First Last Prev Next    This bug is not in your last search results.
Bug 24104 - ldap-Principal wird nur für den Master angelegt
ldap-Principal wird nur für den Master angelegt
Status: RESOLVED DUPLICATE of bug 28379
Product: UCS
Classification: Unclassified
Component: Kerberos
UCS 2.4
Other Linux
: P5 normal (vote)
: ---
Assigned To: Bugzilla Mailingliste
:
: 9127 (view as bug list)
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2011-10-19 10:02 CEST by Jan Christoph Ebersbach
Modified: 2012-10-12 08:33 CEST (History)
2 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Rudimentäres Script zum nachträglichen anlegen der Principals (577 bytes, application/x-shellscript)
2011-11-02 22:16 CET, Janis Meybohm 		Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Jan Christoph Ebersbach univentionstaff 2011-10-19 10:02:17 CEST 
Das Joinscript 11univention-heimdal-init.inst (Paket univention-heimdal-kdc) legt nur dann einen ldap-Principal (ldap/SERVERNAME) für einen Server an, wenn es einen Principal der Form krbtgt/* nicht gibt. D.h. dies wird nur für den Master gemacht.

Es wäre wünschenswert, wenn es für jeden DC einen ldap-Principal geben würde, da sonst die Authentifizierungsmethode GSSAPI für den Zugriff auf das LDAP nicht verwendet werden kann.
Comment 1 Stefan Gohmann univentionstaff 2011-11-02 15:43:19 CET 
Das wird normalerweise in univention-server-join gemacht.
Comment 2 Janis Meybohm univentionstaff 2011-11-02 16:34:02 CET 
(In reply to comment #1)
> Das wird normalerweise in univention-server-join gemacht.

Ticket#: 2011110221002511

Funktioniert aber vermutlich nicht mehr seit nicht mehr als root gejoint wird.
In univention-server-join wird vom joinenden Benutzer ein "kadmin -l add --random-key --use-defaults ldap/$HOSTNAME.$DOMAINNAME" aufgerufen was zu folgender Fehlermeldung führt (die nirgends geloggt wird):
---
kadmin: kadm5_create_principal: ldap_sasl_bind_s: Can't contact LDAP server
kadmin: adding ldap/$HOSTNAME.$DOMAINNAME: ldap_sasl_bind_s: Can't contact LDAP server
---

Lt. strace verwendet kadmin hier das ldapi Interface und bekommt da (weil kein root) "Permission denied".
Comment 3 Stefan Gohmann univentionstaff 2011-11-02 16:40:38 CET 
*** Bug 9127 has been marked as a duplicate of this bug. ***
Comment 4 Janis Meybohm univentionstaff 2011-11-02 22:16:41 CET 
Created attachment 3724 [details]
Rudimentäres Script zum nachträglichen anlegen der Principals

Das Script ist evtl. nicht für alle Umgebungen geeignet (mehrere Kerberos Realms o.ä.). Es wird ein ldap Principal für alle univentionDomainController (aus "$cn.$associatedDomain") angelegt (falls noch nicht vorhanden).
Comment 5 Stefan Gohmann univentionstaff 2012-10-12 08:33:56 CEST 

*** This bug has been marked as a duplicate of bug 28379 ***
First Last Prev Next    This bug is not in your last search results.