Univention Bugzilla – Bug 26841
S4 Connector reject von dns-qaslave Benutzer wegen fehlender Primary group
Last modified: 2019-02-25 19:59:56 CET
Seit der Umstellung von samba domain join auf secondary provision (Bug 26504 Comment 5) gibt es folgenden Reject im S4 Connector: 15.03.2012 15:52:58,667 LDAP (PROCESS): sync to ucs: Resync rejected dn: CN=dns-qaslave,CN=Users,DC=arschool3i1,DC=qa 15.03.2012 15:52:58,674 LDAP (PROCESS): sync to ucs: [ user] [ add] uid=dns-qaslave,cn=users,dc=arschool3i1,dc=qa 15.03.2012 15:52:58,675 LDAP (ERROR ): Unknown Exception during sync_to_ucs 15.03.2012 15:52:58,675 LDAP (ERROR ): Traceback (most recent call last): File "/usr/lib/pymodules/python2.6/univention/s4connector/__init__.py", line 1277, in sync_to_ucs result = self.add_in_ucs(property_type, object, module, position) File "/usr/lib/pymodules/python2.6/univention/s4connector/__init__.py", line 1150, in add_in_ucs ucs_object.open() File "/usr/lib/pymodules/python2.6/univention/admin/handlers/users/user.py", line 1547, in open self['primaryGroup']=None File "/usr/lib/pymodules/python2.6/univention/admin/handlers/__init__.py", line 214, in __setitem__ raise univention.admin.uexceptions.valueRequired, _('The property %s is required') % self.descriptions[key].short_description valueRequired: The property Primary group is required
Problem ist, dass auf einem UCS@school DC Slave die Gruppe Domain Users per Default nicht vorhanden ist.
(In reply to comment #1) > Problem ist, dass auf einem UCS@school DC Slave die Gruppe Domain Users per > Default nicht vorhanden ist. Die Gruppe ist vorhanden, allerdings darf die Gruppe vom DC Slave nicht geschrieben werden. Zusätzlich darf der Slave den Benutzer nicht anlegen. Genau wie beim Proxy sollte der Benutzer über den UDM angelegt werden.
(In reply to comment #2) > (In reply to comment #1) > > Problem ist, dass auf einem UCS@school DC Slave die Gruppe Domain Users per > > Default nicht vorhanden ist. > > Die Gruppe ist vorhanden, allerdings darf die Gruppe vom DC Slave nicht > geschrieben werden. Zusätzlich darf der Slave den Benutzer nicht anlegen. Genau > wie beim Proxy sollte der Benutzer über den UDM angelegt werden. Das ist leider nicht ganz trivial, da das Passwort entsprechend auch in der Keytab vorhanden sein muss. Das müsste dann in der richtigen Reihenfolge bzw. zum richtigen Zeitpunkt durchgeführt werden. Eine Alternative ist es den Account einfach zu ignorieren. Dafür könnte Bug #20517 umgesetzt werden.
(In reply to comment #3) > (In reply to comment #2) > > (In reply to comment #1) > > > Problem ist, dass auf einem UCS@school DC Slave die Gruppe Domain Users per > > > Default nicht vorhanden ist. > > > > Die Gruppe ist vorhanden, allerdings darf die Gruppe vom DC Slave nicht > > geschrieben werden. Zusätzlich darf der Slave den Benutzer nicht anlegen. Genau > > wie beim Proxy sollte der Benutzer über den UDM angelegt werden. > > Das ist leider nicht ganz trivial, da das Passwort entsprechend auch in der > Keytab vorhanden sein muss. Das müsste dann in der richtigen Reihenfolge bzw. > zum richtigen Zeitpunkt durchgeführt werden. > > Eine Alternative ist es den Account einfach zu ignorieren. Dafür könnte Bug > #20517 umgesetzt werden. Das wurde jetzt über Bug #26861 umgesetzt. Ein zusätzlicher Changelog Eintrag ist nicht notwendig.
Verified: * Der Account wird im Joinscript von ucs-school-slave an die connector/s4/mapping/user/ignorelist angehängt. * Der Account wird nicht in den UCS Verzeichnisdienst synchronisiert. * Eine negative Folge daraus könnte Bug #27212 sein, hier wird das Verhalten weiter beobachtet.
UCS@school 3.0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS@school erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"