Univention Bugzilla – Bug 24703
Passwort Rotation auf S4 Servern
Last modified: 2012-12-12 21:10:43 CET
Die Passwort Rotation auf S4 Servern ist per Default deaktiviert: Bug #21213 Es sollte geklärt werden, wie die DRS Replikation mit der Passwortänderung zurecht kommt. Wenn ja, dann muss das Passwort an vier Stellen gesetzt werden: OpenLDAP + machine.secret und S4 LDAP + secrets.ldb.
Siehe auch 23889
Created attachment 3900 [details] Patch für das Quellpaket ldb, der ein neues Modul univention_machine_secret hinzufügt. Ggf. hilft hier oder in anderen Fällen, ein LDB-Modul analog zu OpenLDAP-Overlays zu haben. Dieses Beispielmodul "univention_machine_secret" kann z.B. in der secrets.ldb registriert werden und schreibt dann bei Änderungen des Attributs 'secret' ob das Attribut an einem Objekt hängt, auf das das Kriterium "sambaSAMAccountname=$hostname" zutrifft. Falls ja schreibt es den Wert des Attributs testweise nach /tmp/machine.secret. Es ist zu empfehlen die Registrierung an secrets.ldb zunächst an einer Kopie zu testen, da eine fehlerhafte LDB-Modulkonfiguration dazu führt, dass man die Datei erstmal nicht mehr öffnen kann, auch nicht um den Fehler zu beheben. Ein Beispielskript zum registrieren des Moduls ist im Patch-Header.
*** Bug 23472 has been marked as a duplicate of this bug. ***
Created attachment 3969 [details] Script, das das Samba4-Rechnerpasswort auf das Passwort aus /etc/machine.secret setzt Mit dem angehängten Skript traten keine DRS-Replikationsfehler nach dem Setzen des Passworts am lokalen Samba-Maschinen-Konto auf. Entweder es hängt mit dem gefixten Bug 25171 zusammen oder damit, dass das Skript erst das Passwort in scerets.ldb ändert und dann in sam.ldb.
*** Bug 26064 has been marked as a duplicate of this bug. ***
An Bug 26064 hängt eine aktuellere Version des Scripts mit dem man das Passwort des Samba-Maschinenkontos auf den in /etc/machine.secret gespeicherten Wert setzen kann.
Created attachment 4508 [details] /usr/lib/univention-server/server_password_change.d/01_samba4 Mit dem angehängten server_password_change.d/01_samba4 Skript funktionierte die Passwortrotation in einem kurzen Test (Master+Slave) auch mit Samba4, sodass die DRS Replikation danach keine Fehler meldete. Sollte dann nochmal mit drei Systemen getestet werden.
Created attachment 4509 [details] /usr/lib/univention-server/server_password_change.d/01_samba4 Mit korrektem UCR Header..
Das sollten wir spätestens zu UCS 3.1 umsetzen.
UCS 3.1 will be the next release.
Das Skript aus Comment 8 ist nach univention-samba4 übernommen. Im Joinskript wird nicht mehr server/password/change=no gesetzt. Im postinst wird einmalig server/password/change=yes gesetzt. UCS 3.1-0 Changelog ist angepasst.
(In reply to comment #11) > Das Skript aus Comment 8 ist nach univention-samba4 übernommen. Im Joinskript > wird nicht mehr server/password/change=no gesetzt. Im postinst wird einmalig > server/password/change=yes gesetzt. > > UCS 3.1-0 Changelog ist angepasst. Die Replikation funktioniert soweit. Sowohl für den Erfolgsfall, als auch wenn die Passwortänderung nicht funktioniert. Es sollte in den Release Notes explizit erwähnt werden, dass auf Samba Servern die Passwortrotation automatisch aktiviert wurde. Wenn das nicht gewünscht ist, dann sollte man das nach dem Update manuell wieder zurücksetzen.
Ein entsprechender Hinweis ist jetzt in den Releasenotes.
UCS 3.1-0 has been released: http://forum.univention.de/viewtopic.php?f=54&t=2125 If this error occurs again, please use "Clone This Bug".