Bug 20518 – UCS -> Windows2008: kein Kerberos-Konto mehr

Bug 20518 - UCS -> Windows2008: kein Kerberos-Konto mehr


Summary:	UCS -> Windows2008: kein Kerberos-Konto mehr

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	AD Connector
Version:	UCS 2.3
Hardware:	Other Linux

Importance:	P5 normal (vote)
Target Milestone:	UCS 2.4-1
Assigned To:	Stefan Gohmann
QA Contact:	Tim Petersen

URL:
Keywords:

Depends on:
Blocks:	20657 48153
	Show dependency tree / graph

Reported:	2010-10-26 16:37 CEST by Ingo Steuwer
Modified:	2018-11-15 15:49 CET (History)
CC List:	1 user (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Flags:	steuwer: Patch_Available+

Attachments
Implementierung der per UCR konfigurierbaren Erweiterung von Accounts auf Kerberos-Accounts (3.55 KB, patch) 2010-10-27 09:37 CEST, Ingo Steuwer	Details \| Diff
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Ingo Steuwer

2010-10-26 16:37:52 CEST

Bei der Default-Konfiguration wird im Sync UCS -> AD das Attribut "userPrincipalName" im AD nicht gesetzt. AFAIR passierte das in AD 2003 noch automatisch.

In 2008 hat man dann mit einem von UCS synchronisierten User kein Kerberos-Konto mehr.

Comment 1 Ingo Steuwer

2010-10-26 16:39:18 CEST

Man kann nächträglich per ldapmodify "userPrincipalName" auf einen gültigen Wert (<uid>@<AD-Kerberos-Domain>) setzten und dann den Account neu per Attribut userAccountControl=544 aktivieren (letzteres passiert im Connector beim Anlegen auch jetzt schon). Anschliessend hat der User auch ein Kerberos-Konto.

Comment 2 Ingo Steuwer

2010-10-26 17:30:55 CEST

Implementierung soll wie folgt erfolgen:

- die Windows-Kerberos-Domain kann per UCR gesetzt werden: connector/ad/mapping/kerberosdomain
- ist die Variable leer (default), arbeitet der Connector wie bisher
- ist die Variable gesetzt, wird beim Anlegen eines Users der userPrincipalName auf <uid>@<connector/ad/mapping/kerberosdomain> gesetzt

Comment 3 Ingo Steuwer

2010-10-27 09:37:24 CEST

Created attachment 2778 [details]
Implementierung der per UCR konfigurierbaren Erweiterung von Accounts auf Kerberos-Accounts

Comment 4 Stefan Gohmann

2010-11-11 10:03:20 CET

(In reply to comment #1)
> Man kann nächträglich per ldapmodify "userPrincipalName" auf einen gültigen
> Wert (<uid>@<AD-Kerberos-Domain>) setzten und dann den Account neu per Attribut
> userAccountControl=544 aktivieren (letzteres passiert im Connector beim Anlegen


Wenn der Benutzer direkt auf AD Seite angelegt wird, dann wird userAccountControl auf 512 gesetzt.

Comment 5 Stefan Gohmann

2010-11-11 15:43:46 CET

fixed in 2.4-1

Comment 6 Tim Petersen

2010-11-24 13:17:22 CET

(In reply to comment #5)
> fixed in 2.4-1

Funktioniert wie beschrieben, Variable wird beim Einrichten des AD-COnnectors initial automatisch gesetzt und angewandt.

Im Changelog hatte sich ein Typo in der Bugnummer eingeschlichen, welchen ich beseitigt habe: Bug# 10518 statt 20518

verified!

Comment 7 Sönke Schwardt-Krummrich

2010-12-10 16:37:29 CET

UCS 2.4-1 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden:
"Clone This Bug".