Univention Bugzilla – Bug 23362
server_password_change hooks per run-parts
Last modified: 2011-12-13 15:48:57 CET
server_password_change sollte per run-parts hook-skripte aus einem Verzeichnis ausführen.
Vorschlag für den Verzeichnisnamen: /usr/lib/univention-server/server_password_change.d/ Damit Dienste ggf. während des PW-Wechsels abgeschaltet werden können, weil sie z.B. zwischen Änderung des PW und des Ausführen des Skriptes nicht korrekt funktionieren, sollte die Skripte 2x ausgeführt werden. Der zeitliche Ablauf wäre dann wie folgt: - Ausführen aller Skripte mit dem Parameter "prechange" - Ändern des Passworts - Ausführen aller Skripte mit dem Parameter "postchange" Altes und neues Passwort müssen nicht übergeben werden, da diese aus der machine.secret bzw. machine.secret.old direkt ausgelesen werden können. Die Skripte sollten als root ausgeführt werden. Das Verzeichnis sollte nur für root:root beschreibbar sein.
Es wurde zusätzlich "nochange" implementiert, weil das Ändern des Passwortes fehlschlagen kann: Scripts must have a name matching ^[A-Za-z0-9_-]+$ and be executable Each script will be called (via run-parts) with parameter "prechange" before the password is changed and then either with "nochange" if the change failed, or "postchange" if the password was changed. Old and new passwords can be found in /etc/machine.secret.old and /etc/machine.secret Durch das "nochange" ist auch eine Erweiterung bei der die prechange-Skripte mit exit 1 das Ändern verhindern können denkbar. univention-server (7.0.7-1) Changelog angepasst.
Die Hooks funktionieren grundsätzlich. Noch zwei Punkte zu dem Skript: - Es gibt noch einen Abschnitt zu Samba + dort gibt es Code zu HA -> der sollte raus + Beim Rest frage ich mich, aber der nicht in einen Hook könnte und von Samba3 mitgebracht wird (bei Samba4 wird der Code wohl auch nicht funktionieren)? ChangeLog existiert
(In reply to comment #3) > - Es gibt noch einen Abschnitt zu Samba > + dort gibt es Code zu HA -> der sollte raus univention-server (7.0.12-1) unstable; urgency=low * remove obsolete HA in server_password_change (Bug #23362) > + Beim Rest frage ich mich, aber der nicht in einen Hook könnte und von > Samba3 mitgebracht wird (bei Samba4 wird der Code wohl auch nicht > funktionieren)? Siehe Bug #23889 und Bug #23890
(In reply to comment #4) > (In reply to comment #3) > > - Es gibt noch einen Abschnitt zu Samba > > + dort gibt es Code zu HA -> der sollte raus > univention-server (7.0.12-1) unstable; urgency=low > > * remove obsolete HA in server_password_change (Bug #23362) Ist raus > > + Beim Rest frage ich mich, aber der nicht in einen Hook könnte und von > > Samba3 mitgebracht wird (bei Samba4 wird der Code wohl auch nicht > > funktionieren)? > Siehe Bug #23889 und Bug #23890 Die "Reste" sind in separate Bugs ausgegliedert
*** Bug 15592 has been marked as a duplicate of this bug. ***
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"