Univention Bugzilla – Bug 21262
Samba Password Mindestlänge entspricht nicht UCS Passwort Policy und Docs
Last modified: 2012-12-12 21:08:35 CET
Die default-settings für domtrust.local:/policies/users/pwhistory/ geben als Passwort-Länge 8 Zeichen vor, die Samba Domänen Policy jedoch 5: root@qamaster:~# pdbedit -P "min password length" account policy "min password length" description: Minimal password length (default: 5) account policy "min password length" value is: 5 Da im Hnadbuch Abschnitt 8.4.5.6 "Passwort-Eigenschaften für Windows-Clients" dokumentiert ist, dass die Voreinstellung 8 ist und empfohlen wird beide Einstellungen konsistent zu halten, sollte hier etwas angepasst werden.
Fixed durch patch gegen samba 3.6 und Erweiterung von unviention-samba. Changelog: "The default for the minimal password length Samba domain policy has been increased from 5 to 8 characters to match the standard UCS password policy default. Additionally during update it is checked if the old value is still active and if there is a unique UCS password policy connected to the LDAP basis of the domain. If both is true and the policies differ, the value for the minimal password length in the Samba domain policy is set to the current UCS policy value. In all other cases, e.g. if UCS password policies have been customized, the old default value for the minimal password length will stay in the Samba domain policy and should be checked manually."
(In reply to comment #1) > Fixed durch patch gegen samba 3.6 und Erweiterung von unviention-samba. > > Changelog: > > "The default for the minimal password length Samba domain policy has been > increased from 5 to 8 characters to match the standard UCS password policy > default. Additionally during update it is checked if the old value is still > active and if there is a unique UCS password policy connected to the LDAP basis > of the domain. If both is true and the policies differ, the value for the > minimal password length in the Samba domain policy is set to the current UCS > policy value. > In all other cases, e.g. if UCS password policies have been customized, the old > default value for the minimal password length will stay in the Samba domain > policy and should be checked manually." Ich bin dagegen das im Update automatisch anzupassen. Ggf. haben die Kunden sich bewusst gegen unsere Empfehlung gestellt und es dann im Update anzugleichen finde ich ungünstig. Bei Neuinstallationen ist es aber sinnvoll.
Der default Wert wird weiterhin von 5 auf 8 erhöht. Der eigentliche Wert wird allerdings nun nicht mehr bei einem Update erhöht, sondern stattdessen bei einer Neuinstallation ohne weitere Überprüfungen auf 8 gesetzt. Der UCS 3.1-0 Changelog wurde dementsprechend angepasst.
Das könne wir so nicht machen, da der Wert auch auf 8 gesetzt wird, wenn ein weiteres Samba 3 System installiert wird. Sinnvoll kann das daher wohl nur im base.ldif angepasst werden (Paket univention-ldap): sambaMinPwdLength: 4
'sambaMinPwdLength: 8' wurde in base.ldif hinzugefügt.
Für eine Neuinstallation ist es OK (Wert ist auf 8). Nach einem Update wird angezeigt, dass der Default 8 ist, der Wert aber 5. Ich denke das ist OK. Changelog leicht angepasst.
(In reply to comment #6) > Nach einem Update wird angezeigt, dass der Default 8 ist, der Wert aber 5. Ich > denke das ist OK. Doch noch wieder auf. Wenn der Wert vorher nicht per pdbedit abgefragt wurde, dann ist dieser noch nicht im LDAP und der Default Wert wird bei der ersten Nachfrage verwendet. Deshalb sollte der Patch 92_default_min_password_length.patch entfernt und samba neu gebaut werden.
Der Patch wurde entfernt und samba neu gebaut.
Ich habe univention-ldap noch neu gebaut, jetzt funktioniert es wie gewünscht für Updates und Neuinstallationen.
UCS 3.1-0 has been released: http://forum.univention.de/viewtopic.php?f=54&t=2125 If this error occurs again, please use "Clone This Bug".