Comment 1 Stefan Gohmann 2012-11-28 17:07:12 CET

Ich kann das auf einem Standard 3.1 System nicht reproduzieren.

Was für eine Umgebung setzt du ein (Samba 3 oder Samba 4)? Wie ist die Umgebung aufgebaut, an welcher Systemrolle meldest du dich an und als welcher Benutzer?

Welche Hinweise stehen in der auth.log?

Comment 2 Florian Best 2012-11-29 09:15:28 CET

(In reply to comment #1)
> Ich kann das auf einem Standard 3.1 System nicht reproduzieren.
> 
> Was für eine Umgebung setzt du ein (Samba 3 oder Samba 4)? Wie ist die Umgebung
> aufgebaut, an welcher Systemrolle meldest du dich an und als welcher Benutzer?
>
> Welche Hinweise stehen in der auth.log?

Ich konnte das gerade erfolgreich reproduzieren:
System: Ein master ohne Samba
Benutzer: Administrator

Dies funktioniert erst nachdem der Benutzer sein Passwort ändern musste.
Dazu habe ich in UMC die Checkboxen "Passwort-History ignorieren" und "Passwort bei der nächsten Anmeldung ändern" aktiviert und beim GDM Login das Passwort geändert.

In der auth.log kommen beim UMC-Login keine weiteren Meldungen dazu. Es existieren aber eine Menge dieser Einträge:

Nov 29 09:06:39 master dbus-daemon: nss_ldap: failed to bind to LDAP server ldap://master.product.tests:7389: Server is unwilling to perform
Nov 29 09:06:39 master dbus-daemon: nss_ldap: could not search LDAP server - Server is unavailable

Comment 3 Florian Best 2012-11-29 09:52:50 CET

(In reply to comment #2)
> Ich konnte das gerade erfolgreich reproduzieren:
> System: Ein master ohne Samba
> Benutzer: Administrator
funktioniert auch mit Domain Users
 
> In der auth.log kommen beim UMC-Login keine weiteren Meldungen dazu. Es
> existieren aber eine Menge dieser Einträge:
auch bei ssh und gdm login nichts wirklich sinnvolles dabei.
Nov 29 09:52:00 master gdm[2475]: nss_ldap: reconnecting to LDAP server...
Nov 29 09:52:01 master gdm[2475]: nss_ldap: reconnected to LDAP server ldap://master.product.tests:7389 after 1 attempt
Nov 29 09:52:01 master gdm[2475]: pam_unix(gdm:session): session opened for user testuser by (uid=0)

Comment 4 Florian Best 2012-11-29 10:06:41 CET

Created attachment 4847 [details]
vorher.ldif

Comment 5 Florian Best 2012-11-29 10:06:58 CET

Created attachment 4848 [details]
nacher.ldif

Comment 6 Florian Best 2012-11-29 10:11:08 CET

--- vorher.ldif 2012-11-29 10:05:28.529881427 +0100
+++ nacher.ldif 2012-11-29 10:05:17.053619076 +0100
@@ -19,11 +19,7 @@
 sambaPasswordHistory: DF2BB7FB533879F4EF1F0A6D126272886FA0B0279519B86EB9B067B4
  110D3B35
 krb5MaxLife: 86400
-shadowLastChange: 15673
 cn: authuser
-userPassword:: e2NyeXB0fSQ2JGs2bWNQVVJ2bmlqTEFUbWgkb09pcWF1RDJuVXI1U3UuVjM3ODh
- 6Q3Z3SFJycm5tY0pROUZKZW9WZkNtNHV3NTUzUTFmQ29OT0xHVWVzbnR4LmI5RWZpQmZIdnZESUhY
- M3lGMmxmSS8=
 krb5Key:: ME+hKzApoAMCARKhIgQgyyQurKTzJDsqU4dkScZEyeX2i7dcZgg4GmbJq10GA36iIDAe
  oAMCAQOhFwQVUFJPRFVDVC5URVNUU2F1dGh1c2Vy
 krb5Key:: MD+hGzAZoAMCARGhEgQQMpPKHdnnOTclPvgy3u3oqKIgMB6gAwIBA6EXBBVQUk9EVUNU
@@ -47,7 +43,6 @@
 loginShell: /bin/bash
 univentionObjectType: users/user
 krb5KDCFlags: 126
-sambaPwdLastSet: 1354179555
 sambaNTPassword: CAA1239D44DA7EDF926BCE39F5C65D0F
 displayName: authuser
 sambaSID: S-1-4-2008
@@ -57,3 +52,8 @@
 homeDirectory: /home/authuser
 gidNumber: 5001
 sambaPrimaryGroupSID: S-1-5-21-2134499158-834601673-2223905954-513
+shadowMax: 1
+krb5PasswordEnd: 20121129000000Z
+sambaPwdLastSet: 1
+userPassword:: e2NyeXB0fU52MVdtc1JpTGxqRzI=
+shadowLastChange: 15673

Die beiden Anhänge sind LDIFs einmal bevor der Benutzer sein Passwort ändern musste und nachdem das Passwort per GDM geändert wurde.

Wenn ich per passwd versuche das Passwort zu ändern geht dies nicht, bisher ging das nur per GDM.

Comment 7 Stefan Gohmann 2012-11-29 10:40:28 CET

Es wurde nur das LDAP Passwort per pam_ldap geändert, da am GDM für das Kerberos Passwort ein falsches Passwort angegeben wurde. Dadurch laufen die Passwörter auseinander.

Aus meiner Sicht wäre das beste, wenn wir pam_ldap aus der PAM Konfiguration für common-password entfernen.

Comment 8 Felix Botner 2013-03-05 16:54:20 CET

pam_ldap wurde aus /etc/pam.d/common-password entfernt. Passwort-Änderung über gdm, ssh funktionieren und es wird nur noch kerberos verwendet.

Comment 9 Arvid Requate 2013-03-20 17:56:11 CET

Verified:
 * ssh login+password change against UCS Memberserver in S3 and S4 domain
 * ssh login+password change against UCS S4 Slave
 * kinit with password change against UCS S4 Backup/Slave
 * udm login+password change on UCS S4 Master
 * gdm login+password change on UCS S4 Slave
 * passwd change + login for root
 * Changelog OK

Comment 10 Stefan Gohmann 2013-03-25 19:57:20 CET

UCS 3.1-1 has been released: 
 http://download.univention.de/doc/release-notes-3.1-1_en.pdf
 http://download.univention.de/doc/release-notes-3.1-1.pdf

If this error occurs again, please use "Clone This Bug".

Comment 11 Stefan Gohmann 2013-04-03 21:39:55 CEST

*** Bug 22928 has been marked as a duplicate of this bug. ***