[10.6 Snow Leopard] Benutzerimport vom Arbeitsgruppenmanager nach kerio connect Fehlfunktion

[Candalf]

Hallo zusammen,

auf einem MAC-Mini Server mit Snow Leopard habe ich kerio connect installiert. Benutzer habe ich im Arbeitsgruppenmanager angelegt. Die LDAP-Verbindung steht ohne erkennbare Probleme. Ich kann auch im Adminbereich des Kerio vom Verzeichnisdienst des Mac-Server Benutzer importieren. Auch keine Fehlermeldungen.

Wenn ich über WEBMail auf den Kerio zugreifen möchte bekomme ich die Meldung, der Benutzername oder Passwort ist falsch. Im Security Log steht: HTTP/WebMail: Invalid password for user Probe@meineDomäne.de. Attempt from IP address xxx.xxx.xxx.xxx.

Passwort habe ich jedoch eindringlich geprüft. Meine Vermutung ist, dass beim Import vom Verzeichnisdienst zu kerio etwas mit dem Passwort passiert. Hat da jemand Ahnung von?

Vielen Dank für Eure Unterstützung
Candalf

 

[GoldenHunter]

Kerio Connect benutzt keine Import Funktion aber eine Connection zu den LDAP Server sowie den Passwortserver von Snow Leopard. Bitte stelle sicher das du Version 7.1.3 von Kerio verwendest. In der Administrationsoberfläche unter Domäne teste die LDAP connection um sicherzustellen das alles funktioniert. BItte beachte auch, dass wenn für die LDAP connection nicht die primäre Domän benutzt wird, die volle adresse ala [email protected] angegeben werden muss. Auch wird nur der KURZNAME von Kerio unterstützt allerdings nicht der volle Benutzername. Sprich anstatt Max Mustermann nur maxmustermann. Wenn dies noch keine Abhilfe geschaffen hat bitte kopiere den Security Log von Kerio sowie den Passwort Server Log von Snow Leopard.

 

[Candalf]

Hallo Golden Hunter,

vielen Dank für Deine Nachricht. Ich habe die Version 7.1.3 installiert. Die LDAP-Connection funktioniert.

Diesen Teil habe ich nicht ganz verstanden. Wo wird das relevant?
>>BItte beachte auch, dass wenn für die LDAP connection nicht die primäre Domän benutzt wird, die volle adresse ala [email protected] angegeben werden muss.<<

Benutzernamen habe ich nur als ein Wort. Z.B den Schmidt

Security Log:
[05/Mar/2011 22:13:28] HTTP/WebMail: Invalid password for user [email protected]. Attempt from IP address 192.168.1.63.
[05/Mar/2011 22:13:39] HTTP/WebMail: Invalid password for user [email protected]. Attempt from IP address 192.168.1.63.

Wo finde ich das Passwort Server Log? Ich hab das mal gegoogelt...aber leider nichts gefunden. Als windows-Server Umsteiger ist MAC manchmal nicht ganz so einfach ;o)

 

[GoldenHunter]

Da man bei Kerio Connect verschiedene Domains benutzen kann, gibt es eine sog. primäre. Wenn du allerdings nur eine Domain benutzt, brauchst du dir keine Gedanken machen. Wenn du allerdings verschiedene Domains benutzt musst du beim anmelden an eine sekundäre Domain die volle eMail Adresse des Users angeben.

Den Passwort Server Log findest du unter Serveradmin -> Open Directory -> Logs -> Password Service Server Log
Für jeden Login versuch solltest du hier rausfinden können ob jener erfolgreich war oder eben nicht. Wenn du dort keine Spuren von den Kerio Logins erkennst, funktioniert deine LDAP Verbindung nicht.
Überprüfe doch einmal bei der Kerio Administrationsoberfläche wie sich dieser User authentifizieren soll. Sprich Accounts -> Users und klicke auf einen der Open Directory User die du importiert hast und überprüfe ob als Authentication "Apple Password Server" angegeben ist. Sollte dies der Fall sein und der Fehler weiterhin bestehen meld dich und wir gehen mal die LDAP Connection Settings durch.

 

[Candalf]

Guten Abend,

Danke für die detailierten Infos...ich komme damit sehr gut weiter )

Ich habe nur eine Maildomäne in Verwendung. Sie ist verschieden mit der Computerdomäne. Im Kerio ist die Maildomäne angelegt.

Ich habe jetzt einen Testuser angelegt und die Logs durchsucht. In den Password-Logs steht kein Eintrag, den man damit in Verbindung bringen könnte. Als Authentifizierung ist Kerberos 5 ausgewählt, das kann ich in Kerio allerdings nicht unter den Benutzern ändern. Ich habe im Handbuch gelesen, man sollte Kerberos konfigurieren, weil moderner und sicherer...den Passwort-server sollte man nicht mehr verwenden...?

Im LDAP Log habe ich das hier gefunden...in Verbindung mit dem neu angelegten Testuser:
Mar 7 18:13:27 schwerin-sv-mac slapd[55]: connection_input: conn=63 deferring operation: too many executing
Mar 7 18:13:55: --- last message repeated 4 times ---
Mar 7 18:13:55 schwerin-sv-mac slapd[55]: Entry (uid=testuser,cn=users,dc=schwerin-sv-mac,dc=netz-mvp,dc=lan): object class 'posixAccount' requires attribute 'homeDirectory'
Mar 7 18:13:55 schwerin-sv-mac slapd[55]: entry failed schema check: object class 'posixAccount' requires attribute 'homeDirectory'

Hilft Dir das vielleicht weiter?

Viele Grüße
Candalf

 

[GoldenHunter]

Stimmt! Kerberos ist sicherer wie auch moderner bietet aber auch mehr Möglichkeiten Fehler bei der Konfiguration zu machen. Daher empfehle ich immer erst mal des einfach dann des schwierige ausprobieren. Nunja, natürlich ist es erstmal wichtig das der Kerberos Server richtig konfiguriert ist und "running" ist. Das kann man im Serveradmin unter Open Directory checken. Auch sollte man mal das Ticket Tool benutzen und versuchen sich als einer der User anzumelden nur um sicherzustellen, dass alles 100% funktioniert.
In der Kerio Administartionsoberfläche unter Domain sollte die Kerberos Adresse in GROSSBUCHSTABEN angegeben sein. Für die LDAP Settings benutze den "diradmin" User (Verzeichnissverwalter sprich volle Rechte). Worüber ich mal gestolpert bin, war die automatische Vervollständigung der LDAP Settings. Kerio benutzt nicht unbedingt den richtigen Server Hostname (es sollte der vom LDAP (Open Directory) Server verwendet werden. Denn kann man auch unter den OD Dienst im Server Admin überprüfen.
Danach evtl noch mal die Accounts neu "importieren" von OD zu Kerio. "conn=63 deferring operation: too many executing" was mir dazu noch so spontan einfällt wäre ob du mal checkst in welchen Intervallen du Ergebnisse vom LDAP Server zurückgibst. Das geht unter Serveradmin -> OD -> Settings -> LDAP.
Ich hoffe das hilft etwas. Meld dich einfach ob es klappt oder wir noch tiefer gehen müsssen!

Achja nur der Vollständigkeit zu liebe: Führe doch mal einen checkhostname (Terminal -> "changeip -checkhostname") aus ob da alles stimmt.

 

[Candalf]

Guten Abend,

das mit dem einfacher wäre noch ein guter Hinweis für das Benutzerhandbuch ;o) Unter dem Punkt OD steht, dass LDAP, Password und Kerberos arbeitet. Was ist denn das Ticket-Tool? Wo ist es zu finden? Im Spotlight habe ich nichts entdeckt.

Ich bin gerade im Adminbereich bei Kerio. Beim Verzeichnisdienst steht der Hostname (Servername.Domäne Netzwerk.lan) in Kleinbuchstaben. Unter Erweitert steht bei Kerberos meine Maildomäne (meine Maildomäne.de) auch in Kleinbuchstaben. Sind diese Einträge eigentlich korrekt? Welchen müsste ich denn in Großbuchstaben ändern?

Im Arbeitsgruppenmanager am LDAP arbeite ich mit Diradmin. LDAP-Settings ist das unter dem OD?
Im OD-Dienst steht der Kerberos Realm und LDAP Suchbeginn. Der LDAP Suchbeginn ist identisch mit dem LDAP Search Suffix im Verzeichnisdienstregister bei Kerio. Der Kerberos REALM ist vom Text her mit Hostname des Verzeichnisservers identisch, allerdings passt die Großschreibung nicht. Im OD ist der Name GROß und im Kerio klein...stehen die im Zusammenhang?

Da ich noch in der "Inbetriebnahmephase" bin arbeitet der Server noch nicht produktiv. Ich bin nur mit ein paar Testaccounts dort unterwegs. Ich habe die Benutzer schon mehrmals neu angelegt und importiert. Hat leider noch nicht geholfen. Was meinst Du mit ""conn=63 deferring operation: too many executing") ?

Der LDAP-Server hat die Daten:
Rückgabewerte 11000 Suchergebnisse
Suchzeitüberschreitung 1 Minute
SSL deaktiviert

Checkhostname...da komme ich gerade an die Grenzen. In meiner bisherigen Windowswelt bin ich immer ohne Konsole ausgekommen ;o) Wenn ich das im Terminal eingebe, bekomme ich die Rückantwort Serveradmin muss als root laufen. Wie komme ich in der Konsole in den Root-Account? Und wie wieder heraus? ;o)

Schönen Abend noch,
Candalf )

 

[GoldenHunter]

Guten Abend/Morgen

Das Ticket Tool findet man unter System/Library/CoreServices/Ticket Viewer. LDAP Settings waren die im OD gemeint ja.

Der Verzeichnisdienst muss den richtigen Suchsuffix haben also "dc=server,dc=domain,dc=de" unter username sollte diradmin zu dieser Zeile auflösen: "uid=diradmin,cn=users,dc=server,dc=domain,dc=de". Der Hostname hier sollte klein geschrieben sein ("server.domain.de"). Unter den nächsten Reiter "Advanced" sollte unter KERBEROS 5 die KERBEROS Domain stehen in GROSSBUCHSTABEN sprich "DOMAIN.DE". Auch sollte man jene zu der richtigen IP Adresse "binden". Wenn alles auf einen Rechner installiert ist kann man hier einfach 127.0.0.1 benutzen anderfalls die IP Adresse des OD Servers. Unter Directory Service sollte man auch die Verbindung testen und dort sollte dann eine Erfolgsmeldung erscheinen.


Die Daten des LDAP Servers scheinen in Ordnung zu sein.

Um im Terminal einen Befehl als root auszuführen einfach ein "sudo" davor ranhängen also sudo changeip -checkhostname und dann die Passwort Abfrage mit einen Admin Pw beantworten. Raus muss man da nicht da sudo nur für einen Befehl aktiv bleibt.

Stimmt soweit alles einfach nochmal mit den einloggen versuchen.

Gruß

Edit: Achja was mir noch einfallen ist:
1. Evtl noch mal den OD Connecter von Kerio installiert. Vll lief ja da etwas schief!
2. Wenn du Secure LDAP benutzt, nehme mal den Hacken raus und versuchs dann. Wenn es dann funkioniert importiere dein Zertifikat (was dann wahrscheinlich wohl selbst signiert ist) in den Schlüsselbund und versuche es erneut mit den Secure LDAP.

 

[Candalf]

Guten Abend,

vielen Dank für die Infos. Ich habe gerade den Ticket Viewer ausprobiert. Der diradmin ist der Einzige, der sich anmelden kann. Alle anderen User kommt die Meldung Kerberos Error, User nicht in der Datenbank gefunden. (Welche Aufgabe hat eigentlich das Tickettool?)

Mit den Domains muss ich nocheinmal nachhaken. Meine E-Mail-Domain lautet schmidt-online.de, meine Domain der PC Büronetz.lan, der Servername lautet domänenserver. Beim Verzeichnisdienst steht bei LDAP Suffix dc=domänenserver,dc=büronetz,dc=lan wäre das so richtig?

Beim Usernamen steht: uid=diradmin,cn=users,dc=domänenserver,dc=büronetz,dc= lan Ist das so richtig?

Der Hostname ist klein geschrieben. Er lautet: domänenserver.büronetz.lan Ist das so richtig?

Unter advanced steht SCHMIDT-ONLINE.DE in Großbuchstaben. Die Bindung zur IP-Adresse habe ich nicht gemacht. Hier habe ich die 127.0.0.1 eingetragen.

Der Verbindungstest unter dem Reiter Verzeichnisdienst im Kerio ist erfolgreich.

Changeip habe ich ausgeführt. Die IP des Servers war richtig. Unter Hostname stand: domänenserver.büronetz.lan unter DNS Hostname das Selbe.

Zu Deinen Nachträgen eine Frage.

Punkt 1)
muss ich am Server auch einen Connector installieren? Ich habe hier nur den Kerio installiert. Einen Connector nutze ich nur bei den Windows-Clients

Punkt 2)
Unter dem Reiter Verzeichnisdienst ist LDAPS deaktiviert. (sichere Verbindung)

((( Kein Erfolg bisher...

Viele Grüße
Candalf

 

[GoldenHunter]

Hallo

am Server muss die Kerio Open Directory Extension installiert sein (http://www.kerio.com/connect/download). Die Einstellungen scheinen richtig zu sein. Ich glaube allerdings dein Kerberos Server hat die Domän DOMÄNSERVER.BÜRONETZ.LAN und nicht SCHMIDT-ONLINE. Das kannst du auch unter Serveradmin und dann OD überprüfen. Es sollte unter dem Info Reiter der Kerberos Realm stehen.
Das das Tickettool nicht funktioniert ist keine gute Nachricht. Meist liegt das an einer falschen DNS Konfiguration. Dürfte ich fragen warum die Adresse Büronetz.lan benutzt wird? Warum nicht eine echte Domän?
Das die User nicht gefunden werden aber diradmin schon kommt mir sehr komisch vor. Wurden die User in der richtigen Datenbank erstellt? Sprich nach dem man sich im Workgroup Manager angemeldet hat wurde erst das Schloss rechts oben "aufgesperrt" und sichergestellt das man die User im Verzeichniss /LDAPv3/127.0.0.1 anlegt anstelle des lokalen /Local/Default?

Gruß

 

[Candalf]

Hallo Golden Hunter,

die Extension habe ich sicherheitshalber nocheinmal installiert. Ich war mir da nicht mehr ganz so sicher...da war etwas.

Im OD bei Kerberos REALM steht DOMÄNSERVER.BÜRONETZ.LAN richtig. Sollte dort die Maildomain stehen? Ich habe damals schon in meinem Windowsnetzwerk für die PC-Domäne einen anderen Namen gewählt. Die Maildomän war immer nur für den Mailverkehr gedacht. Ich dachte, Kerberos verwaltet die Kennwörter im PC-Netzwerk...nicht in der Maildomäne? Sollte ich dem Kerberos die Maildomäne zuweisen? Wo macht man das denn?

Die Benutzer wurden alle im Verzeichniss /LDAPv3/127.0.0.1 angelegt.

Mein DNS hat 2 Zonen. Die Primärzone ist domänserver.büronetz.lan. (klein geschrieben) die Rückauflösungszone 10.1.168.192.in-addr.arpa. (Verstehe ich zwar nicht, weil ich diesen Bereich nicht verwende, das hat er aber selbst eingetragen. Die Namensauflösung klappt ja. Er ist für alle Anfragen im Büronetz.lan zuständig, alles andere leitet er an die DNS-Server des Providers weiter. Diese Adressen habe ich eingetragen. Bonjour ist nicht aktiviert.

Viele Grüße
Candalf

 

[GoldenHunter]

So sorry dass ich mich nicht gemeldet habe hatte aber es war etwas voll übers Wochenende.

Welche Domän im Kerberos Realm steht spielt erstmal keine Rolle solange in Kerio unter Advanced die selbe steht. Die Kennwörter werden von Mac OS X Server verwaltet und Kerio greift nur auf die zu. Das wichtige ist dass der DNS Server die Domain vom Kerberos richtig auflöst.

Kurz zu den DNS Settings (ich nehme als bsp server.google.com):
Neben der Rückauflösung sollte auch noch die Primär Zone eingetragen sein:
Primär Zone: google.com (FQDN) (Nameserver: (Zone: google.com (FQDN) Nameserver Hostname: server.google.com (FQDN)) Mail Exchanger: server.google.com (FQDN) Priority: 10
Machine (A Record): server (KEIN FQDN!!!) IP Address: die Adresse im Netzerwerk z.b. 192.168.178.2
Evtl: Alias: www Destination: server.google.com (FQDN)
Reverse Zone: Sollte sich automatisch eintragen! Bitte überprüfe ob der Nameserver Hostname: server.google.com (FQDN) ist!

Um noch einmal Kerberos zu testen öffne das Terminal (auf den Server) und führe folgenden Befehl aus: kinit -S host/server_name@KERBEROS_REALM user z.b. kinit -S host/[email protected] diradmin (ich nehme an das GOOGLE.COM der Kerberos Realm ist). Wenn er dich jetzt nach den Passwort fragt ist alles gut. Ansonsten funktioniert Kerberos nicht! In diesem Fall gib mir mal die Kerberos Service Logs!

Nur um das sicherzustellen ich nehme an dein Server ist ein Open Directory Master! Auch könnte es interessant sein einen Blick auf die /Library/Preferences/edu.mit.Kerberos Datei zu werfen. Evtl. funktioniert es ja aber auch jetzt . Hoffen wir doch mal das beste!

Gruß

Edit: Nochwas: Nehme mal den Hacken bei Kerio Advanced vor den Binding Quatsch raus. Manchmal hilft das!

 

[Candalf]

Guten Abend,

kein Problem...alles braucht seine Zeit. Ich bin ja froh, dass Du Dir die Zeit nimmst mir zu helfen. )

Das was bei Kerberos Realm stand habe ich unter Advanced im Kerio eingetragen. Da stand die Maildomäne "schmidt-online.de" Jetzt steht dort "domänenserver.büronetz.lan" Habs getestet...allerdings ohne Erfolg (

Mit DNS-Servern bin ich leider nicht stark bewandert. Bisher haben sie alle funktioniert ;o)

In meiner Rückauflösungszone steht 10.1.168.192.in-addr.arpa. Diese Daten sind mir jedoch unbekannt. Deiner Erklärung nach müsste dort stehen: "domänenserver.büronetz.lan" Ist das richtig?
Meine primäre Zone wäre dann ja auch falsch, dort steht "domänenserver.büronetz.lan"

Mail-Exchanger ist leer, hier trage ich jetzt mal "domänenserver.büronetz.lan Prio 10"

Bei kinit habe ich eingegeben: domänenserver.büronetz.lan@büronetz.lan

Passwort hat er abgefragt...dann kam der Cursor mit dem Admin wieder...keine weiteren Kommentare.

Der Server ist als OD-Master konfiguriert.

In der Kerberos-Datei steht jetzt für mich nichts beunruhigendes drin. Die selben Daten und IP´s, wie sie verwendet werden.

Den Haken habe ich unter advanced wieder entfernt.

Bisher keinen Erfolg. (

Viele Grüße
Candalf

 

[GoldenHunter]

Guten Morgen

also das er Passwort abgefragt hat (auf Kinit) ist eig ein gutes Zeichen. Das sollte auch passieren. Also Kerberos Logs zeigen die die Authentifizierung des Nutzers den du über kinit getestet hast? Schau auch mal in den Password Server Logs ob dort auch die Authentifizierung bestätigt wird. Das würde heißen an Kerberos kann es nicht liegen.
Wenn es sich bei den Server um eine Testumgebung handelt würde ich empfehlen die DNS mal zu ändern. Ich habe langsam das Gefühl das es daran wohl liegt. Kerberos benötigt eine einwandfrei konfigurierte DNS. Die primäre Zone sollte umbedingt wie ich schon oben erläutert habe einen A Record haben (Machine). Dieser sollte in deinem fall domänenserver heißen und auf die INTERNE IP des Servers verweisen. Auch wichtig wäre das die primäre Zone dann nur noch büronetz.lan heißt (es sollte sich hierbei um einen FQDN handeln). Reverse Lookups werden eig automatisch definiert. Wenn du dieses 10.1.168.192.in-addr.arpa aufklappst, verweißt dann der Eintrag auf domänenserver.büronetz.lan? Wenn hier alles passt einfach nochmal des ganze probieren.

Gruß

 

[Candalf]

Hallo GoldenHunter,

Ich glaube, dass ich ein Problem mit dem DNS Server habe wird immer wahrscheinlicher. Ich habe versucht, einen Win7 Client in die Domäne zu bringen, ich habe eine Fehlermeldung bezgl. DNS erhalten. XP Clients haben allerdings ohne Probleme funktioniert.
Ich bin jetzt bis Sonntag auf Dienstreise...nächste Woche setze ich mich gleich mal dran )

Viele Grüße
Candalf

 

[GoldenHunter]

Hallo Candalf,

dann eine gute Reise! Wenn es noch Probleme geben sollte einfach melden. Am besten versuche mal diesen Post http://www.apfeltalk.de/forum/benutzerimport-arbeitsgruppenmanager-kerio-t355049-2.html#post3302735 im DNS Dienst nachzuvollziehen.

Noch einen schöne St. Patrick's Day!

 

[Candalf]

Hallo Golden Hunter,

das Problem mit dem Win7 Client lag nicht am DNS. Habe gerade erfahren, dass Win 7 Clients anscheinend noch nicht von MAC-Domänen unterstützt werden.

Du hast geschrieben:
"Wenn du dieses 10.1.168.192.in-addr.arpa aufklappst, verweißt dann der Eintrag auf domänenserver.büronetz.lan?"

Das macht er nicht. Ich kann in dem DropDown-Feld nur "Domänenserver" auswählen. "Büronetz" fehlt da. Ich habe allerdings noch keine Möglichkeit entdeckt, dies zu ändern. Gibts da einen Trick?

Viele Grüße
Candalf

 

[GoldenHunter]

Gute Morgen,

schau dir doch mal die Grafik an. Vll erklärt die das besser als alle meine Worte. Den Domainnamen habe ich geschwärzt da mir die Domain nicht persönlich gehört sondern ich jene nur betreue. Auch unnötige oder Netzwerkspezifische DNS Einträge habe ich geschwärzt um die nicht zu verwirren.
Du solltest übrigens auch die Mail Domäne im DNS Service anlegen.

Gruß