Bug 16733 – Login per smbclient mit "locked"-Benutzer möglich

Bug 16733 - Login per smbclient mit "locked"-Benutzer möglich


Summary:	Login per smbclient mit "locked"-Benutzer möglich

Status:	CLOSED INVALID

Product:	UCS
Classification:	Unclassified
Component:	Samba
Version:	UCS 2.3
Hardware:	Other Linux

Importance:	P5 normal (vote)
Target Milestone:	UCS 2.3
Assigned To:	Arvid Requate
QA Contact:	Janek Walkenhorst

URL:
Keywords:

Depends on:
Blocks:	14412
	Show dependency tree / graph

Reported:	2009-12-07 13:51 CET by Janek Walkenhorst
Modified:	2009-12-21 08:46 CET (History)
CC List:	2 users (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Janek Walkenhorst

2009-12-07 13:51:43 CET

Seit UCS 2.3 ist es möglich sich per smbclient mit einem "locked"-Benutzer anzumelden:

# smbclient -U normal4%univention //dcMASTER/homes
WARNING: Ignoring invalid value 'on' for parameter 'ldap ssl'
WARNING: The "printer admin" option is deprecated
Domain=[DOMAIN] OS=[Unix] Server=[Samba 3.3.9]
smb: \> dir
[..]

Bei den UCS 2.2-Produkttests war dies noch nicht der Fall.

---
Ein "disabled"-Benutzer geht wie gewohnt nicht:

# smbclient -U normal3%univention //dcMASTER/homes
WARNING: Ignoring invalid value 'on' for parameter 'ldap ssl'
WARNING: The "printer admin" option is deprecated
session setup failed: NT_STATUS_ACCOUNT_DISABLED

Comment 1 Sönke Schwardt-Krummrich

2009-12-07 13:58:54 CET

Ich setz den Bug mal auf UCS 2.3-0, da dies eine größere Abweichung zum bisherigen Verhalten darstellt und sich nach dem Update ggf. diverse gelockte Benutzer plötzlich wieder anmelden können.

Comment 2 Janek Walkenhorst

2009-12-07 14:08:32 CET

Die betrifft auch den Login mit einem Windows-Client.

Comment 3 Arvid Requate

2009-12-07 15:54:19 CET

Das lag vermultich daran, dass zwischen Test Setup und Test die "lockout duration" überschritten worden ist:

root@dcmaster# pdbedit -P "lockout duration"
WARNING: Ignoring invalid value 'on' for parameter 'ldap ssl'
account policy "lockout duration" description: Lockout duration in minutes (default: 30, -1 => forever)
account policy "lockout duration" value is: 30

root@dcmaster# ldapsearch -x uid=normal4 sambaAcctFlags
sambaAcctFlags: [UL         ]

root@dcmaster# smbclient //localhost/homes -U normal4
WARNING: Ignoring invalid value 'on' for parameter 'ldap ssl'
WARNING: The "printer admin" option is deprecated
Enter normal4's password:
session setup failed: NT_STATUS_ACCOUNT_LOCKED_OUT

Comment 4 Arvid Requate

2009-12-07 15:57:25 CET

Note: Seit Samba 3.2.4 gibt es ein Problem damit, allerdings etwas anders gelagert: "bad login counter in the LDAP backend is not incremented when a failed login happens"
https://bugzilla.samba.org/show_bug.cgi?id=5825
http://bugs.debian.org/514151

Der Bug soll dann in Debian 5.0.1 gefixed sein:
http://wiki.debian.org/DebianReleases/PointReleases/5.0.1

Comment 5 Janek Walkenhorst

2009-12-07 16:03:42 CET

(In reply to comment #3)
> Das lag vermultich daran, dass zwischen Test Setup und Test die "lockout
> duration" überschritten worden ist:
Ja, smbclient - Windows-Client wird noch getestet

Comment 6 Janek Walkenhorst

2009-12-07 16:12:24 CET

INVALID:

(In reply to comment #5)
> (In reply to comment #3)
> > Das lag vermultich daran, dass zwischen Test Setup und Test die "lockout
> > duration" überschritten worden ist:
> Ja, smbclient - Windows-Client wird noch getestet
Auch bei Windows wird gemeldet, dass das Konto deaktiviert ist.

Comment 7 Janek Walkenhorst

2009-12-08 13:33:48 CET

Verified: Ist kein Bug

Comment 8 Stefan Gohmann

2009-12-21 08:46:39 CET

UCS 2.3 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".