First Last Prev Next    This bug is not in your last search results.
Bug 24985 - w2k8r2 English: Fehler in nt_password_to_arcfour_hmac_md5 nach dem Anlegen eines Benutzers auf AD
w2k8r2 English: Fehler in nt_password_to_arcfour_hmac_md5 nach dem Anlegen ei...
Status: CLOSED WORKSFORME
Product: UCS
Classification: Unclassified
Component: AD Connector
UCS 3.0
Other Linux
: P5 normal (vote)
: UCS 3.2
Assigned To: Stefan Gohmann
Felix Botner
: interim-2
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2011-11-29 10:29 CET by Felix Botner
Modified: 2013-11-19 06:43 CET (History)
1 user (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
PW Service log (34.73 KB, application/text)
2011-11-29 12:07 CET, Felix Botner 		Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Felix Botner univentionstaff 2011-11-29 10:29:06 CET 
UCS 3.0 <=> w2k8r2 EN 

Ich habe im AD einen Benutzer angelegt. Darauf hin gab es folgende Meldung in der connnector.log:

28.11.2011 17:18:40,507 MAIN        (------ ): DEBUG_INIT
28.11.2011 17:18:40,557 LDAP        (PROCESS): sync from ucs:   Resync rejected file: /var/lib/univention-connector/ad/1322482037.197678
28.11.2011 17:18:40,559 LDAP        (PROCESS): sync from ucs:   Resync rejected file: /var/lib/univention-connector/ad/1322482037.193733
28.11.2011 17:18:40,570 LDAP        (PROCESS): sync to ucs:   [          user] [       add] uid=test1,cn=users,dc=w2k8,dc=r2
28.11.2011 17:18:40,574 LDAP        (WARNING): __set_values: The attributes for lastname have not been removed as it represents a mandatory attribute
28.11.2011 17:18:41,81 LDAP        (PROCESS): sync from ucs: [         group] [    modify] cn=domain users,cn=users,dc=w2k8r2,dc=win
28.11.2011 17:18:41,105 LDAP        (PROCESS): sync from ucs: [          user] [    modify] cn=test1,cn=users,dc=w2k8r2,dc=win
28.11.2011 17:18:41,320 LDAP        (PROCESS): sync to ucs:   [          user] [    modify] uid=test1,cn=users,dc=w2k8,dc=r2
28.11.2011 17:18:41,410 LDAP        (ERROR  ): failed in post_con_modify_functions
28.11.2011 17:18:41,411 LDAP        (ERROR  ): Traceback (most recent call last):
  File "/usr/lib/pymodules/python2.6/univention/connector/__init__.py", line 1078, in sync_to_ucs
    f(self, property_type, object)
  File "/usr/lib/pymodules/python2.6/univention/connector/ad/password.py", line 329, in password_sync
    [(ldap.MOD_REPLACE, 'krb5Key', nt_password_to_arcfour_hmac_md5(ntPwd.upper()))])
  File "/usr/lib/pymodules/python2.6/univention/connector/ad/password.py", line 48, in nt_password_to_arcfour_hmac_md5
    key+=chr(int(o, 16))
ValueError: invalid literal for int() with base 16: '(C'

28.11.2011 17:18:41,411 LDAP        (WARNING): sync to ucs was not successfull, save rejected
28.11.2011 17:18:41,412 LDAP        (WARNING): object was: CN=test1,CN=Users,DC=w2k8r2,DC=win
28.11.2011 17:19:31,522 LDAP        (PROCESS): sync to ucs: Resync rejected dn: CN=test1,CN=Users,DC=w2k8r2,DC=win
28.11.2011 17:19:31,531 LDAP        (PROCESS): sync to ucs:   [          user] [    modify] uid=test1,cn=users,dc=w2k8,dc=r2
28.11.2011 21:11:19,193 MAIN        (------ ): DEBUG_INIT


univention-ldapsearch -LLL uid=test1
dn: uid=test1,cn=users,dc=w2k8,dc=r2
uid: test1
krb5PrincipalName: test1@W2K8.R2
objectClass: top
objectClass: person
objectClass: univentionPWHistory
objectClass: posixAccount
objectClass: shadowAccount
objectClass: univentionMail
objectClass: sambaSamAccount
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: krb5Principal
objectClass: krb5KDCEntry
objectClass: univentionObject
uidNumber: 2006
sambaAcctFlags: [U          ]
sambaPasswordHistory: 3701ACCFBB43FD8F722C6E4CA85D225CE2EEED15EF844FAD7CA32AD3
 8443539E
krb5MaxLife: 86400
cn: none
krb5MaxRenew: 604800
krb5KeyVersionNumber: 1
loginShell: /bin/bash
univentionObjectType: users/user
krb5KDCFlags: 126
displayName: test1
sambaSID: S-1-5-21-2554573173-1994222720-3591642024-5012
gecos: none
sn: none
pwhistory: 97E90BA045E4A5FD04DBBAFBEA5D00D79F91E721
homeDirectory: /home/test1
gidNumber: 5001
sambaPrimaryGroupSID: S-1-5-21-2554573173-1994222720-3591642024-513
krb5Key:: MB2hGzAZoAMCARehEgQQIRBRGR3qPSHmkrMKlHBRQQ==
userPassword:: e0s1S0VZfQ==
sambaLMPassword: NO PASSWORD*********************
sambaNTPassword: 211051191DEA3D21E692B30A94705141
sambaPwdLastSet: 1322497009


-> univention-adsearch  cn=test1
#
# univention-adsearch
# filter: cn=test1
#

DN: CN=test1,CN=Users,DC=w2k8r2,DC=win
primaryGroupID: 513
logonCount: 0
cn: test1
countryCode: 0
dSCorePropagationData: 16010101000000.0Z
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
userPrincipalName: test1@w2k8r2.win
instanceType: 4
distinguishedName: CN=test1,CN=Users,DC=w2k8r2,DC=win
sAMAccountType: 805306368
objectSid: S-1-5-21-2054961032-3431655569-3862894652-1114
whenCreated: 20111128161648.0Z
uSNCreated: 24660
badPasswordTime: 0
pwdLastSet: 129669706090126000
sAMAccountName: test1
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=w2k8r2,DC=win
objectGUID: ['R\xf2\x13\x85\xe5\x90\xa1K\xb9\x0c+\xbf\xf7f(\xe7']
whenChanged: 20111128161759.0Z
badPwdCount: 0
accountExpires: 9223372036854775807
displayName: test1
name: test1
codePage: 0
userAccountControl: 512
lastLogon: 0
uSNChanged: 24666
sn: none
lastLogoff: 0

Anmelden am UCS kann ich mich aber mit diesem Benutzer.
Ich habe dann noch einen Benutzer im AD angelegt, dieses mal kam der Fehler nicht.
Comment 1 Felix Botner univentionstaff 2011-11-29 11:56:01 CET 
Abgesehen von der obigen Fehlermeldung, die nur sporadisch auftritt, verhält es sich mit dem LM Passwort etwas komisch

Ich hatte im w2k8r2 die Richtlinie "keine LM Passwöter erzeugen" zunächst aktiviert. Dann kann dieses Passwort auf UCS Seite ja nicht (richtig) gesetzt werden.

Die LN Passwort Richtlinie habe ich darauf hin deaktiviert. Wenn ich aber im AD Benutzer angelege, steht in deren LM Passwort Attribut immer noch 

sambaLMPassword: NO PASSWORD*********************

und sporadisch 

sambaLMPassword: 00000A00000D00000000000000000000


# test1, users, w2k8.r2
dn: uid=test1,cn=users,dc=w2k8,dc=r2
sambaLMPassword: NO PASSWORD*********************

# test2, users, w2k8.r2
dn: uid=test2,cn=users,dc=w2k8,dc=r2
sambaLMPassword: NO PASSWORD*********************

# test3, users, w2k8.r2
dn: uid=test3,cn=users,dc=w2k8,dc=r2
sambaLMPassword: 00000A00000D00000000000000000000

# test4, users, w2k8.r2
dn: uid=test4,cn=users,dc=w2k8,dc=r2
sambaLMPassword: NO PASSWORD*********************

# test5, users, w2k8.r2
dn: uid=test5,cn=users,dc=w2k8,dc=r2
sambaLMPassword: NO PASSWORD*********************

# test6, users, w2k8.r2
dn: uid=test6,cn=users,dc=w2k8,dc=r2
sambaLMPassword: NO PASSWORD*********************

# test7, users, w2k8.r2
dn: uid=test7,cn=users,dc=w2k8,dc=r2
sambaLMPassword: 00000A00000D00000000000000000000

# test8, users, w2k8.r2
dn: uid=test8,cn=users,dc=w2k8,dc=r2
sambaLMPassword: NO PASSWORD*********************

(alle Benutzer auf AD angelegt).

Verwirrt hat mich folgendes. Ich habe zusätzlich noch ein deutsches w2k8, Dort ist die LM Passwort Richtlinie (Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern) aktiviert. Wenn ich dort Benutzer anlege, scheinen die LM Passwörter aber vorhanden zu sein.

# test1, users, w2k8.st
dn: uid=test1,cn=users,dc=w2k8,dc=st
sambaLMPassword: AAD3B435B51404EEAAD3B435B51404EE

# SUPPORT_324324, users, w2k8.st
dn: uid=SUPPORT_324324,cn=users,dc=w2k8,dc=st
sambaLMPassword: AAD3B435B51404EEAAD3B435B51404EE

# test2, users, w2k8.st
dn: uid=test2,cn=users,dc=w2k8,dc=st
sambaLMPassword: AAD3B435B51404EEAAD3B435B51404EE

# test3, users, w2k8.st
dn: uid=test3,cn=users,dc=w2k8,dc=st
sambaLMPassword: AAD3B435B51404EEAAD3B435B51404EE
Comment 2 Felix Botner univentionstaff 2011-11-29 12:07:36 CET 
Created attachment 3911 [details]
PW Service log
Comment 3 Stefan Gohmann univentionstaff 2011-11-29 14:39:19 CET 
Das Problem kann nicht reproduziert werden. Da die Benutzer später nicht rejected sind und die Passwörter ebenfalls stimmen -> 3.x.
Comment 4 Felix Botner univentionstaff 2011-12-06 10:34:23 CET 
Dieses Verhalten von w2k8r2 (Passwort kann zunächst nicht gesetzt werden, wird aber dann später korrigiert und erneut synchronisiert) führt in einer Multi-Instanz Umgebung (UCS 3.0 <=> w2k8 <=> w2k8r2) zu Problemen. Hier werden dann in einer Endlos-Schleife immer alle Benutzer modifiziert, wahrscheinlich ausgelöst durch die nachträgliche Änderung des Passworts durch w2k8r2.
Comment 5 Felix Botner univentionstaff 2011-12-06 12:05:29 CET 
(In reply to comment #4)
> Dieses Verhalten von w2k8r2 (Passwort kann zunächst nicht gesetzt werden, wird
> aber dann später korrigiert und erneut synchronisiert) führt in einer
> Multi-Instanz Umgebung (UCS 3.0 <=> w2k8 <=> w2k8r2) zu Problemen. Hier werden
> dann in einer Endlos-Schleife immer alle Benutzer modifiziert, wahrscheinlich
> ausgelöst durch die nachträgliche Änderung des Passworts durch w2k8r2.

Hier hilft es nur den w2k8r2 im syncmode=read zu betreiben.
Comment 6 Moritz Muehlenhoff univentionstaff 2013-05-31 10:46:23 CEST 
We will not ship a UCS 3.1-2 release; the next UCS release will be UCS 3.2.

As such, this bug is moved to the new target milestone.
Comment 7 Stefan Gohmann univentionstaff 2013-09-06 08:32:33 CEST 
Ich kann das Problem mit UCS 3.2 nicht reproduzieren. Bisher ist es auch in keinem Kundensetup aufgetreten.
Comment 8 Felix Botner univentionstaff 2013-09-19 14:02:18 CEST 
OK - (In reply to Stefan Gohmann from comment #7)
> Ich kann das Problem mit UCS 3.2 nicht reproduzieren. Bisher ist es auch in
> keinem Kundensetup aufgetreten.

Ich mit 3.2 auch nicht (sambaLMPassword wird glaube ich auch nicht mehr gesynct)
Comment 9 Stefan Gohmann univentionstaff 2013-11-19 06:43:46 CET 
UCS 3.2 has been released:
 http://docs.univention.de/release-notes-3.2-en.html
 http://docs.univention.de/release-notes-3.2-de.html

If this error occurs again, please use "Clone This Bug".
First Last Prev Next    This bug is not in your last search results.