Bug 20261 - Link in /var/lib/samba/netlogon/italc/ verhindert Zugriff
Link in /var/lib/samba/netlogon/italc/ verhindert Zugriff
Status: CLOSED FIXED
Product: UCS@school
Classification: Unclassified
Component: General
UCS@school for UCS 2.4
Other Linux
: P5 normal (vote)
: UCS@school 3.0 MS1
Assigned To: Janek Walkenhorst
Felix Botner
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2010-10-05 15:43 CEST by Janek Walkenhorst
Modified: 2012-06-11 06:29 CEST (History)
4 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Janek Walkenhorst univentionstaff 2010-10-05 15:43:53 CEST
Es gibt den Link:
/var/lib/samba/netlogon/italc/italc-key.pub -> /etc/italc/keys/public/teacher/key
Auf die Datei kann man jedoch nicht von Windows aus zugreifen ("Zugriff verweigert")
Wenn man die Zieldatei in den Ordner kopiert, ist der Zugriff möglich.
Comment 1 Sönke Schwardt-Krummrich univentionstaff 2010-10-05 16:14:36 CEST
Aufgetreten auf UCS@school für UCS2.4
In der Admin-Dokumentation wird /etc/italc/keys/public/teacher/key als Quelle für den iTALC-Key genannt.
Comment 2 Sönke Schwardt-Krummrich univentionstaff 2011-05-25 15:18:30 CEST
Beim Kunden aufgetreten. Dem Kunden wurde empfohlen, den Symlink zu entfernen und stattdessen dort den Public-Key abzulegen. Das sollte während des Paketupdates beachtet werden (nur entfernen, wenn Symlink).
Comment 3 Tobias Scherer univentionstaff 2011-07-27 09:30:36 CEST
Erneut berichtet an Ticket#: 2011072610001872 im  Forum http://forum.univention.de/viewtopic.php?f=44&t=1532&p=5199
Comment 4 Tobias Scherer univentionstaff 2011-07-27 09:31:54 CEST
(In reply to comment #3)
> Erneut berichtet an Ticket#: 2011072610001872 im  Forum
> http://forum.univention.de/viewtopic.php?f=44&t=1532&p=5199

Fasches Ticket, falscher Link. Korrekt ist
Ticket#: 2011072610001916
http://forum.univention.de/viewtopic.php?f=44&t=1533
Comment 5 Jan Christoph Ebersbach univentionstaff 2011-10-05 15:42:09 CEST
Der Fehler wird durch die Samba-Option "wide links = no" verursacht. Als Workaround sollte ein Hardlink erzeugt werden.
Comment 6 Sönke Schwardt-Krummrich univentionstaff 2012-01-17 12:25:54 CET
Da der iTALC-Key nur einmalig erzeugt wird, würde ich das Kopieren der entsprechenden Datei vorziehen. Das verhindert auch Probleme mit dem Hardlink, falls /var auf einer eigenständigen Partition liegen sollte.
Comment 7 Janek Walkenhorst univentionstaff 2012-01-20 12:06:56 CET
Es wird jetzt im Joinskript 80ucsschool-italc-key.inst des Paketes italc-client das Schlüsselpaar erzeugt und nach
 /var/lib/samba/netlogon/italc/italc-key.pub
sowie
 /var/lib/samba/sysvol/…/scripts/italc-key.pub
kopiert. ("…" == der Wert der UCRV kerberos/realm)

italc (1:2.0.1-1)
Comment 8 Sönke Schwardt-Krummrich univentionstaff 2012-02-10 12:19:51 CET
Bitte bei der QA prüfen, ob das Joinskript im Paket vorhanden ist und während der Installation auf dem Master ausgeführt wird.

italc (1:2.0.1-2) unstable; urgency=low
Comment 9 Felix Botner univentionstaff 2012-03-12 14:26:28 CET
Das join Script wird zwar ausgeführt, jedoch kommt "ica" nicht mit der Option "-createkeypair" zurecht. 

...
italc teacher key pair is missing... creating new key pair...
Sa. Mrz 3 11:59:16 2012: [INFO] Startup for user "root" with arguments ("/usr/bin/ica", "-role", "teacher", "-createkeypair")
Sa. Mrz 3 11:59:16 2012: [WARN] Unrecognized commandline argument "-createkeypair"
Sa. Mrz 3 11:59:16 2012: [INFO] Shutdown
cp: Aufruf von stat für „/etc/italc/keys/public/teacher/key“ nicht möglich: Datei oder Verzeichnis nicht gefunden
libqt4-script (4:4.6.3-4.43.201107140905) wird eingerichtet ...
libqt4-designer (4:4.6.3-4.43.201107140905) wird eingerichtet ...
...

-> /usr/bin/ica -role teacher -createkeypair
Sa. Mrz 3 12:04:04 2012: [INFO] Startup for user "root" with arguments ("/usr/bin/ica", "-role", "teacher", "-createkeypair")
Sa. Mrz 3 12:04:04 2012: [WARN] Unrecognized commandline argument "-createkeypair"
Sa. Mrz 3 12:04:04 2012: [INFO] Shutdown

Das ist ein UCS 3.0-1 Master. An ucs@school Paketen ist nur folgendes installiert:
ucs-school-import
ucs-school-import-schema
italc-client
libitalc
Comment 10 Sönke Schwardt-Krummrich univentionstaff 2012-03-13 15:33:59 CET
(In reply to comment #9)
> Das join Script wird zwar ausgeführt, jedoch kommt "ica" nicht mit der Option
> "-createkeypair" zurecht. 

Siehe auch Bug 25689#c3
Comment 11 Janek Walkenhorst univentionstaff 2012-03-14 15:08:09 CET
(In reply to comment #10)
> (In reply to comment #9)
> > Das join Script wird zwar ausgeführt, jedoch kommt "ica" nicht mit der Option
> > "-createkeypair" zurecht. 
> 
> Siehe auch Bug 25689#c3

Das Keypair wird jetzt mit imc installiert.
Dafür wurde eine Abhängigkeit von italc-client auf italc-management-console hinzugefügt.
Comment 12 Felix Botner univentionstaff 2012-03-14 17:23:00 CET
Bitte nochmal dafür sorgen, dass das Join Script erst nach dem Samba4 Join Script ausgeführt wird, sonst gibt es möglicherweise das netlogon Verzeichnis nicht.
Comment 13 Janek Walkenhorst univentionstaff 2012-03-14 17:33:35 CET
(In reply to comment #12)
> Bitte nochmal dafür sorgen, dass das Join Script erst nach dem Samba4 Join
> Script ausgeführt wird, sonst gibt es möglicherweise das netlogon Verzeichnis
> nicht.
Wurde auf Position 99 verschoben
italc (1:2.0.3-1)
Comment 14 Felix Botner univentionstaff 2012-03-15 10:11:16 CET
OK, funktioniert, aber Changelog Eintrag fehlt.
Comment 15 Janek Walkenhorst univentionstaff 2012-03-21 17:12:51 CET
Changelog angepasst
Comment 16 Felix Botner univentionstaff 2012-03-22 11:29:12 CET
(In reply to comment #15)
> Changelog angepasst

OK
Comment 17 Felix Botner univentionstaff 2012-05-25 14:47:51 CEST
In einer Samba 3 Umgebung wird noch kein Schlüssel abgelegt.

Im Join script wird geschaut, ob es "/var/lib/samba/netlogon/italc/" gibt und dann der Schlüssel dorthin kopiert. Bei mir gibt es dieses Verzeichnis aber nicht und damit auch keinen Schlüssel im netlogon Verzeichnis (samba4 sysvol hat geklappt).
Comment 18 Janek Walkenhorst univentionstaff 2012-05-25 16:56:16 CEST
(In reply to comment #17)
> In einer Samba 3 Umgebung wird noch kein Schlüssel abgelegt.
> 
> Im Join script wird geschaut, ob es "/var/lib/samba/netlogon/italc/" gibt und
> dann der Schlüssel dorthin kopiert. Bei mir gibt es dieses Verzeichnis aber
> nicht und damit auch keinen Schlüssel im netlogon Verzeichnis (samba4 sysvol
> hat geklappt).
Das italc-Verzeichnis wird jetzt angelegt, wenn es fehlt.
italc (1:2.0.7-1)
Comment 19 Felix Botner univentionstaff 2012-05-29 11:16:16 CEST
OK
Comment 20 Stefan Gohmann univentionstaff 2012-06-11 06:29:37 CEST
UCS@school 3.0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer  neueren Version von UCS@school erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"