Univention Bugzilla – Bug 24985
w2k8r2 English: Fehler in nt_password_to_arcfour_hmac_md5 nach dem Anlegen eines Benutzers auf AD
Last modified: 2013-11-19 06:43:46 CET
UCS 3.0 <=> w2k8r2 EN Ich habe im AD einen Benutzer angelegt. Darauf hin gab es folgende Meldung in der connnector.log: 28.11.2011 17:18:40,507 MAIN (------ ): DEBUG_INIT 28.11.2011 17:18:40,557 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/ad/1322482037.197678 28.11.2011 17:18:40,559 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/ad/1322482037.193733 28.11.2011 17:18:40,570 LDAP (PROCESS): sync to ucs: [ user] [ add] uid=test1,cn=users,dc=w2k8,dc=r2 28.11.2011 17:18:40,574 LDAP (WARNING): __set_values: The attributes for lastname have not been removed as it represents a mandatory attribute 28.11.2011 17:18:41,81 LDAP (PROCESS): sync from ucs: [ group] [ modify] cn=domain users,cn=users,dc=w2k8r2,dc=win 28.11.2011 17:18:41,105 LDAP (PROCESS): sync from ucs: [ user] [ modify] cn=test1,cn=users,dc=w2k8r2,dc=win 28.11.2011 17:18:41,320 LDAP (PROCESS): sync to ucs: [ user] [ modify] uid=test1,cn=users,dc=w2k8,dc=r2 28.11.2011 17:18:41,410 LDAP (ERROR ): failed in post_con_modify_functions 28.11.2011 17:18:41,411 LDAP (ERROR ): Traceback (most recent call last): File "/usr/lib/pymodules/python2.6/univention/connector/__init__.py", line 1078, in sync_to_ucs f(self, property_type, object) File "/usr/lib/pymodules/python2.6/univention/connector/ad/password.py", line 329, in password_sync [(ldap.MOD_REPLACE, 'krb5Key', nt_password_to_arcfour_hmac_md5(ntPwd.upper()))]) File "/usr/lib/pymodules/python2.6/univention/connector/ad/password.py", line 48, in nt_password_to_arcfour_hmac_md5 key+=chr(int(o, 16)) ValueError: invalid literal for int() with base 16: '(C' 28.11.2011 17:18:41,411 LDAP (WARNING): sync to ucs was not successfull, save rejected 28.11.2011 17:18:41,412 LDAP (WARNING): object was: CN=test1,CN=Users,DC=w2k8r2,DC=win 28.11.2011 17:19:31,522 LDAP (PROCESS): sync to ucs: Resync rejected dn: CN=test1,CN=Users,DC=w2k8r2,DC=win 28.11.2011 17:19:31,531 LDAP (PROCESS): sync to ucs: [ user] [ modify] uid=test1,cn=users,dc=w2k8,dc=r2 28.11.2011 21:11:19,193 MAIN (------ ): DEBUG_INIT univention-ldapsearch -LLL uid=test1 dn: uid=test1,cn=users,dc=w2k8,dc=r2 uid: test1 krb5PrincipalName: test1@W2K8.R2 objectClass: top objectClass: person objectClass: univentionPWHistory objectClass: posixAccount objectClass: shadowAccount objectClass: univentionMail objectClass: sambaSamAccount objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: krb5Principal objectClass: krb5KDCEntry objectClass: univentionObject uidNumber: 2006 sambaAcctFlags: [U ] sambaPasswordHistory: 3701ACCFBB43FD8F722C6E4CA85D225CE2EEED15EF844FAD7CA32AD3 8443539E krb5MaxLife: 86400 cn: none krb5MaxRenew: 604800 krb5KeyVersionNumber: 1 loginShell: /bin/bash univentionObjectType: users/user krb5KDCFlags: 126 displayName: test1 sambaSID: S-1-5-21-2554573173-1994222720-3591642024-5012 gecos: none sn: none pwhistory: 97E90BA045E4A5FD04DBBAFBEA5D00D79F91E721 homeDirectory: /home/test1 gidNumber: 5001 sambaPrimaryGroupSID: S-1-5-21-2554573173-1994222720-3591642024-513 krb5Key:: MB2hGzAZoAMCARehEgQQIRBRGR3qPSHmkrMKlHBRQQ== userPassword:: e0s1S0VZfQ== sambaLMPassword: NO PASSWORD********************* sambaNTPassword: 211051191DEA3D21E692B30A94705141 sambaPwdLastSet: 1322497009 -> univention-adsearch cn=test1 # # univention-adsearch # filter: cn=test1 # DN: CN=test1,CN=Users,DC=w2k8r2,DC=win primaryGroupID: 513 logonCount: 0 cn: test1 countryCode: 0 dSCorePropagationData: 16010101000000.0Z objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user userPrincipalName: test1@w2k8r2.win instanceType: 4 distinguishedName: CN=test1,CN=Users,DC=w2k8r2,DC=win sAMAccountType: 805306368 objectSid: S-1-5-21-2054961032-3431655569-3862894652-1114 whenCreated: 20111128161648.0Z uSNCreated: 24660 badPasswordTime: 0 pwdLastSet: 129669706090126000 sAMAccountName: test1 objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=w2k8r2,DC=win objectGUID: ['R\xf2\x13\x85\xe5\x90\xa1K\xb9\x0c+\xbf\xf7f(\xe7'] whenChanged: 20111128161759.0Z badPwdCount: 0 accountExpires: 9223372036854775807 displayName: test1 name: test1 codePage: 0 userAccountControl: 512 lastLogon: 0 uSNChanged: 24666 sn: none lastLogoff: 0 Anmelden am UCS kann ich mich aber mit diesem Benutzer. Ich habe dann noch einen Benutzer im AD angelegt, dieses mal kam der Fehler nicht.
Abgesehen von der obigen Fehlermeldung, die nur sporadisch auftritt, verhält es sich mit dem LM Passwort etwas komisch Ich hatte im w2k8r2 die Richtlinie "keine LM Passwöter erzeugen" zunächst aktiviert. Dann kann dieses Passwort auf UCS Seite ja nicht (richtig) gesetzt werden. Die LN Passwort Richtlinie habe ich darauf hin deaktiviert. Wenn ich aber im AD Benutzer angelege, steht in deren LM Passwort Attribut immer noch sambaLMPassword: NO PASSWORD********************* und sporadisch sambaLMPassword: 00000A00000D00000000000000000000 # test1, users, w2k8.r2 dn: uid=test1,cn=users,dc=w2k8,dc=r2 sambaLMPassword: NO PASSWORD********************* # test2, users, w2k8.r2 dn: uid=test2,cn=users,dc=w2k8,dc=r2 sambaLMPassword: NO PASSWORD********************* # test3, users, w2k8.r2 dn: uid=test3,cn=users,dc=w2k8,dc=r2 sambaLMPassword: 00000A00000D00000000000000000000 # test4, users, w2k8.r2 dn: uid=test4,cn=users,dc=w2k8,dc=r2 sambaLMPassword: NO PASSWORD********************* # test5, users, w2k8.r2 dn: uid=test5,cn=users,dc=w2k8,dc=r2 sambaLMPassword: NO PASSWORD********************* # test6, users, w2k8.r2 dn: uid=test6,cn=users,dc=w2k8,dc=r2 sambaLMPassword: NO PASSWORD********************* # test7, users, w2k8.r2 dn: uid=test7,cn=users,dc=w2k8,dc=r2 sambaLMPassword: 00000A00000D00000000000000000000 # test8, users, w2k8.r2 dn: uid=test8,cn=users,dc=w2k8,dc=r2 sambaLMPassword: NO PASSWORD********************* (alle Benutzer auf AD angelegt). Verwirrt hat mich folgendes. Ich habe zusätzlich noch ein deutsches w2k8, Dort ist die LM Passwort Richtlinie (Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern) aktiviert. Wenn ich dort Benutzer anlege, scheinen die LM Passwörter aber vorhanden zu sein. # test1, users, w2k8.st dn: uid=test1,cn=users,dc=w2k8,dc=st sambaLMPassword: AAD3B435B51404EEAAD3B435B51404EE # SUPPORT_324324, users, w2k8.st dn: uid=SUPPORT_324324,cn=users,dc=w2k8,dc=st sambaLMPassword: AAD3B435B51404EEAAD3B435B51404EE # test2, users, w2k8.st dn: uid=test2,cn=users,dc=w2k8,dc=st sambaLMPassword: AAD3B435B51404EEAAD3B435B51404EE # test3, users, w2k8.st dn: uid=test3,cn=users,dc=w2k8,dc=st sambaLMPassword: AAD3B435B51404EEAAD3B435B51404EE
Created attachment 3911 [details] PW Service log
Das Problem kann nicht reproduziert werden. Da die Benutzer später nicht rejected sind und die Passwörter ebenfalls stimmen -> 3.x.
Dieses Verhalten von w2k8r2 (Passwort kann zunächst nicht gesetzt werden, wird aber dann später korrigiert und erneut synchronisiert) führt in einer Multi-Instanz Umgebung (UCS 3.0 <=> w2k8 <=> w2k8r2) zu Problemen. Hier werden dann in einer Endlos-Schleife immer alle Benutzer modifiziert, wahrscheinlich ausgelöst durch die nachträgliche Änderung des Passworts durch w2k8r2.
(In reply to comment #4) > Dieses Verhalten von w2k8r2 (Passwort kann zunächst nicht gesetzt werden, wird > aber dann später korrigiert und erneut synchronisiert) führt in einer > Multi-Instanz Umgebung (UCS 3.0 <=> w2k8 <=> w2k8r2) zu Problemen. Hier werden > dann in einer Endlos-Schleife immer alle Benutzer modifiziert, wahrscheinlich > ausgelöst durch die nachträgliche Änderung des Passworts durch w2k8r2. Hier hilft es nur den w2k8r2 im syncmode=read zu betreiben.
We will not ship a UCS 3.1-2 release; the next UCS release will be UCS 3.2. As such, this bug is moved to the new target milestone.
Ich kann das Problem mit UCS 3.2 nicht reproduzieren. Bisher ist es auch in keinem Kundensetup aufgetreten.
OK - (In reply to Stefan Gohmann from comment #7) > Ich kann das Problem mit UCS 3.2 nicht reproduzieren. Bisher ist es auch in > keinem Kundensetup aufgetreten. Ich mit 3.2 auch nicht (sambaLMPassword wird glaube ich auch nicht mehr gesynct)
UCS 3.2 has been released: http://docs.univention.de/release-notes-3.2-en.html http://docs.univention.de/release-notes-3.2-de.html If this error occurs again, please use "Clone This Bug".