Comment 1 Stefan Gohmann 2011-11-14 20:40:25 CET

Created attachment 3803 [details]
dc_pwd_sync.patch

Die Synchronisation kann einfach aktiviert werden, siehe Patch im Anhang. Problematisch ist, dass dann die machine.secret nicht mehr passt.

Comment 2 Stefan Gohmann 2011-11-15 21:03:12 CET

Die Accounts sollen synchronisiert werden. Zusätzlich müssen vermutlich auch die nicht S4 DCs im S4 angelegt werden.

Comment 3 Stefan Gohmann 2011-11-16 17:06:45 CET

Die Synchronisation ist soweit umgesetzt. Es scheint jetzt noch problematisch zu sein, dass die Enctypes unterschiedlich sind. 

- Anmeldung auf einem Memberserver
- kinit gegen einen S4 KDC
- Anmeldung per ssh auf einen nicht S4 DC ist erst möglich, wenn aus der krb5.keytab auf dem nicht S4 DC der folgende Key entfernt wird:

ktutil remove -e des3-cbc-md5

Comment 4 Stefan Gohmann 2011-11-17 15:00:33 CET

Umgekehrt funktioniert es, auf dem Heimdal/OpenLDAP Server per kinit ein Ticket holen und dann per ssh auf einen S4 DC wechseln.

Comment 5 Stefan Gohmann 2011-11-17 16:33:07 CET

Im UDM wird des3-cbc-md5 jetzt beim Erstellen der Kerberos Keys nicht mehr mitgeneriert. Wenn man das dennoch aktivieren möchte, so kann die UCR Variable password/krb5/enctype/des3-cbc-md5 auf true gesetzt werden.

Die Passwortänderung auf S4 DCs wird zunächst deaktiviert, siehe auch Bug #24703

Comment 6 Stefan Gohmann 2011-11-18 07:00:15 CET

Die Passwort Rotation kann jetzt einfach per UCR Variable abgeschaltet werden, das passiert auf S4 DCs automatisch. 

Ein Problem ist noch offen, bei der Memebrserver Installation erscheint das im join.log:

Object modified: cn=member176,cn=memberserver,cn=computers,dc=deadlock17,dc=local
[2011/11/18 06:47:37.601632,  0] libads/kerberos.c:333(ads_kinit_password)
  kerberos_kinit_password MEMBER176$@DEADLOCK17.LOCAL failed: Preauthentication failed

Comment 7 Stefan Gohmann 2011-11-18 10:10:04 CET

Die Memberserver Installation und das Joinen funktioniert ebenfalls. Die Meldung erscheint vorher, wenn das System noch gar nicht gejoint ist.

Comment 8 Stefan Gohmann 2011-11-18 16:35:13 CET

Es kam jetzt gelegentlich vor, dass die Daten in bind erst nach einem Neustart verfügbar waren. Ich habe in den Join Skripten jetzt eine S4 restart eingebaut, wenn nach 200 Sekunden bind noch nicht reagiert.

Comment 9 Arvid Requate 2011-11-24 22:20:29 CET

Verified:
 * Die DC Accounts werden mit krb5key synchronisiert.

 * In Richtung UCS LDAP werden dabei das userPassword beibehalten, damit weiterhin Authentifizierte LDAP-Binds mit /etc/machine.secret funktionieren.

 * Auf samba4/role DC und RODC wird server/password/change=no gesetzt, da aktuell die Auswirkung von Samba4-DC-Passwortwechseln auf die DRS-Replikation noch nicht zufriedenstellend geklärt ist.

 * Für die letzten beiden Punkte ist Bug 24703 angelegt.

 * Die Generierung von des3-cbc-md5 Keys im UDM ist generell in UCS 3.0 deaktiviert. Dieser Workaround für Samba4/OpenLDAP/Heimdal Mischumgebungen ist jetzt vermutlich nicht mehr relevant weil das Szenario durch Bug 24753 vermieden wird (bzw. Bug 24865).

 * Per UCR-Variable password/krb5/enctype/des3-cbc-md5=yes lässt die Generierung von des3-cbc-md5 Keys generell wieder aktivieren.

 * Changelog Eintrag OK

Comment 10 Sönke Schwardt-Krummrich 2011-12-13 15:51:21 CET

UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert
werden: "Clone This Bug"