Univention Bugzilla – Bug 24104
ldap-Principal wird nur für den Master angelegt
Last modified: 2012-10-12 08:33:56 CEST
Das Joinscript 11univention-heimdal-init.inst (Paket univention-heimdal-kdc) legt nur dann einen ldap-Principal (ldap/SERVERNAME) für einen Server an, wenn es einen Principal der Form krbtgt/* nicht gibt. D.h. dies wird nur für den Master gemacht. Es wäre wünschenswert, wenn es für jeden DC einen ldap-Principal geben würde, da sonst die Authentifizierungsmethode GSSAPI für den Zugriff auf das LDAP nicht verwendet werden kann.
Das wird normalerweise in univention-server-join gemacht.
(In reply to comment #1) > Das wird normalerweise in univention-server-join gemacht. Ticket#: 2011110221002511 Funktioniert aber vermutlich nicht mehr seit nicht mehr als root gejoint wird. In univention-server-join wird vom joinenden Benutzer ein "kadmin -l add --random-key --use-defaults ldap/$HOSTNAME.$DOMAINNAME" aufgerufen was zu folgender Fehlermeldung führt (die nirgends geloggt wird): --- kadmin: kadm5_create_principal: ldap_sasl_bind_s: Can't contact LDAP server kadmin: adding ldap/$HOSTNAME.$DOMAINNAME: ldap_sasl_bind_s: Can't contact LDAP server --- Lt. strace verwendet kadmin hier das ldapi Interface und bekommt da (weil kein root) "Permission denied".
*** Bug 9127 has been marked as a duplicate of this bug. ***
Created attachment 3724 [details] Rudimentäres Script zum nachträglichen anlegen der Principals Das Script ist evtl. nicht für alle Umgebungen geeignet (mehrere Kerberos Realms o.ä.). Es wird ein ldap Principal für alle univentionDomainController (aus "$cn.$associatedDomain") angelegt (falls noch nicht vorhanden).
*** This bug has been marked as a duplicate of bug 28379 ***