Univention Bugzilla – Bug 27554
S4 Connector Traceback bei krb5Key ohne Salt
Last modified: 2012-12-12 21:08:22 CET
Der S4 Connector generiert Tracebacks, wenn ein kerberosPrincipal in OpenLDAP krb5keys ohne salt aufweist. Ggf. wäre es besser, wenn er in diesem Fall eine Warning ausgibt und den Default-Salt der UCS-Domäne zur Erzeugung der supplementalCredentials verwendet. Dadurch hätte man trotz legacy-Keyformat im OpenLDAP keine Rejects bei der Synchronisation. Der Salt wird zwar beim Update auf UCS 3.0 durch das Skript /usr/share/univention-heimdal/salt_krb5Keys gesetzt, aber wenn weiterhin UCS 2.4 Systeme in der Domäne sind, an denen per UDM Passworte geändert werden, dann wird dieses legacy-Keyformat möglicherweise weiter erzeugt. Eine aufwändigere Alternative wäre ein Hotfix für UCS 2.4-4
Aufgetreten an Ticket#: 2012061221002608
Das Betrifft auch Benutzer, die ihr Passwort mit einem UCS 2.4 UDM ändern.
Comment 2 ist vermutlich invalid, mein Testskript schlug nur auf krb5Keys an Benutzerobjekten an, die Ihr Passwort in Samba4 geändert hatten. Der S4 connector schreibt deren NT-Hash dann in krb5Key, und zwar ohne zusätzlich noch den Salt hinzuzufügen.
Das Szenario wird derzeit eigentlich nicht unterstützt. IMHO sollte in diesen Szenarien der Salt per Skript hinzugefügt werden: /usr/share/univention-heimdal/salt_krb5Keys.
UCS 3.1 will be the next release.
(In reply to comment #4) > Das Szenario wird derzeit eigentlich nicht unterstützt. > > IMHO sollte in diesen Szenarien der Salt per Skript hinzugefügt werden: > /usr/share/univention-heimdal/salt_krb5Keys. Da das Szenario nicht unterstützt wird → WONTFIX Ansonsten kann einfach /usr/share/univention-heimdal/salt_krb5Keys aufgerufen werden.
OK
UCS 3.1-0 has been released: http://forum.univention.de/viewtopic.php?f=54&t=2125 If this error occurs again, please use "Clone This Bug".