First Last Prev Next    This bug is not in your last search results.
Bug 23201 - LDAP-Bind für Policy Result in Skripten, die mit Benutzerrechten laufen
LDAP-Bind für Policy Result in Skripten, die mit Benutzerrechten laufen
Status: CLOSED WORKSFORME
Product: UCS
Classification: Unclassified
Component: LDAP
UCS 3.0
Other Linux
: P5 enhancement (vote)
: UCS 3.0 - RC
Assigned To: Felix Botner
Stefan Gohmann
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2011-08-08 18:35 CEST by Arvid Requate
Modified: 2011-12-13 15:51 CET (History)
3 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Arvid Requate univentionstaff 2011-08-08 18:35:23 CEST 
In folgenden Skripten wird univention_policy_result als normaler Benutzer aufgerufen. Daher kann man dort nicht einfach LDAP-Bind mit Maschinenaccount nutzen. Hier muss ein anderer Ansatz implementiert werden, entweder mit den Benutzer-Credentials über den entsprechenden pam-stack oder per Kerberos-Ticket.
univention-directory-policy reicht zur Zeit Kerberos-Tickets noch nicht durch.

 * ucs/base/univention-server/Linux-Arbeitsplatz
 * ucs/desktop/univention-kde/univention-set-kdedirs


+++ This bug was initially created as a clone of Bug #23178 +++

Über eine einfache Erweiterung sollte univention_policy_result direkt den Host
Account verwenden, beispielsweise
Comment 1 Stefan Gohmann univentionstaff 2011-10-05 06:30:41 CEST 
(In reply to comment #0)
> In folgenden Skripten wird univention_policy_result als normaler Benutzer
> aufgerufen. Daher kann man dort nicht einfach LDAP-Bind mit Maschinenaccount
> nutzen. Hier muss ein anderer Ansatz implementiert werden, entweder mit den
> Benutzer-Credentials über den entsprechenden pam-stack oder per
> Kerberos-Ticket.
> univention-directory-policy reicht zur Zeit Kerberos-Tickets noch nicht durch.
> 
>  * ucs/base/univention-server/Linux-Arbeitsplatz

Das Skript wurde bereits entfernt.

>  * ucs/desktop/univention-kde/univention-set-kdedirs

Felix, das hattest du bereits umgestellt, oder?
Comment 2 Felix Botner univentionstaff 2011-10-05 09:18:04 CEST 
(In reply to comment #1)
> (In reply to comment #0)
> > In folgenden Skripten wird univention_policy_result als normaler Benutzer
> > aufgerufen. Daher kann man dort nicht einfach LDAP-Bind mit Maschinenaccount
> > nutzen. Hier muss ein anderer Ansatz implementiert werden, entweder mit den
> > Benutzer-Credentials über den entsprechenden pam-stack oder per
> > Kerberos-Ticket.
> > univention-directory-policy reicht zur Zeit Kerberos-Tickets noch nicht durch.
> > 
> >  * ucs/base/univention-server/Linux-Arbeitsplatz
> 
> Das Skript wurde bereits entfernt.
> 
> >  * ucs/desktop/univention-kde/univention-set-kdedirs
> 
> Felix, das hattest du bereits umgestellt, oder?

Beide Skripte gibt es noch, aber ucs/desktop/univention-kde/univention-set-kdedirs wird als root ausgeführt und sammelt nun auch die Info's zu vorher in "Linux-Arbeitsplatz" abgefragt wurden. Diese Daten werden dann in das .univention-environment des Benutzers geschrieben. Über das Pam Modul pam_env.so werden diese Daten als Umgebungsvariablen gesetzt und von "Linux-Arbeitsplatz" verwendet.

Aus meiner Sicht ist dieses Problem zumindest für univention-set-kdedirs und "Linux-Arbeitsplatz" gelöst, siehe auch Bug #22882
Comment 3 Felix Botner univentionstaff 2011-10-05 09:36:40 CEST 
(In reply to comment #2)
> (In reply to comment #1)
> > (In reply to comment #0)
> > > In folgenden Skripten wird univention_policy_result als normaler Benutzer
> > > aufgerufen. Daher kann man dort nicht einfach LDAP-Bind mit Maschinenaccount
> > > nutzen. Hier muss ein anderer Ansatz implementiert werden, entweder mit den
> > > Benutzer-Credentials über den entsprechenden pam-stack oder per
> > > Kerberos-Ticket.
> > > univention-directory-policy reicht zur Zeit Kerberos-Tickets noch nicht durch.
> > > 
> > >  * ucs/base/univention-server/Linux-Arbeitsplatz
> > 
> > Das Skript wurde bereits entfernt.
> > 
> > >  * ucs/desktop/univention-kde/univention-set-kdedirs
> > 
> > Felix, das hattest du bereits umgestellt, oder?
> 
> Beide Skripte gibt es noch, aber
> ucs/desktop/univention-kde/univention-set-kdedirs wird als root ausgeführt und
> sammelt nun auch die Info's zu vorher in "Linux-Arbeitsplatz" abgefragt wurden.
> Diese Daten werden dann in das .univention-environment des Benutzers
> geschrieben. Über das Pam Modul pam_env.so werden diese Daten als
> Umgebungsvariablen gesetzt und von "Linux-Arbeitsplatz" verwendet.
> 
> Aus meiner Sicht ist dieses Problem zumindest für univention-set-kdedirs und
> "Linux-Arbeitsplatz" gelöst, siehe auch Bug #22882

ucs/base/univention-server/Linux-Arbeitsplatz wurde von Stefan entfernt . Das  "Linux-Arbeitsplatz" aus univention-gdm-sessions wurde entsprechend angepasst.
Comment 4 Stefan Gohmann univentionstaff 2011-11-22 16:16:57 CET 
OK, als Benutzer bekomme ich den entsprechenden Desktop.
Comment 5 Sönke Schwardt-Krummrich univentionstaff 2011-12-13 15:51:16 CET 
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert
werden: "Clone This Bug"
First Last Prev Next    This bug is not in your last search results.