Univention Bugzilla – Bug 22931
krb5PasswordEnd wird trotz PW-Ablauf-Richtlinie entfernt
Last modified: 2011-06-29 10:51:29 CEST
In einer AD-Connector-Umgebung mit unidirektionalem Write (UCS-->AD) war auf AD-Seite eine Passwort-Ablaufrichtlinie von 5 Tagen gesetzt. Ebenso auf UCS-Seite. Wird ein Passwort auf UCS-Seite für userA gesetzt, wird im OpenLDAP korrekt das Attribut krb5PasswordEnd gesetzt. Wird anschließend bei dem gleichen User das Passwort im AD geändert und über den PW-Sync-Daemon zurück ins UCS-LDAP synchronisiert, wird dabei die PW-Ablaufrichtlinie nicht beachtet und z.B. krb5PasswordEnd entfernt (ggf. noch mehr Attribute). Sofern für die Windows-Anmeldung am SambaDomain-Objekt das Attribut sambaMaxPwdAge korrekt gesetzt ist, wird die Ablauf-Richtlinie auf UCS-Seite trotzdem korrekt ausgewertet. Bei Diensten, die krb5PasswordEnd auslesen, ist ggf. der Login auch mit einem abgelaufenen Passwort möglich bzw. es wird kein PW-Wechsel verlangt.
Dies scheint ein Spezialfall von 19621 zu sein. *** This bug has been marked as a duplicate of bug 19621 ***