Univention Bugzilla – Bug 25656
Benutzernamen mit Grossbuchstaben erlauben
Last modified: 2012-12-12 21:08:40 CET
Es sollten Benutzer mit Grossbuchstaben erlaubt werden. AD bzw. S4 erlaubt es ebenfalls.
*** Bug 10747 has been marked as a duplicate of this bug. ***
*** Bug 25360 has been marked as a duplicate of this bug. ***
*** Bug 28223 has been marked as a duplicate of this bug. ***
Änderung wurde durchgeführt. Tests fehlen noch.
Samba Anmeldung und Lokale Anmeldung war problemlos. Die lokale Anmeldugn wurde über die Gruppenzugehörigkeit gelöst, diese wird also korrekt ausgewertet. Die Anmeldung an Horde, Nagios und UMC funktionierte ebenfalls ohne Probleme, inkl. Gruppenauswertung. Die ACL Aufwertung passt ebenfalls: SG@master52:~$ id SG uid=2005(SG) gid=5001(Domain Users) groups=5001(Domain Users),5000(Domain Admins) SG@master52:~$ ls -la /tmp/a -rw-r----- 1 root Domain Admins 15 Sep 4 02:18 /tmp/a SG@master52:~$ cat /tmp/a Here it is ... SG@master52:~$ ls -la /tmp/b -rw-rw----+ 1 root root 7 Sep 4 02:20 /tmp/b SG@master52:~$ getfacl /tmp/b getfacl: Removing leading '/' from absolute path names # file: tmp/b # owner: root # group: root user::rw- group::rw- group:Domain\040Admins:r-- mask::rw- other::--- SG@master52:~$ cat /tmp/b File b Das groups Verhalten scheint aber insgesamt noch nicht richtig zu sein: SG@master52:~$ groups Domain Users Domain Admins SG@master52:~$ groups SG SG : Domain Users Domain Admins SG@master52:~$ groups sg sg : Domain Users SG@master52:~$
(In reply to comment #5) > Das groups Verhalten scheint aber insgesamt noch nicht richtig zu sein: > SG@master52:~$ groups > Domain Users Domain Admins > SG@master52:~$ groups SG > SG : Domain Users Domain Admins > SG@master52:~$ groups sg > sg : Domain Users > SG@master52:~$ Das ist etwas aufwendiger. Im LDAP prüfen wir die Eindeutigkeit der Benutzernamen derzeit case-insensitive. Das heisst man kann Administrator anlegen, dann aber nicht mehr administrator. Auf der Kommandozeile kann man, sofern --force-badname übergeben wird, einen Benutzer Bla anlegen und einen Benutzer BLA. Sollten wir jetzt alles case-sensitive umstellen, dann wäre das eine Möglichkeit, wir bekommen aber folgende Probleme: 1. eine Anmeldung muss dann zwangsläufig als Administrator erfolgen und darf nicht als administrator erfolgen. Ich glaube das ist für viele eine grosse Umstellung. 2. Teilweise werden durch die Synchronisation mit anderen Verzeichnisdiensten die Gruppenmitglieder lower-case eingetragen. Das würde dann zu Problemen führen. Aber auch wenn es schon "falsche" Umgebungen gibt, wäre das ein Problem. Die Prüfung der Gruppenmitglieder gegen die Benutzernamen allgemein case-insensitive auszuführen wäre eine andere Option, könnte aber sicherheitstechnisch Probleme machen, wenn es lokale Benutzer gibt, die sich nur in der Groß- und Kleinschreibung unterscheiden und in unterschiedlichen Gruppen sind. Das wäre sicherlich nichts, was wir Upstream bekommen. Leider wird die Prüfung derzeit unabhängig von den nss-Datenbnaken gemacht. Eigentlich sollte es so sein, dass bei libnss-ldap oder libnss-extrausers die Prüfung case-insensitive gemacht wird.
libnss-extrausers bringt jetzt die nss-Funktion initgroups mit. Dort wird die Prüfung case-insenstiv durchgeführt, damit sieht es gut aus: root@master52:~# groups SG SG : Domain Users Domain Admins root@master52:~# groups sg sg : Domain Users Domain Admins root@master52:~# id sg uid=2005(SG) gid=5001(Domain Users) groups=5001(Domain Users),5000(Domain Admins) root@master52:~# id SG uid=2005(SG) gid=5001(Domain Users) groups=5001(Domain Users),5000(Domain Admins) root@master52:~# Das sollte noch in größeren Umgebungen getestet werden.
Meine Tests waren soweit erfolgreich.
Benutzer TEST1 und test2: OK - squid basic/ntlm OK - smbclient Anmeldung/Permissions OK - ssh Anmeldung (über pam Access File mit Gruppen) OK - kinit, Kerberos Ticket OK - ldapsearch -Y gssapi OK - UMC OK - Nagios OK - Horde4/Cyrus/Postfix OK - cyrus unix group (Folder mit Permissions für Gruppe) OK - testsaslauthd OK - groups/id TEST1|tesT1 OK - Filesystem Permissions und ACL's Es ist mir nichts weiter aufgefallen. Changelog OK
UCS 3.1-0 has been released: http://forum.univention.de/viewtopic.php?f=54&t=2125 If this error occurs again, please use "Clone This Bug".