Im Moment steht in /etc/pam.d/admin-auth folgende Zeile: auth [success=done new_authtok_reqd=ok user_unknown=ignore service_err=die authinfo_unavail=die default=die] pam_krb5.so use_first_pass Gemäss Bug 9768#c5 und auch im selbstversuch, ergibt sich hieraus, daß es Administratoren nicht möglich ist, sich anzumelden, wenn die Kerberos-Auth fehlschlägt, da dann "default=die" greift und der Pam-Stack abbricht. Bei Benutzern ist folgendes gesetzt: auth [success=done new_authtok_reqd=ok user_unknown=ignore service_err=die authinfo_unavail=die default=ignore] pam_krb5.so use_first_pass Das nachfolgede pam_ldap.so wird dann noch ausgeführt, auch wenn die Kerberos-Auth nicht funktioniert hat. Wir sollten dies angleichen, indem wir die Zeile aus common-auth übernehmen.
Der Fehler tritt auch in UMC auf. Sobald der Kerberos-Server nicht erreichbar ist bzw. das Kerberos-Konto ungültig, kann man sich nicht anmelden (egal ob normaler User oder Domain Admins). ==> /etc/pam.d/univention-management-console Fix in Zeile mit pam_krb5.so: s/default=die/default=ignore/
In der UMC PAM Konfiguration wurde das mittlerweile angepasst.
*** Bug 23024 has been marked as a duplicate of this bug. ***
admin-auth gibt es mittlerweile nicht mehr. Ich kann mich auch noch anmelden, wenn der Kerberos Dienst aus ist.
Anmeldung mit abgeschaltetem Kerbers Dienst funktioniert. default=ignore wird an pam_krb5.so in commo-auth gesetzt, sofern es nicht das letzte Modul ist.
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"