Univention Bugzilla – Bug 21213
DC Accounts synchronisieren
Last modified: 2011-12-13 15:51:21 CET
Die DC Accounts sollten synchronisiert werden, inkl. Kerberos Keys. Ansonsten sind die Kerberos Daten immer nur in einem Verzeichnis vorhanden.
Created attachment 3803 [details] dc_pwd_sync.patch Die Synchronisation kann einfach aktiviert werden, siehe Patch im Anhang. Problematisch ist, dass dann die machine.secret nicht mehr passt.
Die Accounts sollen synchronisiert werden. Zusätzlich müssen vermutlich auch die nicht S4 DCs im S4 angelegt werden.
Die Synchronisation ist soweit umgesetzt. Es scheint jetzt noch problematisch zu sein, dass die Enctypes unterschiedlich sind. - Anmeldung auf einem Memberserver - kinit gegen einen S4 KDC - Anmeldung per ssh auf einen nicht S4 DC ist erst möglich, wenn aus der krb5.keytab auf dem nicht S4 DC der folgende Key entfernt wird: ktutil remove -e des3-cbc-md5
Umgekehrt funktioniert es, auf dem Heimdal/OpenLDAP Server per kinit ein Ticket holen und dann per ssh auf einen S4 DC wechseln.
Im UDM wird des3-cbc-md5 jetzt beim Erstellen der Kerberos Keys nicht mehr mitgeneriert. Wenn man das dennoch aktivieren möchte, so kann die UCR Variable password/krb5/enctype/des3-cbc-md5 auf true gesetzt werden. Die Passwortänderung auf S4 DCs wird zunächst deaktiviert, siehe auch Bug #24703
Die Passwort Rotation kann jetzt einfach per UCR Variable abgeschaltet werden, das passiert auf S4 DCs automatisch. Ein Problem ist noch offen, bei der Memebrserver Installation erscheint das im join.log: Object modified: cn=member176,cn=memberserver,cn=computers,dc=deadlock17,dc=local [2011/11/18 06:47:37.601632, 0] libads/kerberos.c:333(ads_kinit_password) kerberos_kinit_password MEMBER176$@DEADLOCK17.LOCAL failed: Preauthentication failed
Die Memberserver Installation und das Joinen funktioniert ebenfalls. Die Meldung erscheint vorher, wenn das System noch gar nicht gejoint ist.
Es kam jetzt gelegentlich vor, dass die Daten in bind erst nach einem Neustart verfügbar waren. Ich habe in den Join Skripten jetzt eine S4 restart eingebaut, wenn nach 200 Sekunden bind noch nicht reagiert.
Verified: * Die DC Accounts werden mit krb5key synchronisiert. * In Richtung UCS LDAP werden dabei das userPassword beibehalten, damit weiterhin Authentifizierte LDAP-Binds mit /etc/machine.secret funktionieren. * Auf samba4/role DC und RODC wird server/password/change=no gesetzt, da aktuell die Auswirkung von Samba4-DC-Passwortwechseln auf die DRS-Replikation noch nicht zufriedenstellend geklärt ist. * Für die letzten beiden Punkte ist Bug 24703 angelegt. * Die Generierung von des3-cbc-md5 Keys im UDM ist generell in UCS 3.0 deaktiviert. Dieser Workaround für Samba4/OpenLDAP/Heimdal Mischumgebungen ist jetzt vermutlich nicht mehr relevant weil das Szenario durch Bug 24753 vermieden wird (bzw. Bug 24865). * Per UCR-Variable password/krb5/enctype/des3-cbc-md5=yes lässt die Generierung von des3-cbc-md5 Keys generell wieder aktivieren. * Changelog Eintrag OK
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"