752 Ein initiales "net rpc join" eines DC Master ohne samba option vergibt eine andere SID, aber das scheint ok zu sein: > sambaSID: S-1-5-21-506493462-296373351-3408005049-1002
UCS 2.4 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".