Univention Bugzilla – Bug 28029
Join eines UCC
Last modified: 2013-03-26 09:14:41 CET
Für UCC muss es eine Art univention-join geben, so dass ein UCC der Domäne beitreten kann.
Es gibt jetzt ein neues Source-Paket univention-ucc-join, das mit dem Befehl univention-join einen Domänenbeitritt ermöglicht. Auf UCS-Seite muss wg. nötiger Anpassungen an univention-server-join und univention-ssl eine aktuelle Version von 3.1 installiert sein. Vor dem Join muss nameserver1 auf einen Nameserver der UCS-Domäne gesetzt werden. Es wird ein Rechnerkonto angelegt, das SSL-Zertifikat heruntergeladen, /etc/machine.secret erstellt und die folgenden UCR-Variablen gesetzt: kerberos/realm ldap/server/name ldap/server/port ldap/master ldap/master/port kerberos/adminserver Am Ende des Joins wird "auth-client-config -t nss -p lac_ldap" aufgerufen. Aktuell wird der Rechnername und der Domänenname noch explizit abgefragt, das erfolgt durch Bug 28090 später automatisch.
Auf meinem Testsystem funktioniert das noch nicht: root@ucc:~# univention-join Insert hostname of client: ucc Insert domain name of client: deadlock70.local Insert DC Master Account : Administrator Insert DC Master Password: Search DC Master: done Check DC Master: done Search ldap/base done Search LDAP binddn done Sync time done Join Computer Account: done Check TLS connection done Download host certificate root@ucc:~# root@ucc:~# cat /var/log/univention/join.log Setting hostname Multifile: /etc/hosts File: /etc/hostname File: /etc/ldap.conf Setting domainname Multifile: /etc/hosts File: /etc/resolv.conf Setting hostname Multifile: /etc/hosts File: /etc/hostname File: /etc/ldap.conf Setting domainname Multifile: /etc/hosts File: /etc/resolv.conf Warning: Permanently added 'master701.deadlock70.local,10.201.70.1' (RSA) to the list of known hosts. '10.201.66.7/10.201.255.255' does not appear to be an IPv4 or IPv6 network Join result = [univention-server-join: joins a server to an univention domain copyright (c) 2001-2012 Univention GmbH, Germany ldap_dn="cn=ucc,cn=computers,dc=deadlock70,dc=local" ] Create ldap/hostdn Create ldap/master/port File: /etc/ldap.conf File: /etc/ldap/ldap.conf File: /etc/default/ntpdate File: /etc/ntp.conf Could not chdir to home directory /dev/null: Not a directory bash: /dev/null/.bashrc: Ist kein Verzeichnis Could not chdir to home directory /dev/null: Not a directory bash: /dev/null/.bashrc: Ist kein Verzeichnis Create ldap/server/name Create ldap/server/port Create ldap/master File: /etc/ldap.conf File: /etc/ldap/ldap.conf File: /etc/default/ntpdate File: /etc/ntp.conf Create kerberos/adminserver File: /etc/krb5.conf Create kerberos/kdc File: /etc/krb5.conf Create kerberos/realm File: /etc/krb5.conf File: /etc/resolv.conf root@ucc:~# univention-join 1.0-6.5.201210191228
(In reply to comment #2) > Auf meinem Testsystem funktioniert das noch nicht: Ich habe noch eine Status-Meldung "Joined successfully" eingebaut. Ausserdem wird bei nicht auflösbarem SRV-Record jetzt ein Hinweis ausgegeben, die /etc/resolv.conf zu prüfen. Der Join-Account defaultet jetzt auf "Administrator"
Ich habe zunächst mit -forced-hostname gejoint. Später habe ich nochmal gejoint, allerdings ohne -forced-hostname und dann wurde ein neuer Rechnername generiert. Sollte der Parameter nicht besser nur -hostname sein? Dann ist es einheitlich mit -domainname usw.
(In reply to comment #4) > Ich habe zunächst mit -forced-hostname gejoint. Später habe ich nochmal > gejoint, allerdings ohne -forced-hostname und dann wurde ein neuer Rechnername > generiert. > > Sollte der Parameter nicht besser nur -hostname sein? Dann ist es einheitlich > mit -domainname usw. Beides wurde mit ein paar weiteren Änderungen angepasst/korrigiert.
Der Join funktioniert, allerdings werden die Joinskripte nicht ausgeführt.
(In reply to comment #6) > Der Join funktioniert, allerdings werden die Joinskripte nicht ausgeführt. Vielleicht kann am Ende einfach univention-run-join-scripts mit den entsprechenden Parametern aufgerufen werden.
univention-run-join-scripts wurde hinzugefügt und wird jetzt am Ende des Join-Vorgangs aufgerufen. Einziges Join-Skript ist bislang 20univention-directory-policy, das noch gepatcht werden musste.
Das funktioniert noch nicht: Search DC Master: done Check DC Master: done Search ldap/base done Search LDAP binddn done Sync time done Initial join of this UCC system, using hostname ucc669 Join Computer Account: done Check TLS connection done Download host certificate done univention-run-join-scripts: runs all join scripts existing on local computer. copyright (c) 2001-2012 Univention GmbH, Germany The system hasn't been joined yet. univention-run-join-scripts can only be used after an initial, successful join. You should run univention-join instead. Starting NSCD: done Joined successfully
(In reply to comment #9) > Das funktioniert noch nicht: > > Search DC Master: done > Check DC Master: done > Search ldap/base done > Search LDAP binddn done > Sync time done > Initial join of this UCC system, using hostname ucc669 > Join Computer Account: done > Check TLS connection done > Download host certificate done > univention-run-join-scripts: runs all join scripts existing on local computer. > copyright (c) 2001-2012 Univention GmbH, Germany > > The system hasn't been joined yet. univention-run-join-scripts can only be > used after an initial, successful join. You should run univention-join instead. > Starting NSCD: done > Joined successfully Fixed.
OK, Joinen von UCC Clients und Terminalserver war in meinen Tests erfolgreich.
UCC 1.0 has been released: http://forum.univention.de/viewtopic.php?f=26&t=2417 http://forum.univention.de/viewtopic.php?f=54&t=2418 If this error occurs again, please use "Clone This Bug".