Univention Bugzilla – Bug 16733
Login per smbclient mit "locked"-Benutzer möglich
Last modified: 2009-12-21 08:46:39 CET
Seit UCS 2.3 ist es möglich sich per smbclient mit einem "locked"-Benutzer anzumelden: # smbclient -U normal4%univention //dcMASTER/homes WARNING: Ignoring invalid value 'on' for parameter 'ldap ssl' WARNING: The "printer admin" option is deprecated Domain=[DOMAIN] OS=[Unix] Server=[Samba 3.3.9] smb: \> dir [..] Bei den UCS 2.2-Produkttests war dies noch nicht der Fall. --- Ein "disabled"-Benutzer geht wie gewohnt nicht: # smbclient -U normal3%univention //dcMASTER/homes WARNING: Ignoring invalid value 'on' for parameter 'ldap ssl' WARNING: The "printer admin" option is deprecated session setup failed: NT_STATUS_ACCOUNT_DISABLED
Ich setz den Bug mal auf UCS 2.3-0, da dies eine größere Abweichung zum bisherigen Verhalten darstellt und sich nach dem Update ggf. diverse gelockte Benutzer plötzlich wieder anmelden können.
Die betrifft auch den Login mit einem Windows-Client.
Das lag vermultich daran, dass zwischen Test Setup und Test die "lockout duration" überschritten worden ist: root@dcmaster# pdbedit -P "lockout duration" WARNING: Ignoring invalid value 'on' for parameter 'ldap ssl' account policy "lockout duration" description: Lockout duration in minutes (default: 30, -1 => forever) account policy "lockout duration" value is: 30 root@dcmaster# ldapsearch -x uid=normal4 sambaAcctFlags sambaAcctFlags: [UL ] root@dcmaster# smbclient //localhost/homes -U normal4 WARNING: Ignoring invalid value 'on' for parameter 'ldap ssl' WARNING: The "printer admin" option is deprecated Enter normal4's password: session setup failed: NT_STATUS_ACCOUNT_LOCKED_OUT
Note: Seit Samba 3.2.4 gibt es ein Problem damit, allerdings etwas anders gelagert: "bad login counter in the LDAP backend is not incremented when a failed login happens" https://bugzilla.samba.org/show_bug.cgi?id=5825 http://bugs.debian.org/514151 Der Bug soll dann in Debian 5.0.1 gefixed sein: http://wiki.debian.org/DebianReleases/PointReleases/5.0.1
(In reply to comment #3) > Das lag vermultich daran, dass zwischen Test Setup und Test die "lockout > duration" überschritten worden ist: Ja, smbclient - Windows-Client wird noch getestet
INVALID: (In reply to comment #5) > (In reply to comment #3) > > Das lag vermultich daran, dass zwischen Test Setup und Test die "lockout > > duration" überschritten worden ist: > Ja, smbclient - Windows-Client wird noch getestet Auch bei Windows wird gemeldet, dass das Konto deaktiviert ist.
Verified: Ist kein Bug
UCS 2.3 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".