pcpatch in AD-Domain doppelt

Antworten
SirTux
Beiträge: 558
Registriert: 05 Feb 2011, 18:37

pcpatch in AD-Domain doppelt

Beitrag von SirTux »

Hallo,

wenn man opsi als Memberserver in einer AD Domain betreibt und versucht das Paßwort von pcpatch mittels

Code: Alles auswählen

opsi-admin -d task setPcpatchPassword
zu setzen, wird ein lokaler Account SERVER\pcpatch angelegt, der Winbind durcheinanderbringt. Dieser kann mittels

Code: Alles auswählen

smbpasswd -x pcpatch
wieder gelöscht werden.

Es wäre schön, wenn im AD-Modus dies nicht passieren würde :)

Viele Grüße,
SirTux
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: pcpatch in AD-Domain doppelt

Beitrag von n.wenselowski »

Hi SirTux,

danke für den Report!

Bei welchen UCS-Versionen hast du das Verhalten beobachtet?


Gruß

Niko

Code: Alles auswählen

import OPSI
SirTux
Beiträge: 558
Registriert: 05 Feb 2011, 18:37

Re: pcpatch in AD-Domain doppelt

Beitrag von SirTux »

Bei Ubuntu ;) Sorry das habe ich vergessen zu erwähnen. Aber ich denke mal das betrifft alle Distributionen außer UCS.
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: pcpatch in AD-Domain doppelt

Beitrag von ueluekmen »

Hi,

du hast eine AD Domain und einen Ubuntu als Member drin und dann wird der pcpatch neu angelegt? Wie ist der Ubuntu denn in die Domain gejoined worden? Können wir das irgendwie reproduzieren?

Aber ich gehe schon davon aus, dass dein AD ein UCS ist, oder? pcpatch gibt es nur da in der Domain.
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
SirTux
Beiträge: 558
Registriert: 05 Feb 2011, 18:37

Re: pcpatch in AD-Domain doppelt

Beitrag von SirTux »

Hi,

nein die Systeme basieren alle mit Ubuntu. Das Setup ist selbstgestrickt und auf unsere IT-Umgebung angepaßt. Ich habe dabei aber zugegebenermaßen das UCS-Setup im Auge gehabt. Die Gruppe heißt entsprechend auch "opsifileadmins".

Es hat leider etwas gedauert bis ich herausgefunden hat wieso der Samba-Zugriff mit pcpatch nicht richtig funktioniert. Daher wäre ein zusätzliche Code-Pfad wünschenswert. Andere haben ihre opsi-Installation AFAIK auch an ihren AD angebunden.

Viele Grüße,
SirTux

EDIT: Die Systeme sind ganz normal per Samba / Winbind gejoint. Es gibt hier kein UCS! UCS ist bei mir eine ganz andere Baustelle ;)
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: pcpatch in AD-Domain doppelt

Beitrag von ueluekmen »

Hallo SirTux,

wenn du die Server nur ins AD aufnimmst und keine UCS-Umgebung hast, gibt es einen Grund warum du den pcpatch in die Domäne heben willst?

Ich habe das schon gefühlt 100 mal bei Kunden gemacht, den pcpatch in die Domäne zu heben bringt noch einige andere Probleme mit sich. Ich will hier nicht ins Detail gehen, ich wollte schon die ganze Zeit mal einen Blogeintrag dazu schreiben. Der Grund warum man die opsi-Server in die Domäne aufnimmt, hat meistens nur den Grund, weil man seine AD-Konten nutzen will, um sich am opsi an zu melden. Für diesen Usecase muss der pcpatch nicht in die Domäne und ich empfehle es auch nicht.

PS.: Bei UCS mussten wir es tatsächlich machen und deshalb haben wir die Erfahrung: War nicht schön ;)
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
SirTux
Beiträge: 558
Registriert: 05 Feb 2011, 18:37

Re: pcpatch in AD-Domain doppelt

Beitrag von SirTux »

Ich möchte die opsi-Gruppen zentral verwalten können und Samba als Memberserver betreiben. Dafür muß pcpatch AFAIk in der Domäne sein.

Aber dein Blog-Artikel würde mich interessieren.
Antworten