Benutzerimport vom Arbeitsgruppenmanager nach kerio connect Fehlfunktion

[Candalf]

Hallo zusammen,

auf einem MAC-Mini Server mit Snow Leopard habe ich kerio connect installiert. Benutzer habe ich im Arbeitsgruppenmanager angelegt. Die LDAP-Verbindung steht ohne erkennbare Probleme. Ich kann auch im Adminbereich des Kerio vom Verzeichnisdienst des Mac-Server Benutzer importieren. Auch keine Fehlermeldungen.

Wenn ich über WEBMail auf den Kerio zugreifen möchte bekomme ich die Meldung, der Benutzername oder Passwort ist falsch. Im Security Log steht: HTTP/WebMail: Invalid password for user Probe@meineDomäne.de. Attempt from IP address xxx.xxx.xxx.xxx.

Passwort habe ich jedoch eindringlich geprüft. Meine Vermutung ist, dass beim Import vom Verzeichnisdienst zu kerio etwas mit dem Passwort passiert. Hat da jemand Ahnung von?

Vielen Dank für Eure Unterstützung
Candalf

[GoldenHunter]

Kerio Connect benutzt keine Import Funktion aber eine Connection zu den LDAP Server sowie den Passwortserver von Snow Leopard. Bitte stelle sicher das du Version 7.1.3 von Kerio verwendest. In der Administrationsoberfläche unter Domäne teste die LDAP connection um sicherzustellen das alles funktioniert. BItte beachte auch, dass wenn für die LDAP connection nicht die primäre Domän benutzt wird, die volle adresse ala usnername@meinedomain.com angegeben werden muss. Auch wird nur der KURZNAME von Kerio unterstützt allerdings nicht der volle Benutzername. Sprich anstatt Max Mustermann nur maxmustermann. Wenn dies noch keine Abhilfe geschaffen hat bitte kopiere den Security Log von Kerio sowie den Passwort Server Log von Snow Leopard.

[Candalf]

Hallo Golden Hunter,

vielen Dank für Deine Nachricht. Ich habe die Version 7.1.3 installiert. Die LDAP-Connection funktioniert.

Diesen Teil habe ich nicht ganz verstanden. Wo wird das relevant?
>>BItte beachte auch, dass wenn für die LDAP connection nicht die primäre Domän benutzt wird, die volle adresse ala usnername@meinedomain.com angegeben werden muss.<<

Benutzernamen habe ich nur als ein Wort. Z.B den Schmidt

Security Log:
[05/Mar/2011 22:13:28] HTTP/WebMail: Invalid password for user probe@henoch-online.de. Attempt from IP address 192.168.1.63.
[05/Mar/2011 22:13:39] HTTP/WebMail: Invalid password for user Probe@henoch-online.de. Attempt from IP address 192.168.1.63.

Wo finde ich das Passwort Server Log? Ich hab das mal gegoogelt...aber leider nichts gefunden. Als windows-Server Umsteiger ist MAC manchmal nicht ganz so einfach ;o)

[GoldenHunter]

Da man bei Kerio Connect verschiedene Domains benutzen kann, gibt es eine sog. primäre. Wenn du allerdings nur eine Domain benutzt, brauchst du dir keine Gedanken machen. Wenn du allerdings verschiedene Domains benutzt musst du beim anmelden an eine sekundäre Domain die volle eMail Adresse des Users angeben.

Den Passwort Server Log findest du unter Serveradmin -> Open Directory -> Logs -> Password Service Server Log
Für jeden Login versuch solltest du hier rausfinden können ob jener erfolgreich war oder eben nicht. Wenn du dort keine Spuren von den Kerio Logins erkennst, funktioniert deine LDAP Verbindung nicht.
Überprüfe doch einmal bei der Kerio Administrationsoberfläche wie sich dieser User authentifizieren soll. Sprich Accounts -> Users und klicke auf einen der Open Directory User die du importiert hast und überprüfe ob als Authentication "Apple Password Server" angegeben ist. Sollte dies der Fall sein und der Fehler weiterhin bestehen meld dich und wir gehen mal die LDAP Connection Settings durch.

[Candalf]

Guten Abend,

Danke für die detailierten Infos...ich komme damit sehr gut weiter :o)

Ich habe nur eine Maildomäne in Verwendung. Sie ist verschieden mit der Computerdomäne. Im Kerio ist die Maildomäne angelegt.

Ich habe jetzt einen Testuser angelegt und die Logs durchsucht. In den Password-Logs steht kein Eintrag, den man damit in Verbindung bringen könnte. Als Authentifizierung ist Kerberos 5 ausgewählt, das kann ich in Kerio allerdings nicht unter den Benutzern ändern. Ich habe im Handbuch gelesen, man sollte Kerberos konfigurieren, weil moderner und sicherer...den Passwort-server sollte man nicht mehr verwenden...?

Im LDAP Log habe ich das hier gefunden...in Verbindung mit dem neu angelegten Testuser:
Mar 7 18:13:27 schwerin-sv-mac slapd[55]: connection_input: conn=63 deferring operation: too many executing
Mar 7 18:13:55: --- last message repeated 4 times ---
Mar 7 18:13:55 schwerin-sv-mac slapd[55]: Entry (uid=testuser,cn=users,dc=schwerin-sv-mac,dc=netz-mvp,dc=lan): object class 'posixAccount' requires attribute 'homeDirectory'
Mar 7 18:13:55 schwerin-sv-mac slapd[55]: entry failed schema check: object class 'posixAccount' requires attribute 'homeDirectory'

Hilft Dir das vielleicht weiter?

Viele Grüße
Candalf

[GoldenHunter]

Stimmt! Kerberos ist sicherer wie auch moderner bietet aber auch mehr Möglichkeiten Fehler bei der Konfiguration zu machen. Daher empfehle ich immer erst mal des einfach dann des schwierige ausprobieren. Nunja, natürlich ist es erstmal wichtig das der Kerberos Server richtig konfiguriert ist und "running" ist. Das kann man im Serveradmin unter Open Directory checken. Auch sollte man mal das Ticket Tool benutzen und versuchen sich als einer der User anzumelden nur um sicherzustellen, dass alles 100% funktioniert.
In der Kerio Administartionsoberfläche unter Domain sollte die Kerberos Adresse in GROSSBUCHSTABEN angegeben sein. Für die LDAP Settings benutze den "diradmin" User (Verzeichnissverwalter sprich volle Rechte). Worüber ich mal gestolpert bin, war die automatische Vervollständigung der LDAP Settings. Kerio benutzt nicht unbedingt den richtigen Server Hostname (es sollte der vom LDAP (Open Directory) Server verwendet werden. Denn kann man auch unter den OD Dienst im Server Admin überprüfen.
Danach evtl noch mal die Accounts neu "importieren" von OD zu Kerio. "conn=63 deferring operation: too many executing" was mir dazu noch so spontan einfällt wäre ob du mal checkst in welchen Intervallen du Ergebnisse vom LDAP Server zurückgibst. Das geht unter Serveradmin -> OD -> Settings -> LDAP.
Ich hoffe das hilft etwas. Meld dich einfach ob es klappt oder wir noch tiefer gehen müsssen!

Achja nur der Vollständigkeit zu liebe: Führe doch mal einen checkhostname (Terminal -> "changeip -checkhostname") aus ob da alles stimmt.

[Candalf]

Guten Abend,

das mit dem einfacher wäre noch ein guter Hinweis für das Benutzerhandbuch ;o) Unter dem Punkt OD steht, dass LDAP, Password und Kerberos arbeitet. Was ist denn das Ticket-Tool? Wo ist es zu finden? Im Spotlight habe ich nichts entdeckt.

Ich bin gerade im Adminbereich bei Kerio. Beim Verzeichnisdienst steht der Hostname (Servername.Domäne Netzwerk.lan) in Kleinbuchstaben. Unter Erweitert steht bei Kerberos meine Maildomäne (meine Maildomäne.de) auch in Kleinbuchstaben. Sind diese Einträge eigentlich korrekt? Welchen müsste ich denn in Großbuchstaben ändern?

Im Arbeitsgruppenmanager am LDAP arbeite ich mit Diradmin. LDAP-Settings ist das unter dem OD?
Im OD-Dienst steht der Kerberos Realm und LDAP Suchbeginn. Der LDAP Suchbeginn ist identisch mit dem LDAP Search Suffix im Verzeichnisdienstregister bei Kerio. Der Kerberos REALM ist vom Text her mit Hostname des Verzeichnisservers identisch, allerdings passt die Großschreibung nicht. Im OD ist der Name GROß und im Kerio klein...stehen die im Zusammenhang?

Da ich noch in der "Inbetriebnahmephase" bin arbeitet der Server noch nicht produktiv. Ich bin nur mit ein paar Testaccounts dort unterwegs. Ich habe die Benutzer schon mehrmals neu angelegt und importiert. Hat leider noch nicht geholfen. Was meinst Du mit ""conn=63 deferring operation: too many executing") ?

Der LDAP-Server hat die Daten:
Rückgabewerte 11000 Suchergebnisse
Suchzeitüberschreitung 1 Minute
SSL deaktiviert

Checkhostname...da komme ich gerade an die Grenzen. In meiner bisherigen Windowswelt bin ich immer ohne Konsole ausgekommen ;o) Wenn ich das im Terminal eingebe, bekomme ich die Rückantwort Serveradmin muss als root laufen. Wie komme ich in der Konsole in den Root-Account? Und wie wieder heraus? ;o)

Schönen Abend noch,
Candalf :o)

[GoldenHunter]

Guten Abend/Morgen

Das Ticket Tool findet man unter System/Library/CoreServices/Ticket Viewer. LDAP Settings waren die im OD gemeint ja.

Der Verzeichnisdienst muss den richtigen Suchsuffix haben also "dc=server,dc=domain,dc=de" unter username sollte diradmin zu dieser Zeile auflösen: "uid=diradmin,cn=users,dc=server,dc=domain,dc= de". Der Hostname hier sollte klein geschrieben sein ("server.domain.de"). Unter den nächsten Reiter "Advanced" sollte unter KERBEROS 5 die KERBEROS Domain stehen in GROSSBUCHSTABEN sprich "DOMAIN.DE". Auch sollte man jene zu der richtigen IP Adresse "binden". Wenn alles auf einen Rechner installiert ist kann man hier einfach 127.0.0.1 benutzen anderfalls die IP Adresse des OD Servers. Unter Directory Service sollte man auch die Verbindung testen und dort sollte dann eine Erfolgsmeldung erscheinen.


Die Daten des LDAP Servers scheinen in Ordnung zu sein.

Um im Terminal einen Befehl als root auszuführen einfach ein "sudo" davor ranhängen also sudo changeip -checkhostname und dann die Passwort Abfrage mit einen Admin Pw beantworten. Raus muss man da nicht da sudo nur für einen Befehl aktiv bleibt.

Stimmt soweit alles einfach nochmal mit den einloggen versuchen.

Gruß

Edit: Achja was mir noch einfallen ist:
1. Evtl noch mal den OD Connecter von Kerio installiert. Vll lief ja da etwas schief!
2. Wenn du Secure LDAP benutzt, nehme mal den Hacken raus und versuchs dann. Wenn es dann funkioniert importiere dein Zertifikat (was dann wahrscheinlich wohl selbst signiert ist) in den Schlüsselbund und versuche es erneut mit den Secure LDAP.

[Candalf]

Guten Abend,

vielen Dank für die Infos. Ich habe gerade den Ticket Viewer ausprobiert. Der diradmin ist der Einzige, der sich anmelden kann. Alle anderen User kommt die Meldung Kerberos Error, User nicht in der Datenbank gefunden. (Welche Aufgabe hat eigentlich das Tickettool?)

Mit den Domains muss ich nocheinmal nachhaken. Meine E-Mail-Domain lautet schmidt-online.de, meine Domain der PC Büronetz.lan, der Servername lautet domänenserver. Beim Verzeichnisdienst steht bei LDAP Suffix dc=domänenserver,dc=büronetz,dc=lan wäre das so richtig?

Beim Usernamen steht: uid=diradmin,cn=users,dc=domänenserver,dc=büronetz ,dc= lan Ist das so richtig?

Der Hostname ist klein geschrieben. Er lautet: domänenserver.büronetz.lan Ist das so richtig?

Unter advanced steht SCHMIDT-ONLINE.DE in Großbuchstaben. Die Bindung zur IP-Adresse habe ich nicht gemacht. Hier habe ich die 127.0.0.1 eingetragen.

Der Verbindungstest unter dem Reiter Verzeichnisdienst im Kerio ist erfolgreich.

Changeip habe ich ausgeführt. Die IP des Servers war richtig. Unter Hostname stand: domänenserver.büronetz.lan unter DNS Hostname das Selbe.

Zu Deinen Nachträgen eine Frage.

Punkt 1)
muss ich am Server auch einen Connector installieren? Ich habe hier nur den Kerio installiert. Einen Connector nutze ich nur bei den Windows-Clients

Punkt 2)
Unter dem Reiter Verzeichnisdienst ist LDAPS deaktiviert. (sichere Verbindung)

:o((( Kein Erfolg bisher...

Viele Grüße
Candalf

[GoldenHunter]

Hallo

am Server muss die Kerio Open Directory Extension installiert sein (http://www.kerio.com/connect/download). Die Einstellungen scheinen richtig zu sein. Ich glaube allerdings dein Kerberos Server hat die Domän DOMÄNSERVER.BÜRONETZ.LAN und nicht SCHMIDT-ONLINE. Das kannst du auch unter Serveradmin und dann OD überprüfen. Es sollte unter dem Info Reiter der Kerberos Realm stehen.
Das das Tickettool nicht funktioniert ist keine gute Nachricht. Meist liegt das an einer falschen DNS Konfiguration. Dürfte ich fragen warum die Adresse Büronetz.lan benutzt wird? Warum nicht eine echte Domän?
Das die User nicht gefunden werden aber diradmin schon kommt mir sehr komisch vor. Wurden die User in der richtigen Datenbank erstellt? Sprich nach dem man sich im Workgroup Manager angemeldet hat wurde erst das Schloss rechts oben "aufgesperrt" und sichergestellt das man die User im Verzeichniss /LDAPv3/127.0.0.1 anlegt anstelle des lokalen /Local/Default?

Gruß