Description Sönke Schwardt-Krummrich 2011-06-29 10:34:08 CEST

In einer AD-Connector-Umgebung mit unidirektionalem Write (UCS-->AD) war auf AD-Seite eine Passwort-Ablaufrichtlinie von 5 Tagen gesetzt. Ebenso auf UCS-Seite. Wird ein Passwort auf UCS-Seite für userA gesetzt, wird im OpenLDAP korrekt das Attribut krb5PasswordEnd gesetzt.
Wird anschließend bei dem gleichen User das Passwort im AD geändert und über den PW-Sync-Daemon zurück ins UCS-LDAP synchronisiert, wird dabei die PW-Ablaufrichtlinie nicht beachtet und z.B. krb5PasswordEnd entfernt (ggf. noch mehr Attribute).
Sofern für die Windows-Anmeldung am SambaDomain-Objekt das Attribut sambaMaxPwdAge korrekt gesetzt ist, wird die Ablauf-Richtlinie auf UCS-Seite trotzdem korrekt ausgewertet.
Bei Diensten, die krb5PasswordEnd auslesen, ist ggf. der Login auch mit einem abgelaufenen Passwort möglich bzw. es wird kein PW-Wechsel verlangt.