Bug 26512 – Setzen des LM-Hash deaktivierbar machen

Bug 26512 - Setzen des LM-Hash deaktivierbar machen


Summary:	Setzen des LM-Hash deaktivierbar machen

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	UDM (Generic)
Version:	UCS 3.0
Hardware:	Other Linux

Importance:	P5 enhancement (vote)
Target Milestone:	UCS 3.0-2
Assigned To:	Stefan Gohmann
QA Contact:	Janek Walkenhorst

URL:
Keywords:	interim-3

Depends on:
Blocks:	27860
	Show dependency tree / graph

Reported:	2012-03-15 07:47 CET by Ingo Steuwer
Modified:	2012-07-20 15:24 CEST (History)
CC List:	3 users (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Ingo Steuwer

2012-03-15 07:47:04 CET

Der von Samba3 (NT-Domäne) noch standardmäßig gepflegte/genutzte LM-Hash sollte  in einer Samba4-Domäne überflüssig sein. Wir sollten das prüfen und wenn möglich

1. den Hash per UCR deaktivierbar machen, so dass er vom UDM an Usern und Rechnern nicht mehr gespeichert wird. Zu prüfen ist das Verhalten des AD-Connectors wenn der Hash im AD noch gepflegt wird.


2. ein Skript bereitstellen, das vorhandene LDAP-Objekte modifiziert und den Hash entfernt.

Comment 1 Ingo Steuwer

2012-03-15 07:47:22 CET

Das wurde auch auf dem Partner-Summit von einem Kunden angefragt.

Comment 2 Stefan Gohmann

2012-03-15 07:49:58 CET

Wenn es nicht so aufwendig ist, dann sollten wir zur 3.0-2 umsetzen.

Comment 3 Stefan Gohmann

2012-07-11 11:21:54 CEST

UCR Variable hinzugefügt: password/samba/lmhash 

Wird beim Update auf true gesetzt, Default Änderung für UCS 3.1 geplant: Bug #27860

Mit dem Skript /usr/share/univention-directory-manager-tools/remove_sambalmpassword können die LM Hashes entfernt werden.

Comment 4 Janek Walkenhorst

2012-07-17 14:27:28 CEST

AV → UCR password/samba/lmhash=true
IV → UCR password/samba/lmhash=false
SLP → sambaLMPassword LDAP-Attribut

AV: erstellter Benutzer hat SLP: OK
IV: erstellter Benutzer hat kein SLP: OK

AV: Benutzer ohne SLP bekommt SLP bei Passwortänderung: OK
AV: Benutzer mit SLP behält SLP bei Passwortänderung: OK
IV: Benutzer ohne SLP bekommt kein SLP bei Passwortänderung: OK
IV: Benutzer mit SLP verliert SLP bei Passwortänderung: OK

Variable wird beim Update auf true gesetzt: OK

Comment 5 Janek Walkenhorst

2012-07-17 14:33:03 CEST

(In reply to comment #3)
> Mit dem Skript
> /usr/share/univention-directory-manager-tools/remove_sambalmpassword können die
> LM Hashes entfernt werden.
Das funktioniert.

Changelog: OK

Comment 6 Stefan Gohmann

2012-07-20 15:24:41 CEST

UCS 3.0-2 has been released: 
  http://forum.univention.de/viewtopic.php?f=54&t=1905

If this error occurs again, please use "Clone This Bug".