First Last Prev Next    This bug is not in your last search results.
Bug 27554 - S4 Connector Traceback bei krb5Key ohne Salt
S4 Connector Traceback bei krb5Key ohne Salt
Status: CLOSED WONTFIX
Product: UCS
Classification: Unclassified
Component: S4 Connector
UCS 3.0
Other Linux
: P5 normal (vote)
: UCS 3.1
Assigned To: Stefan Gohmann
Felix Botner
: interim-2
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2012-06-12 18:16 CEST by Arvid Requate
Modified: 2012-12-12 21:08 CET (History)
2 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Arvid Requate univentionstaff 2012-06-12 18:16:25 CEST 
Der S4 Connector generiert Tracebacks, wenn ein kerberosPrincipal in OpenLDAP krb5keys ohne salt aufweist. Ggf. wäre es besser, wenn er in diesem Fall eine Warning ausgibt und den Default-Salt der UCS-Domäne zur Erzeugung der supplementalCredentials verwendet. Dadurch hätte man trotz legacy-Keyformat im OpenLDAP keine Rejects bei der Synchronisation.

Der Salt wird zwar beim Update auf UCS 3.0 durch das Skript  /usr/share/univention-heimdal/salt_krb5Keys gesetzt, aber wenn weiterhin UCS 2.4 Systeme in der Domäne sind, an denen per UDM Passworte geändert werden, dann wird dieses legacy-Keyformat möglicherweise weiter erzeugt.

Eine aufwändigere Alternative wäre ein Hotfix für UCS 2.4-4
Comment 1 Arvid Requate univentionstaff 2012-06-19 19:02:56 CEST 
Aufgetreten an Ticket#: 2012061221002608
Comment 2 Arvid Requate univentionstaff 2012-06-19 19:07:37 CEST 
Das Betrifft auch Benutzer, die ihr Passwort mit einem UCS 2.4 UDM ändern.
Comment 3 Arvid Requate univentionstaff 2012-06-19 19:23:47 CEST 
Comment 2 ist vermutlich invalid, mein Testskript schlug nur auf krb5Keys an Benutzerobjekten an, die Ihr Passwort in Samba4 geändert hatten. Der S4 connector schreibt deren NT-Hash dann in krb5Key, und zwar ohne zusätzlich noch den Salt hinzuzufügen.
Comment 4 Stefan Gohmann univentionstaff 2012-07-11 11:35:55 CEST 
Das Szenario wird derzeit eigentlich nicht unterstützt.

IMHO sollte in diesen Szenarien der Salt per Skript hinzugefügt werden: /usr/share/univention-heimdal/salt_krb5Keys.
Comment 5 Stefan Gohmann univentionstaff 2012-07-17 17:09:53 CEST 
UCS 3.1 will be the next release.
Comment 6 Stefan Gohmann univentionstaff 2012-09-25 11:43:42 CEST 
(In reply to comment #4)
> Das Szenario wird derzeit eigentlich nicht unterstützt.
> 
> IMHO sollte in diesen Szenarien der Salt per Skript hinzugefügt werden:
> /usr/share/univention-heimdal/salt_krb5Keys.

Da das Szenario nicht unterstützt wird → WONTFIX

Ansonsten kann einfach /usr/share/univention-heimdal/salt_krb5Keys aufgerufen werden.
Comment 7 Felix Botner univentionstaff 2012-10-18 16:23:43 CEST 
OK
Comment 8 Stefan Gohmann univentionstaff 2012-12-12 21:08:22 CET 
UCS 3.1-0 has been released: 
 http://forum.univention.de/viewtopic.php?f=54&t=2125

If this error occurs again, please use "Clone This Bug".
First Last Prev Next    This bug is not in your last search results.