Univention Bugzilla – Bug 26512
Setzen des LM-Hash deaktivierbar machen
Last modified: 2012-07-20 15:24:41 CEST
Der von Samba3 (NT-Domäne) noch standardmäßig gepflegte/genutzte LM-Hash sollte in einer Samba4-Domäne überflüssig sein. Wir sollten das prüfen und wenn möglich 1. den Hash per UCR deaktivierbar machen, so dass er vom UDM an Usern und Rechnern nicht mehr gespeichert wird. Zu prüfen ist das Verhalten des AD-Connectors wenn der Hash im AD noch gepflegt wird. 2. ein Skript bereitstellen, das vorhandene LDAP-Objekte modifiziert und den Hash entfernt.
Das wurde auch auf dem Partner-Summit von einem Kunden angefragt.
Wenn es nicht so aufwendig ist, dann sollten wir zur 3.0-2 umsetzen.
UCR Variable hinzugefügt: password/samba/lmhash Wird beim Update auf true gesetzt, Default Änderung für UCS 3.1 geplant: Bug #27860 Mit dem Skript /usr/share/univention-directory-manager-tools/remove_sambalmpassword können die LM Hashes entfernt werden.
AV → UCR password/samba/lmhash=true IV → UCR password/samba/lmhash=false SLP → sambaLMPassword LDAP-Attribut AV: erstellter Benutzer hat SLP: OK IV: erstellter Benutzer hat kein SLP: OK AV: Benutzer ohne SLP bekommt SLP bei Passwortänderung: OK AV: Benutzer mit SLP behält SLP bei Passwortänderung: OK IV: Benutzer ohne SLP bekommt kein SLP bei Passwortänderung: OK IV: Benutzer mit SLP verliert SLP bei Passwortänderung: OK Variable wird beim Update auf true gesetzt: OK
(In reply to comment #3) > Mit dem Skript > /usr/share/univention-directory-manager-tools/remove_sambalmpassword können die > LM Hashes entfernt werden. Das funktioniert. Changelog: OK
UCS 3.0-2 has been released: http://forum.univention.de/viewtopic.php?f=54&t=1905 If this error occurs again, please use "Clone This Bug".