Bug 23176 – [DNS] Anonymous Bind unterbinden

Bug 23176 - [DNS] Anonymous Bind unterbinden


Summary:	[DNS] Anonymous Bind unterbinden

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	DNS
Version:	UCS 3.0
Hardware:	Other Linux

Importance:	P5 normal (vote)
Target Milestone:	UCS 3.0 - MS2
Assigned To:	Stefan Gohmann
QA Contact:	Arvid Requate

URL:
Keywords:

Depends on:	17519
Blocks:	17520 22633
	Show dependency tree / graph

Reported:	2011-08-05 15:21 CEST by Stefan Gohmann
Modified:	2013-06-20 07:56 CEST (History)
CC List:	2 users (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Stefan Gohmann

2011-08-05 15:21:07 CEST

bind muss sich gegen das LDAP authentifizieren.

+++ This bug was initially created as a clone of Bug #17519 +++

Wir sollten mit UCS 3.0 den Anonymous Bind per Default abschalten. Über eine
UCR Variable sollte das alte Verhalten wieder aktivierbar sein.

Comment 1 Stefan Gohmann

2011-08-05 15:31:12 CEST

Grundsätzlich ist das umgesetzt. Wenn nicht der Host Account verwendet werden soll, so kann das über bind/binddn und bind/bindpw konfiguriert werden. bind/bindpw enthält den Namen einer Datei.
Mit bind/binddn=None wird keine Authentifizierung durchgeführt.

Die Passwortänderung des Servers muss unterstützt werden. Auch wenn das Passwort per Samba 4 geändert werden sollte.

Comment 2 Stefan Gohmann

2011-09-20 10:52:30 CEST

fixed

Changelog über Bug #17519

Comment 3 Arvid Requate

2011-09-26 16:53:30 CEST

OK:

* Authentifikation gegen das OpenLDAP Backend funktioniert, gig -p 7777 Abfragen funktionieren trotz ldap/acl/read/anonymous=no.

* Bei UCS Passwortrotation sorgt ein Skript in /usr/lib/univention-server/server_password_change.d dafür, dass im prechange bind gestoppt wird und im postchange das Passwort in /etc/bind/univention.conf.d/* eingetragen und bind9 neu gestartet wird, falls dns/backend=ldap ist.

Failed: Die Funktion von bind/binddn=None ist nicht korrekt:

* Trotz bind/binddn=None wird bei der Passwort-Rotation ldap_hostdn und machine.secret in /etc/bind/univention.conf.d/* eingetragen, vermutlich weil das quoting in Zeile 34 von /usr/lib/univention-server/server_password_change.d/univention-bind defekt ist.

* Das Setzen von bind/binddn=None ändert nicht /etc/bind/univention.conf.d/*, entweder man sollte das anpassen oder diesen speziellen Wert der UCR-Variable herausnehmen?

* Changelog Eintrag fehlt noch.

Comment 4 Stefan Gohmann

2011-09-27 07:34:48 CEST

(In reply to comment #3)
> Failed: Die Funktion von bind/binddn=None ist nicht korrekt:
> 
> * Trotz bind/binddn=None wird bei der Passwort-Rotation ldap_hostdn und
> machine.secret in /etc/bind/univention.conf.d/* eingetragen, vermutlich weil
> das quoting in Zeile 34 von
> /usr/lib/univention-server/server_password_change.d/univention-bind defekt ist.
>
> * Das Setzen von bind/binddn=None ändert nicht /etc/bind/univention.conf.d/*,
> entweder man sollte das anpassen oder diesen speziellen Wert der UCR-Variable
> herausnehmen?

Die Behandlung für bind/binddn = None wurde entfernt.
 
> * Changelog Eintrag fehlt noch.

Wurde hinzugefügt.

Comment 5 Arvid Requate

2011-09-28 18:54:27 CEST

Verified.

Comment 6 Sönke Schwardt-Krummrich

2011-12-13 15:41:25 CET

UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden:
"Clone This Bug"