First Last Prev Next    This bug is not in your last search results.
Bug 27915 - iTalc-Key nicht in Sysvol-Freigabe vorhanden
iTalc-Key nicht in Sysvol-Freigabe vorhanden
Status: CLOSED FIXED
Product: UCS@school
Classification: Unclassified
Component: iTALC
UCS@school 3.0
Other Linux
: P5 normal (vote)
: UCS@school 3.0-errata
Assigned To: Felix Botner
Arvid Requate
:
: 27299 27519 27630 (view as bug list)
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2012-07-13 12:17 CEST by Jan Christoph Ebersbach
Modified: 2012-11-09 15:50 CET (History)
5 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Jan Christoph Ebersbach univentionstaff 2012-07-13 12:17:43 CEST 
Auf einer frisch installierten UCS@school-Singlemaster war der iTalc-Schlüssel
ist nicht wie im Handbuch beschrieben auf der Sysvol-Freigabe zu finden. Inhalt
von Sysvol:

/var/lib/samba/sysvol
/var/lib/samba/sysvol/schule.lan
/var/lib/samba/sysvol/schule.lan/Policies
/var/lib/samba/sysvol/schule.lan/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}
/var/lib/samba/sysvol/schule.lan/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/GPT.INI
/var/lib/samba/sysvol/schule.lan/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE
/var/lib/samba/sysvol/schule.lan/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/USER
/var/lib/samba/sysvol/schule.lan/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F9}
/var/lib/samba/sysvol/schule.lan/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F9}/GPT.INI
/var/lib/samba/sysvol/schule.lan/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F9}/MACHINE
/var/lib/samba/sysvol/schule.lan/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F9}/USER
/var/lib/samba/sysvol/schule.lan/scripts
/var/lib/samba/sysvol/schule.lan/scripts/user
/var/lib/samba/sysvol/schule.lan/scripts/user/krbtgt.vbs
/var/lib/samba/sysvol/schule.lan/scripts/user/join-slave.vbs
/var/lib/samba/sysvol/schule.lan/scripts/user/join-backup.vbs
/var/lib/samba/sysvol/schule.lan/scripts/user/Administrator.vbs
/var/lib/samba/sysvol/schule.lan/scripts/user/e.kurbel.vbs
/var/lib/samba/sysvol/schule.lan/scripts/user/Guest.vbs
/var/lib/samba/sysvol/schule.lan/scripts/user/dns-ucsmaster.vbs
/var/lib/samba/sysvol/schule.lan/scripts/user/h.meier.vbs
/var/lib/samba/sysvol/schule.lan/scripts/user/http-proxy-ucsmaster.vbs
Comment 1 Alexander Kläser univentionstaff 2012-07-23 16:38:53 CEST 
Nachvollziehbar auf einem 3.0-1er System. Das Problem scheint zu sein, dass das Paket italc-client, welches das Join-Skript /usr/lib/univention-install/99ucsschool-italc-key.inst mitbringt, vor Samba eingerichtet wird. Und wenn Samba nicht installiert ist, wird der Public-Key nicht dorthin kopiert. Hier die entsprechende Stelle aus 99ucsschool-italc-key.inst:
====================
> ...
> PUBLIC_KEY='/etc/italc/keys/public/teacher/key'
> ...
> REALM="$(univention-config-registry get kerberos/realm | tr '[:upper:]' '[:lower:]')"
> TARGET="/var/lib/samba/sysvol/$REALM/scripts/italc-key.pub"
> if [ -d "$(dirname "$TARGET")" ]
> then
>         cp -fa "$PUBLIC_KEY" "$TARGET"
> fi
===============

Workaround: Den Schlüssel noch einmal kopieren (quasi diese Zeilen, die oben stehen) oder das Join-Skript noch einmal ausführen:

> sed -i '/ucsschool-italc-key/d' /var/univention-join/status; univention-run-join-scripts

Vielleicht sollte für italc ein entsprechende Dependency eingeführt werden, so dass dies funktioniert
Comment 2 Alexander Kläser univentionstaff 2012-07-24 17:08:54 CEST 
Dieser Bug kann zusammen mit Bug 27299 behoben werden.
Comment 3 Felix Botner univentionstaff 2012-07-25 10:51:23 CEST 
*** Bug 27630 has been marked as a duplicate of this bug. ***
Comment 4 Felix Botner univentionstaff 2012-07-25 10:51:51 CEST 
*** Bug 27519 has been marked as a duplicate of this bug. ***
Comment 5 Felix Botner univentionstaff 2012-07-25 10:56:25 CEST 
Das join Script aus italc-client (italc) wurde entsprechend angepasst. Die Samba Verzeichnisse werden nun, falls nicht vorhanden, angelegt und die Schlüssel kopiert. 

bug #27299
> Derzeit wird der öffentliche Schlüssel als .pub Datei im Netlogon Share
> abgelegt. Wenn der Key per iTalc importiert wird, so erwartet iTalc die Datei
> mit der Endung .key.txt.

Die wurde auch gleich in diesem Errata Update gefixt. Es wird nun ein Link *.key.txt auf die Schlüssel erzeugt.

Yaml Datei erstellt - 2012-07-25-italc.yaml
Gebaut in ucsschool-errata mit Patch
Änderungen eingecheckt in branches/ucs-3.0/ucs-school/italc
Comment 6 Felix Botner univentionstaff 2012-07-25 10:57:00 CEST 
*** Bug 27299 has been marked as a duplicate of this bug. ***
Comment 7 Felix Botner univentionstaff 2012-07-25 11:30:40 CEST 
Bitte nochmal prüfen, ob /var/lib/samba/sysvol/ am Ende die richtigen Permissions hat. Auf einem singlemaster wird /var/lib/samba/sysvol/... ja nun durch das itacl Join Skript angelegt. Erst später kommt das Samba4 Join Skript und legt dieses Verzeichnis auch an und setzt Berechtigungen. In meinen Tests hat das funktioniert. Ich habe mkdir -p /var/lib/samba/sysvol/$REALM/scripts vor der Installation von univention-samba4 angelegt. Nachdem univention-samba4 installiert war, sehen die Permissions so aus:

-> getfacl /var/lib/samba/sysvol/
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: var/lib/samba/sysvol/
# owner: root
# group: adm
user::rwx
group::r-x
group:Authenticated\040Users:r-x
mask::r-x
other::r-x
default:user::rwx
default:group::r-x
default:group:Authenticated\040Users:r-x
default:mask::r-x
default:other::r-x
Comment 8 Arvid Requate univentionstaff 2012-07-30 20:43:26 CEST 
Verified:
 * ucs3.0-2 Master ohne samba installiert
 * usc-school-singlemaster installiert
 * Verzeichnisse werden angelegt
 * Funktioniert:  smbclient //localhost/netlogon -c 'get italc-key.pub.key.txt' \
                          -UAdministrator%univention
 * uscschool-errata Advisory OK.
Comment 9 Janek Walkenhorst univentionstaff 2012-11-09 15:50:43 CET 
http://errata.univention.de/ucsschool-errata8.html
First Last Prev Next    This bug is not in your last search results.