Univention Bugzilla – Bug 20261
Link in /var/lib/samba/netlogon/italc/ verhindert Zugriff
Last modified: 2012-06-11 06:29:37 CEST
Es gibt den Link: /var/lib/samba/netlogon/italc/italc-key.pub -> /etc/italc/keys/public/teacher/key Auf die Datei kann man jedoch nicht von Windows aus zugreifen ("Zugriff verweigert") Wenn man die Zieldatei in den Ordner kopiert, ist der Zugriff möglich.
Aufgetreten auf UCS@school für UCS2.4 In der Admin-Dokumentation wird /etc/italc/keys/public/teacher/key als Quelle für den iTALC-Key genannt.
Beim Kunden aufgetreten. Dem Kunden wurde empfohlen, den Symlink zu entfernen und stattdessen dort den Public-Key abzulegen. Das sollte während des Paketupdates beachtet werden (nur entfernen, wenn Symlink).
Erneut berichtet an Ticket#: 2011072610001872 im Forum http://forum.univention.de/viewtopic.php?f=44&t=1532&p=5199
(In reply to comment #3) > Erneut berichtet an Ticket#: 2011072610001872 im Forum > http://forum.univention.de/viewtopic.php?f=44&t=1532&p=5199 Fasches Ticket, falscher Link. Korrekt ist Ticket#: 2011072610001916 http://forum.univention.de/viewtopic.php?f=44&t=1533
Der Fehler wird durch die Samba-Option "wide links = no" verursacht. Als Workaround sollte ein Hardlink erzeugt werden.
Da der iTALC-Key nur einmalig erzeugt wird, würde ich das Kopieren der entsprechenden Datei vorziehen. Das verhindert auch Probleme mit dem Hardlink, falls /var auf einer eigenständigen Partition liegen sollte.
Es wird jetzt im Joinskript 80ucsschool-italc-key.inst des Paketes italc-client das Schlüsselpaar erzeugt und nach /var/lib/samba/netlogon/italc/italc-key.pub sowie /var/lib/samba/sysvol/…/scripts/italc-key.pub kopiert. ("…" == der Wert der UCRV kerberos/realm) italc (1:2.0.1-1)
Bitte bei der QA prüfen, ob das Joinskript im Paket vorhanden ist und während der Installation auf dem Master ausgeführt wird. italc (1:2.0.1-2) unstable; urgency=low
Das join Script wird zwar ausgeführt, jedoch kommt "ica" nicht mit der Option "-createkeypair" zurecht. ... italc teacher key pair is missing... creating new key pair... Sa. Mrz 3 11:59:16 2012: [INFO] Startup for user "root" with arguments ("/usr/bin/ica", "-role", "teacher", "-createkeypair") Sa. Mrz 3 11:59:16 2012: [WARN] Unrecognized commandline argument "-createkeypair" Sa. Mrz 3 11:59:16 2012: [INFO] Shutdown cp: Aufruf von stat für „/etc/italc/keys/public/teacher/key“ nicht möglich: Datei oder Verzeichnis nicht gefunden libqt4-script (4:4.6.3-4.43.201107140905) wird eingerichtet ... libqt4-designer (4:4.6.3-4.43.201107140905) wird eingerichtet ... ... -> /usr/bin/ica -role teacher -createkeypair Sa. Mrz 3 12:04:04 2012: [INFO] Startup for user "root" with arguments ("/usr/bin/ica", "-role", "teacher", "-createkeypair") Sa. Mrz 3 12:04:04 2012: [WARN] Unrecognized commandline argument "-createkeypair" Sa. Mrz 3 12:04:04 2012: [INFO] Shutdown Das ist ein UCS 3.0-1 Master. An ucs@school Paketen ist nur folgendes installiert: ucs-school-import ucs-school-import-schema italc-client libitalc
(In reply to comment #9) > Das join Script wird zwar ausgeführt, jedoch kommt "ica" nicht mit der Option > "-createkeypair" zurecht. Siehe auch Bug 25689#c3
(In reply to comment #10) > (In reply to comment #9) > > Das join Script wird zwar ausgeführt, jedoch kommt "ica" nicht mit der Option > > "-createkeypair" zurecht. > > Siehe auch Bug 25689#c3 Das Keypair wird jetzt mit imc installiert. Dafür wurde eine Abhängigkeit von italc-client auf italc-management-console hinzugefügt.
Bitte nochmal dafür sorgen, dass das Join Script erst nach dem Samba4 Join Script ausgeführt wird, sonst gibt es möglicherweise das netlogon Verzeichnis nicht.
(In reply to comment #12) > Bitte nochmal dafür sorgen, dass das Join Script erst nach dem Samba4 Join > Script ausgeführt wird, sonst gibt es möglicherweise das netlogon Verzeichnis > nicht. Wurde auf Position 99 verschoben italc (1:2.0.3-1)
OK, funktioniert, aber Changelog Eintrag fehlt.
Changelog angepasst
(In reply to comment #15) > Changelog angepasst OK
In einer Samba 3 Umgebung wird noch kein Schlüssel abgelegt. Im Join script wird geschaut, ob es "/var/lib/samba/netlogon/italc/" gibt und dann der Schlüssel dorthin kopiert. Bei mir gibt es dieses Verzeichnis aber nicht und damit auch keinen Schlüssel im netlogon Verzeichnis (samba4 sysvol hat geklappt).
(In reply to comment #17) > In einer Samba 3 Umgebung wird noch kein Schlüssel abgelegt. > > Im Join script wird geschaut, ob es "/var/lib/samba/netlogon/italc/" gibt und > dann der Schlüssel dorthin kopiert. Bei mir gibt es dieses Verzeichnis aber > nicht und damit auch keinen Schlüssel im netlogon Verzeichnis (samba4 sysvol > hat geklappt). Das italc-Verzeichnis wird jetzt angelegt, wenn es fehlt. italc (1:2.0.7-1)
OK
UCS@school 3.0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS@school erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"