Univention Bugzilla – Bug 29438
Passwort per pam_ldap ändern - es werden nur 8 Zeichen ausgewertet
Last modified: 2013-04-03 21:39:55 CEST
Ich habe mich gerade erfolgreich an der UMC anmelden können mit den Passwörtern: ['univenti', 'univentionasdf324124dS']
Ich kann das auf einem Standard 3.1 System nicht reproduzieren. Was für eine Umgebung setzt du ein (Samba 3 oder Samba 4)? Wie ist die Umgebung aufgebaut, an welcher Systemrolle meldest du dich an und als welcher Benutzer? Welche Hinweise stehen in der auth.log?
(In reply to comment #1) > Ich kann das auf einem Standard 3.1 System nicht reproduzieren. > > Was für eine Umgebung setzt du ein (Samba 3 oder Samba 4)? Wie ist die Umgebung > aufgebaut, an welcher Systemrolle meldest du dich an und als welcher Benutzer? > > Welche Hinweise stehen in der auth.log? Ich konnte das gerade erfolgreich reproduzieren: System: Ein master ohne Samba Benutzer: Administrator Dies funktioniert erst nachdem der Benutzer sein Passwort ändern musste. Dazu habe ich in UMC die Checkboxen "Passwort-History ignorieren" und "Passwort bei der nächsten Anmeldung ändern" aktiviert und beim GDM Login das Passwort geändert. In der auth.log kommen beim UMC-Login keine weiteren Meldungen dazu. Es existieren aber eine Menge dieser Einträge: Nov 29 09:06:39 master dbus-daemon: nss_ldap: failed to bind to LDAP server ldap://master.product.tests:7389: Server is unwilling to perform Nov 29 09:06:39 master dbus-daemon: nss_ldap: could not search LDAP server - Server is unavailable
(In reply to comment #2) > Ich konnte das gerade erfolgreich reproduzieren: > System: Ein master ohne Samba > Benutzer: Administrator funktioniert auch mit Domain Users > In der auth.log kommen beim UMC-Login keine weiteren Meldungen dazu. Es > existieren aber eine Menge dieser Einträge: auch bei ssh und gdm login nichts wirklich sinnvolles dabei. Nov 29 09:52:00 master gdm[2475]: nss_ldap: reconnecting to LDAP server... Nov 29 09:52:01 master gdm[2475]: nss_ldap: reconnected to LDAP server ldap://master.product.tests:7389 after 1 attempt Nov 29 09:52:01 master gdm[2475]: pam_unix(gdm:session): session opened for user testuser by (uid=0)
Created attachment 4847 [details] vorher.ldif
Created attachment 4848 [details] nacher.ldif
--- vorher.ldif 2012-11-29 10:05:28.529881427 +0100 +++ nacher.ldif 2012-11-29 10:05:17.053619076 +0100 @@ -19,11 +19,7 @@ sambaPasswordHistory: DF2BB7FB533879F4EF1F0A6D126272886FA0B0279519B86EB9B067B4 110D3B35 krb5MaxLife: 86400 -shadowLastChange: 15673 cn: authuser -userPassword:: e2NyeXB0fSQ2JGs2bWNQVVJ2bmlqTEFUbWgkb09pcWF1RDJuVXI1U3UuVjM3ODh - 6Q3Z3SFJycm5tY0pROUZKZW9WZkNtNHV3NTUzUTFmQ29OT0xHVWVzbnR4LmI5RWZpQmZIdnZESUhY - M3lGMmxmSS8= krb5Key:: ME+hKzApoAMCARKhIgQgyyQurKTzJDsqU4dkScZEyeX2i7dcZgg4GmbJq10GA36iIDAe oAMCAQOhFwQVUFJPRFVDVC5URVNUU2F1dGh1c2Vy krb5Key:: MD+hGzAZoAMCARGhEgQQMpPKHdnnOTclPvgy3u3oqKIgMB6gAwIBA6EXBBVQUk9EVUNU @@ -47,7 +43,6 @@ loginShell: /bin/bash univentionObjectType: users/user krb5KDCFlags: 126 -sambaPwdLastSet: 1354179555 sambaNTPassword: CAA1239D44DA7EDF926BCE39F5C65D0F displayName: authuser sambaSID: S-1-4-2008 @@ -57,3 +52,8 @@ homeDirectory: /home/authuser gidNumber: 5001 sambaPrimaryGroupSID: S-1-5-21-2134499158-834601673-2223905954-513 +shadowMax: 1 +krb5PasswordEnd: 20121129000000Z +sambaPwdLastSet: 1 +userPassword:: e2NyeXB0fU52MVdtc1JpTGxqRzI= +shadowLastChange: 15673 Die beiden Anhänge sind LDIFs einmal bevor der Benutzer sein Passwort ändern musste und nachdem das Passwort per GDM geändert wurde. Wenn ich per passwd versuche das Passwort zu ändern geht dies nicht, bisher ging das nur per GDM.
Es wurde nur das LDAP Passwort per pam_ldap geändert, da am GDM für das Kerberos Passwort ein falsches Passwort angegeben wurde. Dadurch laufen die Passwörter auseinander. Aus meiner Sicht wäre das beste, wenn wir pam_ldap aus der PAM Konfiguration für common-password entfernen.
pam_ldap wurde aus /etc/pam.d/common-password entfernt. Passwort-Änderung über gdm, ssh funktionieren und es wird nur noch kerberos verwendet.
Verified: * ssh login+password change against UCS Memberserver in S3 and S4 domain * ssh login+password change against UCS S4 Slave * kinit with password change against UCS S4 Backup/Slave * udm login+password change on UCS S4 Master * gdm login+password change on UCS S4 Slave * passwd change + login for root * Changelog OK
UCS 3.1-1 has been released: http://download.univention.de/doc/release-notes-3.1-1_en.pdf http://download.univention.de/doc/release-notes-3.1-1.pdf If this error occurs again, please use "Clone This Bug".
*** Bug 22928 has been marked as a duplicate of this bug. ***