Univention Bugzilla – Bug 24437
Synchronisation der DCs
Last modified: 2011-12-13 15:49:12 CET
Wir benötigen für die korrekte Synchronisation des sysvol-Shares die SIDs der DC Systeme. Zu diesem Zweck sollten wir die DC Accounts synchronisieren, allerdings darf der Connector die Objekte nicht anlegen und nicht löschen. Hintergrund ist, dass vor dem Joinen in S4 das Objekt gelöscht wird.
*** Bug 23162 has been marked as a duplicate of this bug. ***
DC Objekte werden jetzt synchronisiert.
Bei Rechnerkonten, die unter UCS angelegt werden, wird das sambaNTPassword im UDM-Modul nicht gesetzt. Durch den Connektor wird dann das userPassword in Samba4 nicht gesetzt und nach der Rück-Synchronisation fehlte dann der arcfour-hmac-md5 hash in den krb5Keys. Um das zu vermeiden, wurde die Passwort-Synchronisation im Connector jetzt so angepasst, dass bei fehlendem sambaNTPassword versucht wird statt dessen den äquivalenten arcfour-hmac-md5 key aus den krb5Keys in das unicodePwd einzutragen.
Verified von meiner Seite aus.
Im Rahmen der Szenario 2 Migrations Tests aufgefallen: Der Kerberos Key der DCs wurde von OpenLDAP nach S4 übertragen. Das ist für DCs, die nicht S4 DCs sind auch notwendig, damit die für den S4 KDC bekannt sind. Für S4 DCs darf das aber nicht gemacht werden, weil dann die Keys im S4 auseinander laufen. Ich habe es jetzt so implementiert, dass die Synchronisation der Kerberos Keys übersprungen wird (von OpenLDAP nach S4), wenn der Account im OpenLDAP den Service "Samba 4" hat.
Verified. * Credentials von Samba4 DCs (univentionService="Samba 4") werden von S4 Connector nicht vom UCS-Verzeichnis in das Samba4-Verzeichnis geschrieben. * Credentials von UCS domaincontroller_* Systemen die nicht Samba4 DC Dienste liefern, werden weiterhin vom UCS-Verzeichnis in das Samba4-Verzeichnis geschrieben (Bug 21213). Zur Doku hier auch die Zusammenfassung der Synchronisation in die Gegenrichtung (siehe auch Bug 21213): * krb5Keys von allen UCS domaincontroller_* Systemen werden vom Samba4-Verzeichnis in das UCS-Verzeichnis geschrieben * userPassword von allen DCs wird hingegen im UCS-Verzeichnis vom S4 Connector nicht überschrieben. Wichtig ist das für Samba4 DCs, damit der LDAP-Bind per machine.secret gegen den UCS-Verzeichnisdienst weiter funktioniert. Würde es userPasswort hier vom S4 Connector überschrieben, dann Stände "{k5key}" drin und die Authentisierung würde gegen den aus Samba4 synchronisierten krb5Key gehen, dessen Passwort nur in secrets.ldb steht, aber (aktuell) nicht mit dem in machine.secret zusammenpasst. Für andere UCS domaincontroller ist das egal. Wenn irgendwann das aktuelle Passwort aus secrets.ldb in machine.secrets steht, kann diese Sonderbehandlung des userPassword entfallen. * Passwortrotation für Samba4 DCs ist aktuell deaktiviert, weil DRS aktuell sonst fehlschlägt (Bug 24703).
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"