Bug 19441 - Benutzer mit Leerzeichen im Namen können angelegt werden, Anmeldung klappt aber nicht
Benutzer mit Leerzeichen im Namen können angelegt werden, Anmeldung klappt ab...
Status: CLOSED FIXED
Product: UCS
Classification: Unclassified
Component: General
UCS 2.4
Other Linux
: P5 normal (vote)
: UCS 3.2
Assigned To: Felix Botner
Stefan Gohmann
: interim-1
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2010-08-13 12:40 CEST by Felix Botner
Modified: 2013-11-19 06:43 CET (History)
4 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:
klaeser: Patch_Available+


Attachments
Patch für die Syntaxklassen (626 bytes, patch)
2011-10-17 14:55 CEST, Florian Best
Details | Diff

Note You need to log in before you can comment on or make changes to this bug.
Description Felix Botner univentionstaff 2010-08-13 12:40:59 CEST
In UCS 2.4 kann man Benutzer mit Leerzeichen im Namen anlegen:

-> udm users/user create --set password=univention --set lastname=aa 
   --set username="test eins"

Ein su beispielsweise funktioniert jedoch nicht:

su "test eins"
su: Systemfehler

/var/log/auth.log
Successful su for test eins by root
Jul  9 20:01:04 qamaster su[15470]: + pts/0 root:test eins
Jul  9 20:01:04 qamaster su[15470]: pam_unix(su:session): session opened for user test eins by root(uid=0)
Jul  9 20:01:05 qamaster su[15470]: pam_open_session: System error

Entweder man sollte es verbieten solche Benutzer anzulegen oder die Anmeldung sollte funktionieren.
Comment 1 Martin Müller 2011-06-21 09:58:57 CEST
UCS 2.4-0 tritt der Fehler noch nicht auf, bei
UCS 2.4-2 allerdings schon
Comment 2 Florian Best univentionstaff 2011-10-17 14:55:19 CEST
Created attachment 3644 [details]
Patch für die Syntaxklassen

Der Fehler lag daran, dass im regex auch Leerzeichen erlaubt waren.
Comment 3 Stefan Gohmann univentionstaff 2012-01-02 14:51:02 CET
Sind in AD Leerzeichen erlaubt? Wenn ja, dann sollten wir prüfen, ob wir Leerzeichen ebenfalls unterstützen.
Comment 4 Erik Damrose univentionstaff 2013-01-22 11:36:23 CET
Ein weiteres Problem mit Leerzeichen in Benutzernamen: Meldet man sich an einem UCC Client für eine UCC-remote Session an erhält man kein Kerberos Ticket und kommt somit auch nicht auf den Terminalserver.
Comment 5 Stefan Gohmann univentionstaff 2013-06-06 14:38:49 CEST
Bitte kurz prüfen, wie das Verhalten unter Windows ist.
Comment 6 Felix Botner univentionstaff 2013-06-06 15:24:00 CEST
(In reply to Stefan Gohmann from comment #5)
> Bitte kurz prüfen, wie das Verhalten unter Windows ist.

Unter w2k12 AD kann ich einen Benutzer "test user" anlegen und mich mit dem auch am Windows anmelden.
Comment 7 Felix Botner univentionstaff 2013-06-07 15:21:40 CEST
Leerzeichen im Benutzernamen werden nun nicht mehr erlaubt.

Es ist unter UCS zwar prinzipiell möglich, jedoch kommen weder Heimdal noch das Samba4 Kerberos mit Leerzeichen im Principal klar. Daher geht kein kinit, pam_krb5 (nicht so schwerwiegend, da standardmäßig pam_unix für die Authentifizierung verwendet wird) und keine Windows-Anmeldung (win7) mit Samba4.

Für dieses Kerberos Problem habe ich Bug #31674 angelegt.

Zusätzlich wurde noch ein Bash-Escaping Problem in /usr/sbin/univention-mount-homedir (wird in pam.d/common-session verwendet) behoben, der bei Benutzernamen mit Leerzeichen  zu diesem Problem führte:

-> su "test eins"
su: Systemfehler

Wenn man also 

-> ucr set directory/manager/web/modules/users/user/properties/username/syntax=string

sollte man sich mit ssh, ssh, login, gdm am UCS anmelden können, auch wenn der Benutzername ein Leerzeichen enthält.
Comment 8 Stefan Gohmann univentionstaff 2013-08-09 07:23:57 CEST
Changelog: OK

UDM changes: OK

Home Mounter: OK
Comment 9 Stefan Gohmann univentionstaff 2013-11-19 06:43:42 CET
UCS 3.2 has been released:
 http://docs.univention.de/release-notes-3.2-en.html
 http://docs.univention.de/release-notes-3.2-de.html

If this error occurs again, please use "Clone This Bug".