Bug 22751 – Synchronisation des Passwort-Hash in Abhängigkeit des Timestamps

Bug 22751 - Synchronisation des Passwort-Hash in Abhängigkeit des Timestamps


Summary:	Synchronisation des Passwort-Hash in Abhängigkeit des Timestamps

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	AD Connector
Version:	UCS 2.4
Hardware:	Other Linux

Importance:	P5 normal (vote)
Target Milestone:	UCS 2.4-3
Assigned To:	Stefan Gohmann
QA Contact:	Moritz Muehlenhoff

URL:
Keywords:

Depends on:
Blocks:
	Show dependency tree / graph

Reported:	2011-06-16 14:39 CEST by Stefan Gohmann
Modified:	2020-06-02 10:52 CEST (History)
CC List:	0 users

See Also:	51298 48720
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Stefan Gohmann

2011-06-16 14:39:30 CEST

Derzeit werden die Passwort-Hashes im AD Connector immer synchronisiert, auch wenn sich beispielsweise nur die Beschreibung geändert hat. Es sollte so sein, dass das Passwort nur synchronisiert wird, wenn der pwdLastSet Timestamp des zu synchronisierenden Passworts neuer ist.

Comment 1 Stefan Gohmann

2011-06-28 20:58:22 CEST

In der Kundenimplementierung gab es noch einige Schwierigkeiten, u.a. weil pwdLastSet auf 0 oder 1 gesetzt wird, wenn der Haken "Passwort bei der nächsten Anmeldung ändern" gesetzt wird.

Comment 2 Stefan Gohmann

2011-07-05 09:09:33 CEST

Das ist jetzt umgesetzt.

In der QA bitte sowohl ein Windows System in die AD und eins in die UCS Domäne joinen. Dann sollten unterschiedliche Passwortablaufdaten und Intervalle gesetzt werden.

Comment 3 Moritz Muehlenhoff

2011-08-22 14:30:34 CEST

Da ist noch ein Typo im Code:

                if sambaPwdLastSet > 1 or ( sambaPwdLastSet <= 2 and connector.baseConfig.is_true('%s/ad/password/timestamp/ignorreset/ucs' % c
onnector.CONFIGBASENAME, False)):

Da muss auf '%s/ad/password/timestamp/ignorereset/ucs' getestet werden.

Comment 4 Stefan Gohmann

2011-08-22 14:38:01 CEST

fixed

Comment 5 Moritz Muehlenhoff

2011-08-23 09:41:39 CEST

UCS gegen Windows 2003, WinXP-Client in UCS-Domäne:

Write-Mode: 
- Das im UDM geänderte Passwort wird am XP-Client akzeptiert.
- Ändert man nur den Vornamen im UDM, wird das Passwort nicht synchronisiert:
23.08.2011 09:15:52,526 LDAP        (INFO   ): password_sync_ucs: sambaPwdLastSet: 1313754842
23.08.2011 09:15:52,527 LDAP        (INFO   ): password_sync_ucs: pwdLastSet from AD : 129584803818281250
23.08.2011 09:15:52,527 LDAP        (PROCESS): password_sync: Don't sync the password from UCS to AD because the AD password equal or is newer.
23.08.2011 09:15:52,527 LDAP        (INFO   ): password_sync:  AD pwdlastset: 1314006781 (original (129584803818281250))
23.08.2011 09:15:52,527 LDAP        (INFO   ): password_sync: UCS pwdlastset: 1313754842
23.08.2011 09:15:52,527 MAIN        (------ ): UNIVENTION_DEBUG_END   : ldap.ad.password_sync_ucs
23.08.2011 09:15:52,528 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap.primary_group_sync_from_ucs
23.08.2011 09:15:52,528 MAIN        (------ ): UNIVENTION_DEBUG_BEGIN : ldap._object_mapping

Read-Mode:
- Das im AD geänderte Passwort wird am XP-Client akzeptiert.
- Ändert man nur den Vornamen im AD, wird das Passwort nicht synchronisiert:
m', {'pwdLastSet': ['129585582531406250'], 'objectSid': ['\x01\x05\x00\x00\x00\x00\x00\x05\x15\x00\x00\x00vW\xdf\x0c\xc3\xc3\xdcj\xd7\xab\x10\x
81\xfd\n\x00\x00']})])
23.08.2011 09:32:48,759 LDAP        (INFO   ): password_sync: sambaPwdLastSet: 1314084653
23.08.2011 09:32:48,759 LDAP        (PROCESS): password_sync: Don't sync the passwords from AD to UCS because the UCS password is equal or newe
r.
23.08.2011 09:32:48,760 LDAP        (INFO   ): password_sync:  AD pwdlastset: 1314084653 (original (129585582531406250))
23.08.2011 09:32:48,760 LDAP        (INFO   ): password_sync: UCS pwdlastset: 1314084653

Comment 6 Moritz Muehlenhoff

2011-08-24 14:16:53 CEST

(In reply to comment #5)
> UCS gegen Windows 2003, WinXP-Client in UCS-Domäne:
> 
> Write-Mode: 

Der Sync-Modus funktionierte ebenfalls.

Comment 7 Stefan Gohmann

2011-08-25 06:49:33 CEST

Die Variablennamen und Beschreibungen für die Berücksichtigung des Passwort-Resets wurden nochmal angepasst.

Comment 8 Moritz Muehlenhoff

2011-08-25 11:06:17 CEST

Die Tests mit einem Benutzer und gesetztem PW-Ablaufdatum waren ebenfalls erfolgreich.

Die UCR-Variablen und ihre Beschreibungen sind jetzt stimmig, per Default werden Passwort-Zurücksetzungen synchronisiert:

Zurücksetzen im AD:

24.08.2011 21:15:11,74 LDAP        (INFO   ): password_sync_ucs: pwdLastSet from AD : 0
24.08.2011 21:15:11,75 LDAP        (INFO   ): password_sync: Sync the passwords from UCS to AD.
24.08.2011 21:15:11,75 LDAP        (INFO   ): password_sync:  AD pwdlastset: 0 (original (0))
24.08.2011 21:15:11,75 LDAP        (INFO   ): password_sync: UCS pwdlastset: 0

Zurücksetzen im UCS:

24.08.2011 21:17:01,736 LDAP        (INFO   ): password_sync_ucs: pwdLastSet from AD : 0
24.08.2011 21:17:01,736 LDAP        (INFO   ): password_sync: Sync the passwords from UCS to AD.
24.08.2011 21:17:01,736 LDAP        (INFO   ): password_sync:  AD pwdlastset: 0 (original (0))
24.08.2011 21:17:01,736 LDAP        (INFO   ): password_sync: UCS pwdlastset: 1

Comment 9 Sönke Schwardt-Krummrich

2011-09-14 10:56:07 CEST

UCS 2.4-3 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden:
"Clone This Bug".