Bug 25656 – Benutzernamen mit Grossbuchstaben erlauben

Bug 25656 - Benutzernamen mit Grossbuchstaben erlauben


Summary:	Benutzernamen mit Grossbuchstaben erlauben

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	General
Version:	UCS 3.0
Hardware:	Other Linux

Importance:	P5 enhancement (vote)
Target Milestone:	UCS 3.1
Assigned To:	Stefan Gohmann
QA Contact:	Felix Botner

URL:
Keywords:	interim-1

Duplicates:	10747 25360 28223 (view as bug list)
Depends on:
Blocks:
	Show dependency tree / graph

Reported:	2012-01-02 12:00 CET by Stefan Gohmann
Modified:	2012-12-12 21:08 CET (History)
CC List:	2 users (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Stefan Gohmann

2012-01-02 12:00:49 CET

Es sollten Benutzer mit Grossbuchstaben erlaubt werden. AD bzw. S4 erlaubt es ebenfalls.

Comment 1 Stefan Gohmann

2012-01-02 12:04:38 CET

*** Bug 10747 has been marked as a duplicate of this bug. ***

Comment 2 Lukas Walter

2012-06-14 09:57:36 CEST

*** Bug 25360 has been marked as a duplicate of this bug. ***

Comment 3 Stefan Gohmann

2012-08-20 06:40:17 CEST

*** Bug 28223 has been marked as a duplicate of this bug. ***

Comment 4 Stefan Gohmann

2012-09-03 09:22:56 CEST

Änderung wurde durchgeführt. Tests fehlen noch.

Comment 5 Stefan Gohmann

2012-09-04 08:22:09 CEST

Samba Anmeldung und Lokale Anmeldung war problemlos. Die lokale Anmeldugn wurde über die Gruppenzugehörigkeit gelöst, diese wird also korrekt ausgewertet.

Die Anmeldung an Horde, Nagios und UMC funktionierte ebenfalls ohne Probleme, inkl. Gruppenauswertung.

Die ACL Aufwertung passt ebenfalls:
SG@master52:~$ id SG
uid=2005(SG) gid=5001(Domain Users) groups=5001(Domain Users),5000(Domain Admins)
SG@master52:~$ ls -la /tmp/a 
-rw-r----- 1 root Domain Admins 15 Sep  4 02:18 /tmp/a
SG@master52:~$ cat /tmp/a 
Here it is ...
SG@master52:~$ ls -la /tmp/b
-rw-rw----+ 1 root root 7 Sep  4 02:20 /tmp/b
SG@master52:~$ getfacl /tmp/b
getfacl: Removing leading '/' from absolute path names
# file: tmp/b
# owner: root
# group: root
user::rw-
group::rw-
group:Domain\040Admins:r--
mask::rw-
other::---

SG@master52:~$ cat /tmp/b 
File b

Das groups Verhalten scheint aber insgesamt noch nicht richtig zu sein:
SG@master52:~$ groups 
Domain Users Domain Admins
SG@master52:~$ groups SG
SG : Domain Users Domain Admins
SG@master52:~$ groups sg
sg : Domain Users
SG@master52:~$

Comment 6 Stefan Gohmann

2012-09-04 10:21:48 CEST

(In reply to comment #5)
> Das groups Verhalten scheint aber insgesamt noch nicht richtig zu sein:
> SG@master52:~$ groups 
> Domain Users Domain Admins
> SG@master52:~$ groups SG
> SG : Domain Users Domain Admins
> SG@master52:~$ groups sg
> sg : Domain Users
> SG@master52:~$

Das ist etwas aufwendiger. Im LDAP prüfen wir die Eindeutigkeit der Benutzernamen derzeit case-insensitive. Das heisst man kann Administrator anlegen, dann aber nicht mehr administrator.

Auf der Kommandozeile kann man, sofern --force-badname übergeben wird, einen Benutzer Bla anlegen und einen Benutzer BLA.

Sollten wir jetzt alles case-sensitive umstellen, dann wäre das eine Möglichkeit, wir bekommen aber folgende Probleme:
 1. eine Anmeldung muss dann zwangsläufig als Administrator erfolgen und darf nicht als administrator erfolgen. Ich glaube das ist für viele eine grosse Umstellung.
 2. Teilweise werden durch die Synchronisation mit anderen Verzeichnisdiensten die Gruppenmitglieder lower-case eingetragen. Das würde dann zu Problemen führen. Aber auch wenn es schon "falsche" Umgebungen gibt, wäre das ein Problem.

Die Prüfung der Gruppenmitglieder gegen die Benutzernamen allgemein case-insensitive auszuführen wäre eine andere Option, könnte aber sicherheitstechnisch Probleme machen, wenn es lokale Benutzer gibt, die sich nur in der Groß- und Kleinschreibung unterscheiden und in unterschiedlichen Gruppen sind. Das wäre sicherlich nichts, was wir Upstream bekommen.
Leider wird die Prüfung derzeit unabhängig von den nss-Datenbnaken gemacht. Eigentlich sollte es so sein, dass bei libnss-ldap oder libnss-extrausers die Prüfung case-insensitive gemacht wird.

Comment 7 Stefan Gohmann

2012-09-04 14:26:10 CEST

libnss-extrausers bringt jetzt die nss-Funktion initgroups mit. Dort wird die Prüfung case-insenstiv durchgeführt, damit sieht es gut aus:

root@master52:~# groups SG
SG : Domain Users Domain Admins
root@master52:~# groups sg
sg : Domain Users Domain Admins
root@master52:~# id sg
uid=2005(SG) gid=5001(Domain Users) groups=5001(Domain Users),5000(Domain Admins)
root@master52:~# id SG
uid=2005(SG) gid=5001(Domain Users) groups=5001(Domain Users),5000(Domain Admins)
root@master52:~# 

Das sollte noch in größeren Umgebungen getestet werden.

Comment 8 Stefan Gohmann

2012-09-06 07:49:59 CEST

Meine Tests waren soweit erfolgreich.

Comment 9 Felix Botner

2012-09-18 11:35:18 CEST

Benutzer TEST1 und test2:

OK - squid basic/ntlm
OK - smbclient Anmeldung/Permissions
OK - ssh Anmeldung (über pam Access File mit Gruppen)
OK - kinit, Kerberos Ticket
OK - ldapsearch -Y gssapi
OK - UMC
OK - Nagios
OK - Horde4/Cyrus/Postfix
OK - cyrus unix group (Folder mit Permissions für Gruppe)
OK - testsaslauthd
OK - groups/id TEST1|tesT1
OK - Filesystem Permissions und ACL's

Es ist mir nichts weiter aufgefallen.

Changelog OK

Comment 10 Stefan Gohmann

2012-12-12 21:08:40 CET

UCS 3.1-0 has been released: 
 http://forum.univention.de/viewtopic.php?f=54&t=2125

If this error occurs again, please use "Clone This Bug".