Univention Bugzilla – Bug 22751
Synchronisation des Passwort-Hash in Abhängigkeit des Timestamps
Last modified: 2020-06-02 10:52:59 CEST
Derzeit werden die Passwort-Hashes im AD Connector immer synchronisiert, auch wenn sich beispielsweise nur die Beschreibung geändert hat. Es sollte so sein, dass das Passwort nur synchronisiert wird, wenn der pwdLastSet Timestamp des zu synchronisierenden Passworts neuer ist.
In der Kundenimplementierung gab es noch einige Schwierigkeiten, u.a. weil pwdLastSet auf 0 oder 1 gesetzt wird, wenn der Haken "Passwort bei der nächsten Anmeldung ändern" gesetzt wird.
Das ist jetzt umgesetzt. In der QA bitte sowohl ein Windows System in die AD und eins in die UCS Domäne joinen. Dann sollten unterschiedliche Passwortablaufdaten und Intervalle gesetzt werden.
Da ist noch ein Typo im Code: if sambaPwdLastSet > 1 or ( sambaPwdLastSet <= 2 and connector.baseConfig.is_true('%s/ad/password/timestamp/ignorreset/ucs' % c onnector.CONFIGBASENAME, False)): Da muss auf '%s/ad/password/timestamp/ignorereset/ucs' getestet werden.
fixed
UCS gegen Windows 2003, WinXP-Client in UCS-Domäne: Write-Mode: - Das im UDM geänderte Passwort wird am XP-Client akzeptiert. - Ändert man nur den Vornamen im UDM, wird das Passwort nicht synchronisiert: 23.08.2011 09:15:52,526 LDAP (INFO ): password_sync_ucs: sambaPwdLastSet: 1313754842 23.08.2011 09:15:52,527 LDAP (INFO ): password_sync_ucs: pwdLastSet from AD : 129584803818281250 23.08.2011 09:15:52,527 LDAP (PROCESS): password_sync: Don't sync the password from UCS to AD because the AD password equal or is newer. 23.08.2011 09:15:52,527 LDAP (INFO ): password_sync: AD pwdlastset: 1314006781 (original (129584803818281250)) 23.08.2011 09:15:52,527 LDAP (INFO ): password_sync: UCS pwdlastset: 1313754842 23.08.2011 09:15:52,527 MAIN (------ ): UNIVENTION_DEBUG_END : ldap.ad.password_sync_ucs 23.08.2011 09:15:52,528 MAIN (------ ): UNIVENTION_DEBUG_BEGIN : ldap.primary_group_sync_from_ucs 23.08.2011 09:15:52,528 MAIN (------ ): UNIVENTION_DEBUG_BEGIN : ldap._object_mapping Read-Mode: - Das im AD geänderte Passwort wird am XP-Client akzeptiert. - Ändert man nur den Vornamen im AD, wird das Passwort nicht synchronisiert: m', {'pwdLastSet': ['129585582531406250'], 'objectSid': ['\x01\x05\x00\x00\x00\x00\x00\x05\x15\x00\x00\x00vW\xdf\x0c\xc3\xc3\xdcj\xd7\xab\x10\x 81\xfd\n\x00\x00']})]) 23.08.2011 09:32:48,759 LDAP (INFO ): password_sync: sambaPwdLastSet: 1314084653 23.08.2011 09:32:48,759 LDAP (PROCESS): password_sync: Don't sync the passwords from AD to UCS because the UCS password is equal or newe r. 23.08.2011 09:32:48,760 LDAP (INFO ): password_sync: AD pwdlastset: 1314084653 (original (129585582531406250)) 23.08.2011 09:32:48,760 LDAP (INFO ): password_sync: UCS pwdlastset: 1314084653
(In reply to comment #5) > UCS gegen Windows 2003, WinXP-Client in UCS-Domäne: > > Write-Mode: Der Sync-Modus funktionierte ebenfalls.
Die Variablennamen und Beschreibungen für die Berücksichtigung des Passwort-Resets wurden nochmal angepasst.
Die Tests mit einem Benutzer und gesetztem PW-Ablaufdatum waren ebenfalls erfolgreich. Die UCR-Variablen und ihre Beschreibungen sind jetzt stimmig, per Default werden Passwort-Zurücksetzungen synchronisiert: Zurücksetzen im AD: 24.08.2011 21:15:11,74 LDAP (INFO ): password_sync_ucs: pwdLastSet from AD : 0 24.08.2011 21:15:11,75 LDAP (INFO ): password_sync: Sync the passwords from UCS to AD. 24.08.2011 21:15:11,75 LDAP (INFO ): password_sync: AD pwdlastset: 0 (original (0)) 24.08.2011 21:15:11,75 LDAP (INFO ): password_sync: UCS pwdlastset: 0 Zurücksetzen im UCS: 24.08.2011 21:17:01,736 LDAP (INFO ): password_sync_ucs: pwdLastSet from AD : 0 24.08.2011 21:17:01,736 LDAP (INFO ): password_sync: Sync the passwords from UCS to AD. 24.08.2011 21:17:01,736 LDAP (INFO ): password_sync: AD pwdlastset: 0 (original (0)) 24.08.2011 21:17:01,736 LDAP (INFO ): password_sync: UCS pwdlastset: 1
UCS 2.4-3 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".