Bug 22214 – kerberos/realm und krb5PrincipalName in univention-system-setup-basis mit anpassen

Bug 22214 - kerberos/realm und krb5PrincipalName in univention-system-setup-basis mit anpassen


Summary:	kerberos/realm und krb5PrincipalName in univention-system-setup-basis mit anp...

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	System setup
Version:	UCS 2.4
Hardware:	Other Linux

Importance:	P5 enhancement (vote)
Target Milestone:	UCS 3.0 - RC
Assigned To:	Janek Walkenhorst
QA Contact:	Stefan Gohmann

URL:
Keywords:

Depends on:	22212
Blocks:
	Show dependency tree / graph

Reported:	2011-04-13 17:58 CEST by Arvid Requate
Modified:	2011-12-13 15:50 CET (History)
CC List:	1 user (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Arvid Requate

2011-04-13 17:58:43 CEST

Wenn Bug #22212 umgesetzt ist, kann der kerberos/realm und die krb5PrincipalName  auch mit geändert werden, wenn per univention-system-setup-basis der UCS-Domänenname geändert wird. Ticket #201011251000783 hängt ein Skript mit dem man das machen kann.



+++ This bug was initially created as a clone of Bug #22212 +++

/usr/share/pyshared/univention/admin/password.py aus
python-univention-directory-manager sollte den korrekten salt an
heimdal.asn1_encode_key übergeben. Dafür gibt es im Scope ucs_2.4-0-samba4 ein
erweitertes univention-python-heimdal, das eine Funktion heimdal.salt
bereitstellt.

Damit wird es möglich, die krb5Key weiter zu verwenden, wenn man den Principal
und/oder Kerberos-Realm ändert.

An Ticket #201011251000783 hängt auch ein Skript, mit dem sich alle
existierenden krb5Keys nachträglich salten lassen.

Comment 1 Stefan Gohmann

2011-04-13 19:46:30 CEST

Für 3.0

Comment 2 Janek Walkenhorst

2011-10-17 14:46:48 CEST

Das Skript wurde eingepflegt:

univention-system-setup (5.0.12-1) unstable; urgency=low

  * rename kerberos realm on domainname change (Bug #22214)

Changelog angepasst.

Comment 3 Stefan Gohmann

2011-11-09 16:19:05 CET

funktioniert, die DNS Domäne wurde von deadlock188.local auf deadlock12.local umbenannt:

root@master12:~# kinit Administrator
Administrator@DEADLOCK188.LOCAL's Password: 
root@master12:~# kgetcred host/master12.deadlock12.local
root@master12:~# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: Administrator@DEADLOCK188.LOCAL

  Issued                Expires               Principal
Nov  9 16:18:01 2011  Nov 10 02:18:01 2011  krbtgt/DEADLOCK188.LOCAL@DEADLOCK188.LOCAL
Nov  9 16:18:06 2011  Nov 10 02:18:01 2011  host/master12.deadlock12.local@DEADLOCK188.LOCAL
root@master12:~# ssh Administrator@master12.deadlock12.local
Last login: Wed Nov  9 16:18:12 2011 from master12.deadlock12.local
Administrator@master12:~$

Comment 4 Sönke Schwardt-Krummrich

2011-12-13 15:50:16 CET

UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert
werden: "Clone This Bug"