Univention Bugzilla – Bug 24686
Passwortänderung nicht möglich
Last modified: 2012-01-24 20:23:08 CET
Wenn ich im UCS oder AD einen Benutzer anlege und "Passwort bei der nächsten Anmeldung ändern" aktiviere, dann werde ich beim Windows 7 Logon darauf hingewiesen, dass das Passwort geändert werden muss. Nachdem ich das neue Passwort angegeben habe erscheint die Windows 7 Fehlermeldung "Ein an das System angeschlossenes Gerät funktioniert nicht". Es ist dabei egal, ob der Benutzer per AD Tools oder per UCS angelegt wird. Das Problem tritt auch bei abgeschaltetem Connector auf.
Aus der samba Logdatei: [2011/11/17 09:51:51, 5] ../source4/dsdb/samdb/samdb.c:81(samdb_credentials) (normal if no LDAP backend) Could not find entry to match filter: '(&(objectclass=ldapSecret)(cn=SAMDB Credentials))' base: '': No such object: (null) [2011/11/17 09:51:51, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: hdb_samba4_open: use of a master key incompatible with LDB [2011/11/17 09:51:51, 3] ../source4/kdc/kpasswdd.c:45(kpasswdd_make_error_reply) kpasswdd: gensec_update failed: NT_STATUS_LOGON_FAILURE
Das Problem konnte ich mit dem RC nachstellen, es liegt also nicht an den letzten Änderungen.
Mit kinit kann ich das auch nachstellen, die Meldung ist sehr ähnlich: [2011/11/16 11:07:04, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: ENC-TS Pre-authentication succeeded -- user3@ARUCS3MS2I7.QA using arcfour-hmac-md5 [2011/11/16 11:07:04, 4] ../source4/auth/sam.c:170(authsam_account_ok) authsam_account_ok: Checking SMB password for user user3@ARUCS3MS2I7.QA [2011/11/16 11:07:04, 2] ../source4/auth/sam.c:207(authsam_account_ok) sam_account_ok: Account for user 'user3@ARUCS3MS2I7.QA' password must change!. [2011/11/16 11:07:04, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: AS-REQ user3@ARUCS3MS2I7.QA from ipv4:10.200.8.55:58656 for kadmin/changepw@ARUCS3MS2I7.QA [2011/11/16 11:07:04, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: No preauth found, returning PREAUTH-REQUIRED -- user3@ARUCS3MS2I7.QA [2011/11/16 11:07:04, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: AS-REQ user3@ARUCS3MS2I7.QA from ipv4:10.200.8.55:35214 for kadmin/changepw@ARUCS3MS2I7.QA [2011/11/16 11:07:04, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: Client sent patypes: encrypted-timestamp [2011/11/16 11:07:04, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: Looking for PKINIT pa-data -- user3@ARUCS3MS2I7.QA [2011/11/16 11:07:04, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: Looking for ENC-TS pa-data -- user3@ARUCS3MS2I7.QA [2011/11/16 11:07:04, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: ENC-TS Pre-authentication succeeded -- user3@ARUCS3MS2I7.QA using arcfour-hmac-md5 [2011/11/16 11:07:04, 4] ../source4/auth/sam.c:170(authsam_account_ok) authsam_account_ok: Checking SMB password for user user3@ARUCS3MS2I7.QA [2011/11/16 11:07:04, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: AS-REQ authtime: 2011-11-16T11:07:04 starttime: unset endtime: 2011-11-16T11:08:04 renew till: unset [2011/11/16 11:07:04, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: Client supported enctypes: aes256-cts-hmac-sha1-96, aes128-cts-hmac-sha1-96, des3-cbc-sha1, des3-cbc-md5, arcfour-hmac-md5, des-cbc-md5, des-cbc-md4, des-cbc-crc, using arcfour-hmac-md5/arcfour-hmac-md5 [2011/11/16 11:07:07, 4] ../source4/dsdb/repl/drepl_notify.c:463(dreplsrv_notify_schedule) dreplsrv_notify_schedule(5) scheduled for: Wed Nov 16 11:07:12 2011 CET [2011/11/16 11:07:10, 3] ../lib/ldb-samba/ldb_wrap.c:316(ldb_wrap_connect) ldb_wrap open of secrets.ldb [2011/11/16 11:07:10, 3] ../lib/ldb-samba/ldb_wrap.c:316(ldb_wrap_connect) ldb_wrap open of secrets.ldb [2011/11/16 11:07:10, 3] ../source4/auth/kerberos/krb5_init_context.c:69(smb_krb5_debug_wrapper) Kerberos: hdb_samba4_open: use of a master key incompatible with LDB [2011/11/16 11:07:10, 3] ../source4/kdc/kpasswdd.c:45(kpasswdd_make_error_reply) kpasswdd: gensec_update failed: NT_STATUS_LOGON_FAILURE
Ich kann das Passwort auch nicht per kpasswd ändern, wenn der S4 Server verwendet wird: root@master171:~# su - test0 test0@master171:~$ kpasswd test0@DEADLOCK17.LOCAL's Password: New password: Verify password - New password: Hard error : gensec_update failed: NT_STATUS_LOGON_FAILURE
Samba4/Lorikeet-Heimdal berücksichtigt nicht die mkey_file Option aus /etc/krb5.conf bzw. /etc/heimdal-kdc/kdc.conf sondern liest die tatsächlich existierende Datei /var/lib/heimdal-kdc/m-key. Diese wird jetzt im Joinscript 11heimdal-init in .DISABLED umbenannt. Sicherheitshalber wird das dort schon vor dem kadmin init ausgeführt. Damit waren Passwortänderungen per kpasswd jetzt möglich. Getestet mit udm users/user create --position cn=users,$ldap_base --set username=user3 --set lastname=univention --set password=univention --set pwdChangeNextLogin=1
Funktioniert.
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"