Bug 24703 - Passwort Rotation auf S4 Servern
Passwort Rotation auf S4 Servern
Status: CLOSED FIXED
Product: UCS
Classification: Unclassified
Component: Samba4
UCS 3.0
Other Linux
: P5 normal (vote)
: UCS 3.1
Assigned To: Arvid Requate
Stefan Gohmann
: interim-1
: 23472 26064 (view as bug list)
Depends on: 26064
Blocks:
  Show dependency treegraph
 
Reported: 2011-11-17 16:32 CET by Stefan Gohmann
Modified: 2012-12-12 21:10 CET (History)
1 user (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments
Patch für das Quellpaket ldb, der ein neues Modul univention_machine_secret hinzufügt. (7.47 KB, patch)
2011-11-25 14:24 CET, Arvid Requate
Details | Diff
Script, das das Samba4-Rechnerpasswort auf das Passwort aus /etc/machine.secret setzt (1.91 KB, text/plain)
2011-12-06 12:50 CET, Arvid Requate
Details
/usr/lib/univention-server/server_password_change.d/01_samba4 (1.92 KB, text/plain)
2012-07-05 16:41 CEST, Arvid Requate
Details
/usr/lib/univention-server/server_password_change.d/01_samba4 (1.91 KB, text/plain)
2012-07-05 16:42 CEST, Arvid Requate
Details

Note You need to log in before you can comment on or make changes to this bug.
Description Stefan Gohmann univentionstaff 2011-11-17 16:32:23 CET
Die Passwort Rotation auf S4 Servern ist per Default deaktiviert: Bug #21213

Es sollte geklärt werden, wie die DRS Replikation mit der Passwortänderung zurecht kommt. Wenn ja, dann muss das Passwort an vier Stellen gesetzt werden: OpenLDAP + machine.secret und S4 LDAP + secrets.ldb.
Comment 1 Arvid Requate univentionstaff 2011-11-24 22:15:42 CET
Siehe auch 23889
Comment 2 Arvid Requate univentionstaff 2011-11-25 14:24:47 CET
Created attachment 3900 [details]
Patch für das Quellpaket ldb, der ein neues Modul univention_machine_secret hinzufügt.

Ggf. hilft hier oder in anderen Fällen, ein LDB-Modul analog zu OpenLDAP-Overlays zu haben. Dieses Beispielmodul "univention_machine_secret" kann z.B. in der secrets.ldb registriert werden und schreibt dann bei Änderungen des Attributs 'secret' ob das Attribut an einem Objekt hängt, auf das das Kriterium "sambaSAMAccountname=$hostname" zutrifft. Falls ja schreibt es den Wert des Attributs testweise nach /tmp/machine.secret.

Es ist zu empfehlen die Registrierung an secrets.ldb zunächst an einer Kopie zu testen, da eine fehlerhafte LDB-Modulkonfiguration dazu führt, dass man die Datei erstmal nicht mehr öffnen kann, auch nicht um den Fehler zu beheben. Ein Beispielskript zum registrieren des Moduls ist im Patch-Header.
Comment 3 Arvid Requate univentionstaff 2011-12-06 12:49:04 CET
*** Bug 23472 has been marked as a duplicate of this bug. ***
Comment 4 Arvid Requate univentionstaff 2011-12-06 12:50:00 CET
Created attachment 3969 [details]
Script, das das Samba4-Rechnerpasswort auf das Passwort aus /etc/machine.secret setzt

Mit dem angehängten Skript traten keine DRS-Replikationsfehler nach dem Setzen
des Passworts am lokalen Samba-Maschinen-Konto auf. Entweder es hängt mit dem
gefixten Bug 25171 zusammen oder damit, dass das Skript erst das Passwort in
scerets.ldb ändert und dann in sam.ldb.
Comment 5 Arvid Requate univentionstaff 2012-02-16 16:53:52 CET
*** Bug 26064 has been marked as a duplicate of this bug. ***
Comment 6 Arvid Requate univentionstaff 2012-02-16 16:55:59 CET
An Bug 26064 hängt eine aktuellere Version des Scripts mit dem man das Passwort des Samba-Maschinenkontos auf den in /etc/machine.secret gespeicherten Wert setzen kann.
Comment 7 Arvid Requate univentionstaff 2012-07-05 16:41:01 CEST
Created attachment 4508 [details]
/usr/lib/univention-server/server_password_change.d/01_samba4

Mit dem angehängten server_password_change.d/01_samba4 Skript funktionierte die Passwortrotation in einem kurzen Test (Master+Slave) auch mit Samba4, sodass die DRS Replikation danach keine Fehler meldete. Sollte dann nochmal mit drei Systemen getestet werden.
Comment 8 Arvid Requate univentionstaff 2012-07-05 16:42:17 CEST
Created attachment 4509 [details]
/usr/lib/univention-server/server_password_change.d/01_samba4

Mit korrektem UCR Header..
Comment 9 Stefan Gohmann univentionstaff 2012-07-05 21:25:01 CEST
Das sollten wir spätestens zu UCS 3.1 umsetzen.
Comment 10 Stefan Gohmann univentionstaff 2012-07-17 17:09:37 CEST
UCS 3.1 will be the next release.
Comment 11 Arvid Requate univentionstaff 2012-08-13 14:50:02 CEST
Das Skript aus Comment 8 ist nach univention-samba4 übernommen. Im Joinskript wird nicht mehr server/password/change=no gesetzt. Im postinst wird einmalig server/password/change=yes gesetzt.

UCS 3.1-0 Changelog ist angepasst.
Comment 12 Stefan Gohmann univentionstaff 2012-09-11 07:10:57 CEST
(In reply to comment #11)
> Das Skript aus Comment 8 ist nach univention-samba4 übernommen. Im Joinskript
> wird nicht mehr server/password/change=no gesetzt. Im postinst wird einmalig
> server/password/change=yes gesetzt.
> 
> UCS 3.1-0 Changelog ist angepasst.

Die Replikation funktioniert soweit. Sowohl für den Erfolgsfall, als auch wenn die Passwortänderung nicht funktioniert.

Es sollte in den Release Notes explizit erwähnt werden, dass auf Samba Servern die Passwortrotation automatisch aktiviert wurde. Wenn das nicht gewünscht ist, dann sollte man das nach dem Update manuell wieder zurücksetzen.
Comment 13 Arvid Requate univentionstaff 2012-09-24 11:25:53 CEST
Ein entsprechender Hinweis ist jetzt in den Releasenotes.
Comment 14 Stefan Gohmann univentionstaff 2012-12-12 21:10:43 CET
UCS 3.1-0 has been released: 
 http://forum.univention.de/viewtopic.php?f=54&t=2125

If this error occurs again, please use "Clone This Bug".