Bug 22862 – Anlegen der S4-Benutzer im UDM

Bug 22862 - Anlegen der S4-Benutzer im UDM


Summary:	Anlegen der S4-Benutzer im UDM

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	Samba4
Version:	UCS 3.0
Hardware:	Other Linux

Importance:	P5 normal (vote)
Target Milestone:	UCS 3.0 - MS2
Assigned To:	Stefan Gohmann
QA Contact:	Arvid Requate

URL:
Keywords:

Duplicates:	23442 (view as bug list)
Depends on:
Blocks:
	Show dependency tree / graph

Reported:	2011-06-28 06:38 CEST by Stefan Gohmann
Modified:	2011-12-13 15:47 CET (History)
CC List:	0 users

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Stefan Gohmann

2011-06-28 06:38:23 CEST

Es muss geprüft werden, ob in einem Samba4 Setup die Benutzer beim Anlegen per UDM noch die Samba Attribute bekommen dürfen.

Comment 1 Stefan Gohmann

2011-08-09 12:00:00 CEST

Grundsätzlich werden Benutzer in das S4 Directory synchronisiert. Der Rest erfolgt zum MS2.

Comment 2 Stefan Gohmann

2011-08-24 15:30:45 CEST

Wenn ein Benutzer per UDM angelegt wird, so sollte er keine Samba Attribute  (SIDs usw.) bekommen. Hintergrund ist, dass S4 die Informationen hat, welche SIDs vergeben werden können.

In einem S3 Setup soll der UDM weiterhin die Samba Attribute setzen. Das bedeutet sobald Samba 4 in die Domäne installiert wird, muss sich das UDM Verhalten ändern. Problematisch sind Mischumgebungen, beispielsweise wenn ein Samba 4 Testsystem installiert wird. Dann ist das erwartete Verhalten, dass die Samba 3 Umgebung weiterhin so funktioniert.

Per Default sollte der UDM prüfen, ob es ein S4 Connector Service gibt, wenn ja, dann sollte der UDM die Attribute nicht mehr anlegen. Das Verhalten muss per UCR überschrieben werden können.

Comment 3 Stefan Gohmann

2011-08-26 12:12:15 CEST

Das ist soweit umgesetzt:

- Per Default wird die SID vom Samba 4 System generiert, wenn in der Domäne ein System mit dem Service "S4 Connector" installiert ist.

- Mit der UCR Variable directory/manager/samba3/legacy kann das Verhalten unabhängig von dem Service Eintrag überschrieben werden

- Die SID wird vom S4 ins UCS LDAP synchronisiert

- Die SID wird derzeit nicht vom UCS LDAP ins S4 synchronisiert, da die SID im AD scheinbar nicht modifiziert werden darf

Etwas problematisch könnte noch sein, dass die Samba Attribute zunächst nicht gesetzt werden können, weil die Option beim Anlegen nicht aktiv ist.

Comment 4 Stefan Gohmann

2011-09-01 06:16:07 CEST

(In reply to comment #3)
> Das ist soweit umgesetzt:
> 
> - Per Default wird die SID vom Samba 4 System generiert, wenn in der Domäne ein
> System mit dem Service "S4 Connector" installiert ist.

Durch diese Änderung werden jetzt auch nicht mehr die Samba-Passwort-Hashes generiert und somit nicht ins S4 übertragen.

Ich denke wir sollten das S3 Schema so ändern, dass die SID nicht zwangsläufig gesetzt wird oder diese zunächst auf einen Builtin Wert gesetzt wird und dann durch das S4 entsprechend überschrieben wird.

Comment 5 Stefan Gohmann

2011-09-20 10:47:56 CEST

Das ist soweit umgesetzt.

Comment 6 Arvid Requate

2011-09-29 17:37:29 CEST

Verified:

1. Das Joinscript von univention-s4-connector registriert den Service 'S4 Connector'

2. In s4connector/s4/mapping.py wird jetzt nach krb5Principal statt nach sambaSamAccount gesucht.

3. Im post_con_modify wird zuerst sid_mapping.sid_to_s4 aufgerufen und in der Rückrichtung sid_mapping.sid_to_ucs. Diese Beiden Funktionen sind im neuen Modul s4connector/s4/sid_mapping.py definiert. Die Funktion sid_to_s4 gibt im Wesentlichen informative Debugmeldungen aus, schreibt aber nichts in das Samba-Verzeichnis. sid_to_ucs schreibt die SID aus dem Samba-Verzeichnis in den UCS-Verzeichnisdienst. Falls das Objekt dabei keine Objektklasse sambaSamAccount hat, wird sie mit hinzugefügt.

Durch 2. und 3. bekommt jetzt jeder krb5Principal bei aktiviertem S4-Connector auch einen sambaSamAccount. Das sollte dokumentiert werden, Bug 23873.

4. In password_sync_ucs_to_s4 wird jetzt auch das Attribut sambaPwdLastSet auf den aktuellen Zeitstempel gesetzt, wenn es trotz gesetztem Passwort in UCS nicht existiert hat.

5. Wenn directory/manager/samba3/legacy=true (oder 'yes' etc.) gesetzt ist verwenden die UDM-Module users/user und groups/group den bisherigen Code zum Allozieren eindeutiger SIDs. Ebenso, wenn kein UCS Domänencontroller oder Memberserver im UCS Verzeichnisdienst den Service "S4 Connector" mit IP registriert hat.

6. Wenn directory/manager/samba3/legacy nicht gesetzt ist oder auf False evaluiert werden kann und im UCS Verzeichnisdienst ein UCS Domänencontroller oder Memberserver im UCS Verzeichnisdienst den Service "S4 Connector" mit IP registriert hat, wird statt dessen eine temporäre SID mit dem "Well known" "Non-unique Authority"-Prefix generiert (RID ist in diesem Fall die Posix-UID).

7. Bug 23868 war auch schon vorher in users/user.

8. Falls kein legacy-Verhalten gewählt wurde, wird jetzt an Benutzerobjekten die Option 'samba' standardmäßig deaktiviert. Wegen 2. und 3. wird nach dem S4-Sync jedoch die Option wieder aktiviert sein.

Comment 7 Arvid Requate

2011-10-05 14:00:37 CEST

*** Bug 23442 has been marked as a duplicate of this bug. ***

Comment 8 Sönke Schwardt-Krummrich

2011-12-13 15:41:20 CET

UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden:
"Clone This Bug"