First Last Prev Next    This bug is not in your last search results.
Bug 26841 - S4 Connector reject von dns-qaslave Benutzer wegen fehlender Primary group
S4 Connector reject von dns-qaslave Benutzer wegen fehlender Primary group
Status: CLOSED FIXED
Product: UCS@school
Classification: Unclassified
Component: Samba
UCS@school 3.0
Other Linux
: P5 normal (vote)
: UCS@school 3.0 MS2
Assigned To: Stefan Gohmann
Arvid Requate
:
Depends on:
Blocks: 48534
  Show dependency treegraph
 
Reported: 2012-04-19 13:24 CEST by Arvid Requate
Modified: 2019-02-25 19:59 CET (History)
1 user (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Arvid Requate univentionstaff 2012-04-19 13:24:22 CEST 
Seit der Umstellung von samba domain join auf secondary provision
(Bug 26504 Comment 5) gibt es folgenden Reject im S4 Connector:

15.03.2012 15:52:58,667 LDAP        (PROCESS): sync to ucs: Resync rejected dn: CN=dns-qaslave,CN=Users,DC=arschool3i1,DC=qa
15.03.2012 15:52:58,674 LDAP        (PROCESS): sync to ucs:   [          user] [       add] uid=dns-qaslave,cn=users,dc=arschool3i1,dc=qa
15.03.2012 15:52:58,675 LDAP        (ERROR  ): Unknown Exception during sync_to_ucs
15.03.2012 15:52:58,675 LDAP        (ERROR  ): Traceback (most recent call last):
  File "/usr/lib/pymodules/python2.6/univention/s4connector/__init__.py", line 1277, in sync_to_ucs
    result = self.add_in_ucs(property_type, object, module, position)
  File "/usr/lib/pymodules/python2.6/univention/s4connector/__init__.py", line 1150, in add_in_ucs
    ucs_object.open()
  File "/usr/lib/pymodules/python2.6/univention/admin/handlers/users/user.py", line 1547, in open
    self['primaryGroup']=None
  File "/usr/lib/pymodules/python2.6/univention/admin/handlers/__init__.py", line 214, in __setitem__
    raise univention.admin.uexceptions.valueRequired, _('The property %s is required') % self.descriptions[key].short_description
valueRequired: The property Primary group is required
Comment 1 Stefan Gohmann univentionstaff 2012-04-20 20:16:13 CEST 
Problem ist, dass auf einem UCS@school DC Slave die Gruppe Domain Users per Default nicht vorhanden ist.
Comment 2 Stefan Gohmann univentionstaff 2012-04-20 22:06:09 CEST 
(In reply to comment #1)
> Problem ist, dass auf einem UCS@school DC Slave die Gruppe Domain Users per
> Default nicht vorhanden ist.

Die Gruppe ist vorhanden, allerdings darf die Gruppe vom DC Slave nicht geschrieben werden. Zusätzlich darf der Slave den Benutzer nicht anlegen. Genau wie beim Proxy sollte der Benutzer über den UDM angelegt werden.
Comment 3 Stefan Gohmann univentionstaff 2012-04-20 22:56:32 CEST 
(In reply to comment #2)
> (In reply to comment #1)
> > Problem ist, dass auf einem UCS@school DC Slave die Gruppe Domain Users per
> > Default nicht vorhanden ist.
> 
> Die Gruppe ist vorhanden, allerdings darf die Gruppe vom DC Slave nicht
> geschrieben werden. Zusätzlich darf der Slave den Benutzer nicht anlegen. Genau
> wie beim Proxy sollte der Benutzer über den UDM angelegt werden.

Das ist leider nicht ganz trivial, da das Passwort entsprechend auch in der Keytab vorhanden sein muss. Das müsste dann in der richtigen Reihenfolge bzw. zum richtigen Zeitpunkt durchgeführt werden.

Eine Alternative ist es den Account einfach zu ignorieren. Dafür könnte Bug #20517 umgesetzt werden.
Comment 4 Stefan Gohmann univentionstaff 2012-04-20 23:44:39 CEST 
(In reply to comment #3)
> (In reply to comment #2)
> > (In reply to comment #1)
> > > Problem ist, dass auf einem UCS@school DC Slave die Gruppe Domain Users per
> > > Default nicht vorhanden ist.
> > 
> > Die Gruppe ist vorhanden, allerdings darf die Gruppe vom DC Slave nicht
> > geschrieben werden. Zusätzlich darf der Slave den Benutzer nicht anlegen. Genau
> > wie beim Proxy sollte der Benutzer über den UDM angelegt werden.
> 
> Das ist leider nicht ganz trivial, da das Passwort entsprechend auch in der
> Keytab vorhanden sein muss. Das müsste dann in der richtigen Reihenfolge bzw.
> zum richtigen Zeitpunkt durchgeführt werden.
> 
> Eine Alternative ist es den Account einfach zu ignorieren. Dafür könnte Bug
> #20517 umgesetzt werden.

Das wurde jetzt über Bug #26861 umgesetzt. Ein zusätzlicher Changelog Eintrag ist nicht notwendig.
Comment 5 Arvid Requate univentionstaff 2012-05-23 11:44:14 CEST 
Verified:
 * Der Account wird im Joinscript von ucs-school-slave an die connector/s4/mapping/user/ignorelist angehängt.
 * Der Account wird nicht in den UCS Verzeichnisdienst synchronisiert.
 * Eine negative Folge daraus könnte Bug #27212 sein, hier wird das Verhalten weiter beobachtet.
Comment 6 Stefan Gohmann univentionstaff 2012-06-11 06:30:10 CEST 
UCS@school 3.0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer  neueren Version von UCS@school erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"
First Last Prev Next    This bug is not in your last search results.