Bug 17890 - "Passwort bei der nächsten Anmeldung ändern" Code auf aktuelles Samba anpassen
"Passwort bei der nächsten Anmeldung ändern" Code auf aktuelles Samba anpassen
Status: CLOSED FIXED
Product: UCS
Classification: Unclassified
Component: UMC - Users
UCS 2.3
Other Linux
: P5 normal (vote)
: UCS 3.2
Assigned To: Dirk Wiesenthal
Stefan Gohmann
: interim-2
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2010-03-16 11:52 CET by Arvid Requate
Modified: 2013-11-19 06:42 CET (History)
2 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Arvid Requate univentionstaff 2010-03-16 11:52:38 CET
Da sambaPwdMustChange deprecated ist (Bug 13199, http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=519666), fragt man sich irgendwann, wie dann "must change at next logon" funktioniert. Momentan funktioniert das, weil in smb.conf "obey pam restrictions = yes" steht und PAM den Account aufgrund folgender Zeile als gesperrt meldet:

account [success=done new_authtok_reqd=done acct_expired=bad default=ignore]    pam_unix.so

(in /etc/pam.d/samba bzw. common-account, interessanterweise durch "new_authtok_reqd=done". Nimmt man die Zeile heraus, funktioniert der Login mit altem Passwort weiterhin, allerdings mit kurzer Verzögerung z.B. bei "smbclient -L localhost" nach Auflisten der Shares..)

Schaltet man die Samba Option "obey pam restrictions" per UCR:samba/pam/restrictions=no ab, dann wird die UDM Einstellung "Passwort bei der nächsten Anmeldung ändern" nicht umgesetzt (und "smbclient -L localhost" zeigt keine Verzögerung).

samba-3.3.10 hingegen wertet 'sambaPwdLastSet=0' als "must change at next logon" (samba-3.3.10/source/auth/auth_sam.c). Das sollte in users/user umgesetzt werden. Der Vorteil wäre, dass es unabhängig von Password Expiry Policy und PAM funktioniert.
Comment 1 Dirk Wiesenthal univentionstaff 2013-09-16 14:22:07 CEST
In users/user.py:
- sambaPwdLastSetValue='1'
+ sambaPwdLastSetValue='0'

Scheint zu funktionieren in
  univention-directory-manager-modules 9.0.35-1.1082.201309161419
Comment 2 Stefan Gohmann univentionstaff 2013-09-19 21:37:39 CEST
S4 / AD Connector still OK. They both use the value but they check for 0 or 1.

UDM works as well.

Changelog: OK
Comment 3 Stefan Gohmann univentionstaff 2013-11-19 06:42:28 CET
UCS 3.2 has been released:
 http://docs.univention.de/release-notes-3.2-en.html
 http://docs.univention.de/release-notes-3.2-de.html

If this error occurs again, please use "Clone This Bug".