Univention Bugzilla – Bug 23176
[DNS] Anonymous Bind unterbinden
Last modified: 2013-06-20 07:56:45 CEST
bind muss sich gegen das LDAP authentifizieren. +++ This bug was initially created as a clone of Bug #17519 +++ Wir sollten mit UCS 3.0 den Anonymous Bind per Default abschalten. Über eine UCR Variable sollte das alte Verhalten wieder aktivierbar sein.
Grundsätzlich ist das umgesetzt. Wenn nicht der Host Account verwendet werden soll, so kann das über bind/binddn und bind/bindpw konfiguriert werden. bind/bindpw enthält den Namen einer Datei. Mit bind/binddn=None wird keine Authentifizierung durchgeführt. Die Passwortänderung des Servers muss unterstützt werden. Auch wenn das Passwort per Samba 4 geändert werden sollte.
fixed Changelog über Bug #17519
OK: * Authentifikation gegen das OpenLDAP Backend funktioniert, gig -p 7777 Abfragen funktionieren trotz ldap/acl/read/anonymous=no. * Bei UCS Passwortrotation sorgt ein Skript in /usr/lib/univention-server/server_password_change.d dafür, dass im prechange bind gestoppt wird und im postchange das Passwort in /etc/bind/univention.conf.d/* eingetragen und bind9 neu gestartet wird, falls dns/backend=ldap ist. Failed: Die Funktion von bind/binddn=None ist nicht korrekt: * Trotz bind/binddn=None wird bei der Passwort-Rotation ldap_hostdn und machine.secret in /etc/bind/univention.conf.d/* eingetragen, vermutlich weil das quoting in Zeile 34 von /usr/lib/univention-server/server_password_change.d/univention-bind defekt ist. * Das Setzen von bind/binddn=None ändert nicht /etc/bind/univention.conf.d/*, entweder man sollte das anpassen oder diesen speziellen Wert der UCR-Variable herausnehmen? * Changelog Eintrag fehlt noch.
(In reply to comment #3) > Failed: Die Funktion von bind/binddn=None ist nicht korrekt: > > * Trotz bind/binddn=None wird bei der Passwort-Rotation ldap_hostdn und > machine.secret in /etc/bind/univention.conf.d/* eingetragen, vermutlich weil > das quoting in Zeile 34 von > /usr/lib/univention-server/server_password_change.d/univention-bind defekt ist. > > * Das Setzen von bind/binddn=None ändert nicht /etc/bind/univention.conf.d/*, > entweder man sollte das anpassen oder diesen speziellen Wert der UCR-Variable > herausnehmen? Die Behandlung für bind/binddn = None wurde entfernt. > * Changelog Eintrag fehlt noch. Wurde hinzugefügt.
Verified.
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"