Univention Bugzilla – Bug 20641
users/user-Modul sollte das Anlegen von Benutzer-IDs unter 1000 blockieren
Last modified: 2022-06-30 14:39:00 CEST
Das users/user-Modul sollte das Anlegen von Benutzer-IDs unter 1000 blockieren, da diese ggf. mit System-Accounts in /etc/passwd kollidieren: root@qamaster:~$ id test8 uid=101(test8) gid=5001(Domain Users) Gruppen=5001(Domain Users) root@qamaster:~# su test8 -c 'ls -la /var/spool/postfix/private/' insgesamt 8 drwx------ 2 test8 root 4096 25. Okt 16:30 . drwxr-xr-x 20 root root 4096 2. Sep 11:26 .. srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 anvil srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 bounce srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 defer srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 discard srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 error srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 kolabfilter srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 kolabmailboxfilter srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 kolabpolicy srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 lmtp srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 local srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 proxymap srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 relay srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 rewrite srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 scache srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 smtp srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 smtp-amavis srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 tlsmgr srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 trace srw-rw-rw- 1 test8 postfix 0 25. Okt 16:30 verify Das hat auch einen nachhaltigen Effekt für weitere Benutzer die angelegt werden, da die letzte verwendete Benutzer-ID im LDAP gespeichert wird und dann der nächste Benutzer wohl die UID 102 erhalten wird: dn: cn=uidNumber,cn=temporary,cn=univention,dc=ucs24amd64,dc=qa cn: uidNumber objectClass: top objectClass: organizationalRole objectClass: univentionLastUsed univentionLastUsedValue: 101
Für den zweiten Punkt gibt es jetzt Bug 20644.
Das sollten wir nicht komplett verhindern. Per Default verwenden wir die UIDs unter 1000 nicht, es sollte aber trotzdem möglich sein.