Bug 24686 – Passwortänderung nicht möglich

Bug 24686 - Passwortänderung nicht möglich


Summary:	Passwortänderung nicht möglich

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	Samba4
Version:	UCS 3.0
Hardware:	Other Linux

Importance:	P5 normal (vote)
Target Milestone:	UCS 3.0 - RC
Assigned To:	Arvid Requate
QA Contact:	Stefan Gohmann

URL:
Keywords:

Depends on:
Blocks:	25915
	Show dependency tree / graph

Reported:	2011-11-17 09:49 CET by Stefan Gohmann
Modified:	2012-01-24 20:23 CET (History)
CC List:	1 user (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Stefan Gohmann

2011-11-17 09:49:08 CET

Wenn ich im UCS oder AD einen Benutzer anlege und "Passwort bei der nächsten Anmeldung ändern" aktiviere, dann werde ich beim Windows 7 Logon darauf hingewiesen, dass das Passwort geändert werden muss.

Nachdem ich das neue Passwort angegeben habe erscheint die Windows 7 Fehlermeldung "Ein an das System angeschlossenes Gerät funktioniert nicht".

Es ist dabei egal, ob der Benutzer per AD Tools oder per UCS angelegt wird. Das Problem tritt auch bei abgeschaltetem Connector auf.

Comment 1 Stefan Gohmann

2011-11-17 10:06:05 CET

Aus der samba Logdatei:

[2011/11/17 09:51:51,  5] ../source4/dsdb/samdb/samdb.c:81(samdb_credentials)
  (normal if no LDAP backend) Could not find entry to match filter: '(&(objectclass=ldapSecret)(cn=SAMDB Credentials))' base: '': No such object: (null)
[2011/11/17 09:51:51,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: hdb_samba4_open: use of a master key incompatible with LDB
  
[2011/11/17 09:51:51,  3] ../source4/kdc/kpasswdd.c:45(kpasswdd_make_error_reply)
  kpasswdd: gensec_update failed: NT_STATUS_LOGON_FAILURE

Comment 2 Stefan Gohmann

2011-11-17 10:41:00 CET

Das Problem konnte ich mit dem RC nachstellen, es liegt also nicht an den letzten Änderungen.

Comment 3 Arvid Requate

2011-11-17 13:53:40 CET

Mit kinit kann ich das auch nachstellen, die Meldung ist sehr ähnlich:

[2011/11/16 11:07:04,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: ENC-TS Pre-authentication succeeded -- user3@ARUCS3MS2I7.QA using arcfour-hmac-md5
[2011/11/16 11:07:04,  4] ../source4/auth/sam.c:170(authsam_account_ok)
  authsam_account_ok: Checking SMB password for user user3@ARUCS3MS2I7.QA
[2011/11/16 11:07:04,  2] ../source4/auth/sam.c:207(authsam_account_ok)
  sam_account_ok: Account for user 'user3@ARUCS3MS2I7.QA' password must change!.
[2011/11/16 11:07:04,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ user3@ARUCS3MS2I7.QA from ipv4:10.200.8.55:58656 for kadmin/changepw@ARUCS3MS2I7.QA
[2011/11/16 11:07:04,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: No preauth found, returning PREAUTH-REQUIRED -- user3@ARUCS3MS2I7.QA
[2011/11/16 11:07:04,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ user3@ARUCS3MS2I7.QA from ipv4:10.200.8.55:35214 for kadmin/changepw@ARUCS3MS2I7.QA
[2011/11/16 11:07:04,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: Client sent patypes: encrypted-timestamp
[2011/11/16 11:07:04,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: Looking for PKINIT pa-data -- user3@ARUCS3MS2I7.QA
[2011/11/16 11:07:04,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: Looking for ENC-TS pa-data -- user3@ARUCS3MS2I7.QA
[2011/11/16 11:07:04,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: ENC-TS Pre-authentication succeeded -- user3@ARUCS3MS2I7.QA using arcfour-hmac-md5
[2011/11/16 11:07:04,  4] ../source4/auth/sam.c:170(authsam_account_ok)
  authsam_account_ok: Checking SMB password for user user3@ARUCS3MS2I7.QA
[2011/11/16 11:07:04,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ authtime: 2011-11-16T11:07:04 starttime: unset endtime: 2011-11-16T11:08:04 renew till: unset
[2011/11/16 11:07:04,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: Client supported enctypes: aes256-cts-hmac-sha1-96, aes128-cts-hmac-sha1-96, des3-cbc-sha1, des3-cbc-md5, arcfour-hmac-md5, des-cbc-md5, des-cbc-md4, des-cbc-crc, using arcfour-hmac-md5/arcfour-hmac-md5
[2011/11/16 11:07:07,  4] ../source4/dsdb/repl/drepl_notify.c:463(dreplsrv_notify_schedule)
  dreplsrv_notify_schedule(5) scheduled for: Wed Nov 16 11:07:12 2011 CET
[2011/11/16 11:07:10,  3] ../lib/ldb-samba/ldb_wrap.c:316(ldb_wrap_connect)
  ldb_wrap open of secrets.ldb
[2011/11/16 11:07:10,  3] ../lib/ldb-samba/ldb_wrap.c:316(ldb_wrap_connect)
  ldb_wrap open of secrets.ldb
[2011/11/16 11:07:10,  3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper)
  Kerberos: hdb_samba4_open: use of a master key incompatible with LDB
  
[2011/11/16 11:07:10,  3] ../source4/kdc/kpasswdd.c:45(kpasswdd_make_error_reply)
  kpasswdd: gensec_update failed: NT_STATUS_LOGON_FAILURE

Comment 4 Stefan Gohmann

2011-11-18 06:42:08 CET

Ich kann das Passwort auch nicht per kpasswd ändern, wenn der S4 Server verwendet wird:

root@master171:~# su - test0
test0@master171:~$ kpasswd 
test0@DEADLOCK17.LOCAL's Password: 
New password: 
Verify password - New password: 
Hard error : gensec_update failed: NT_STATUS_LOGON_FAILURE

Comment 5 Arvid Requate

2011-11-22 17:41:10 CET

Samba4/Lorikeet-Heimdal berücksichtigt nicht die mkey_file Option aus /etc/krb5.conf bzw. /etc/heimdal-kdc/kdc.conf sondern liest die tatsächlich existierende Datei /var/lib/heimdal-kdc/m-key. Diese wird jetzt im Joinscript 11heimdal-init in .DISABLED umbenannt. Sicherheitshalber wird das dort schon vor dem kadmin init ausgeführt. Damit waren Passwortänderungen per kpasswd jetzt möglich. Getestet mit

udm users/user create --position cn=users,$ldap_base --set username=user3 --set lastname=univention --set password=univention --set pwdChangeNextLogin=1

Comment 6 Stefan Gohmann

2011-11-23 14:41:25 CET

Funktioniert.

Comment 7 Sönke Schwardt-Krummrich

2011-12-13 15:49:21 CET

UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert
werden: "Clone This Bug"