Bug 23362 - server_password_change hooks per run-parts
server_password_change hooks per run-parts
Status: CLOSED FIXED
Product: UCS
Classification: Unclassified
Component: Password changes
UCS 3.0
Other Linux
: P5 enhancement (vote)
: UCS 3.0 - MS2
Assigned To: Janek Walkenhorst
Andreas Büsching
:
: 15592 (view as bug list)
Depends on:
Blocks: 23889 23890
  Show dependency treegraph
 
Reported: 2011-08-18 15:48 CEST by Arvid Requate
Modified: 2011-12-13 15:48 CET (History)
5 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Arvid Requate univentionstaff 2011-08-18 15:48:59 CEST
server_password_change sollte per run-parts hook-skripte aus einem Verzeichnis ausführen.
Comment 1 Sönke Schwardt-Krummrich univentionstaff 2011-08-30 11:39:25 CEST
Vorschlag für den Verzeichnisnamen: 
/usr/lib/univention-server/server_password_change.d/

Damit Dienste ggf. während des PW-Wechsels abgeschaltet werden können, weil sie z.B. zwischen Änderung des PW und des Ausführen des Skriptes nicht korrekt funktionieren, sollte die Skripte 2x ausgeführt werden. Der zeitliche Ablauf wäre dann wie folgt:
- Ausführen aller Skripte mit dem Parameter "prechange"
- Ändern des Passworts
- Ausführen aller Skripte mit dem Parameter "postchange"

Altes und neues Passwort müssen nicht übergeben werden, da diese aus der machine.secret bzw. machine.secret.old direkt ausgelesen werden können. Die Skripte sollten als root ausgeführt werden. Das Verzeichnis sollte nur für root:root beschreibbar sein.
Comment 2 Janek Walkenhorst univentionstaff 2011-09-19 16:14:14 CEST
Es wurde zusätzlich "nochange" implementiert, weil das Ändern des Passwortes fehlschlagen kann:

Scripts must have a name matching ^[A-Za-z0-9_-]+$ and be executable
Each script will be called (via run-parts) with parameter "prechange"
before the password is changed and then either with "nochange" if the
change failed, or "postchange" if the password was changed.  Old and
new passwords can be found in /etc/machine.secret.old and
/etc/machine.secret

Durch das "nochange" ist auch eine Erweiterung bei der die prechange-Skripte mit exit 1 das Ändern verhindern können denkbar.

univention-server (7.0.7-1)
Changelog angepasst.
Comment 3 Andreas Büsching univentionstaff 2011-09-29 14:30:32 CEST
Die Hooks funktionieren grundsätzlich. Noch zwei Punkte zu dem Skript:

- Es gibt noch einen Abschnitt zu Samba
  + dort gibt es Code zu HA -> der sollte raus
  + Beim Rest frage ich mich, aber der nicht in einen Hook könnte und von Samba3 mitgebracht wird (bei Samba4 wird der Code wohl auch nicht funktionieren)?

ChangeLog existiert
Comment 4 Janek Walkenhorst univentionstaff 2011-09-30 13:17:00 CEST
(In reply to comment #3)
> - Es gibt noch einen Abschnitt zu Samba
>   + dort gibt es Code zu HA -> der sollte raus
univention-server (7.0.12-1) unstable; urgency=low

  * remove obsolete HA in server_password_change (Bug #23362)

>   + Beim Rest frage ich mich, aber der nicht in einen Hook könnte und von
> Samba3 mitgebracht wird (bei Samba4 wird der Code wohl auch nicht
> funktionieren)?
Siehe Bug #23889 und Bug #23890
Comment 5 Andreas Büsching univentionstaff 2011-10-04 18:35:30 CEST
(In reply to comment #4)
> (In reply to comment #3)
> > - Es gibt noch einen Abschnitt zu Samba
> >   + dort gibt es Code zu HA -> der sollte raus
> univention-server (7.0.12-1) unstable; urgency=low
> 
>   * remove obsolete HA in server_password_change (Bug #23362)

Ist raus

> >   + Beim Rest frage ich mich, aber der nicht in einen Hook könnte und von
> > Samba3 mitgebracht wird (bei Samba4 wird der Code wohl auch nicht
> > funktionieren)?
> Siehe Bug #23889 und Bug #23890

Die "Reste" sind in separate Bugs ausgegliedert
Comment 6 Janek Walkenhorst univentionstaff 2011-10-10 11:20:27 CEST
*** Bug 15592 has been marked as a duplicate of this bug. ***
Comment 7 Sönke Schwardt-Krummrich univentionstaff 2011-12-13 15:48:57 CET
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert
werden: "Clone This Bug"