Univention Bugzilla – Bug 20518
UCS -> Windows2008: kein Kerberos-Konto mehr
Last modified: 2018-11-15 15:49:15 CET
Bei der Default-Konfiguration wird im Sync UCS -> AD das Attribut "userPrincipalName" im AD nicht gesetzt. AFAIR passierte das in AD 2003 noch automatisch. In 2008 hat man dann mit einem von UCS synchronisierten User kein Kerberos-Konto mehr.
Man kann nächträglich per ldapmodify "userPrincipalName" auf einen gültigen Wert (<uid>@<AD-Kerberos-Domain>) setzten und dann den Account neu per Attribut userAccountControl=544 aktivieren (letzteres passiert im Connector beim Anlegen auch jetzt schon). Anschliessend hat der User auch ein Kerberos-Konto.
Implementierung soll wie folgt erfolgen: - die Windows-Kerberos-Domain kann per UCR gesetzt werden: connector/ad/mapping/kerberosdomain - ist die Variable leer (default), arbeitet der Connector wie bisher - ist die Variable gesetzt, wird beim Anlegen eines Users der userPrincipalName auf <uid>@<connector/ad/mapping/kerberosdomain> gesetzt
Created attachment 2778 [details] Implementierung der per UCR konfigurierbaren Erweiterung von Accounts auf Kerberos-Accounts
(In reply to comment #1) > Man kann nächträglich per ldapmodify "userPrincipalName" auf einen gültigen > Wert (<uid>@<AD-Kerberos-Domain>) setzten und dann den Account neu per Attribut > userAccountControl=544 aktivieren (letzteres passiert im Connector beim Anlegen Wenn der Benutzer direkt auf AD Seite angelegt wird, dann wird userAccountControl auf 512 gesetzt.
fixed in 2.4-1
(In reply to comment #5) > fixed in 2.4-1 Funktioniert wie beschrieben, Variable wird beim Einrichten des AD-COnnectors initial automatisch gesetzt und angewandt. Im Changelog hatte sich ein Typo in der Bugnummer eingeschlichen, welchen ich beseitigt habe: Bug# 10518 statt 20518 verified!
UCS 2.4-1 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".