Univention Bugzilla – Bug 39636
Benutzer ohne Posix Attribut können Ihr Passwort nicht ändern
Last modified: 2017-09-15 14:06:39 CEST
Wir stehen momentan vor dem Problem, dass Benutzer, die nur die Optionen "Persönliche Informationen" und "Einfaches Authentisierungskonto" aktiviert haben, Ihr eigenes Passwort nicht im UDM ändern können. Die Fehlermeldung sagt folgendes: > An error occurred > > Could not fulfill the request. > > Server error message: > > Changing password failed. The reason could not be determined. In case it helps, the raw error message will be displayed: Current Kerberos password In Ich konnte schon Bug Einträge finden, die ähnlich klingen (31828, 37916, 37474), jedoch ist mir nicht klar, wie der aktuelle Status ist. Laut http://errata.univention.de/ucs/4.0/18.html sollte es inzwischen eigentlich möglich sein, dass auch Benutzer ohne Posix Account Ihr Passwort ändern können. In /var/log/auth.log auf dem Server kann ich folgende Meldungen zum Zeitpunkt der versuchten Passwort Änderung finden: Oct 27 10:51:53 dc python2.7: pam_unix(univention-management-console:auth): check pass; user unknown Oct 27 10:51:53 dc python2.7: pam_unix(univention-management-console:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Oct 27 10:51:53 dc python2.7: pam_krb5(univention-management-console:auth): authentication failure; logname=pwchangetest uid=0 euid=0 tty= ruser= rhost= Oct 27 10:51:53 dc python2.7: pam_unix(univention-management-console:account): could not identify user (from getpwnam(pwchangetest)) Mein Testuser sieht wie folgt aus: root@dc:/etc/pam.d # ldapsearch -x -H ldapi:/// uid=pwchangetest # extended LDIF # # LDAPv3 # base <dc=tarent,dc=de> (default) with scope subtree # filter: uid=pwchangetest # requesting: ALL # # pwchangetest, users, Testkunde, Customers, tarent.de dn: uid=pwchangetest,cn=users,ou=Testkunde,ou=Customers,dc=tarent,dc=de displayName: pwchangetest uid: pwchangetest objectClass: top objectClass: person objectClass: univentionPWHistory objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: simpleSecurityObject objectClass: uidObject objectClass: tarentExtras objectClass: univentionObject isKunde: 1 sn: pwchangetest univentionObjectType: users/user cn: pwchangetest # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 Der Server selber hat alle aktuellen Erratas eingespielt: :~ # univention-upgrade Starting univention-upgrade. Current UCS version is 4.0-3 errata342 Checking for local repository: none Checking for release updates: none Checking for package updates: none
Zu UCS 4.0 wurde die Passwortänderung umgestellt, sodass nun PAM anstelle von LDAP/UDM benutzt wird. Im PAM-Stack ist kein Modul definiert, dass es reinen LDAP-Benutzern erlaubt ihr Passwort zu ändern. Das kann auch nicht einfach so hinzugefügt werden, da sonst die Passwort-Richtlinien nicht mehr ausgewertet werden würden. Eine Alternative wäre das alte Modul aus UCS 3.0 für die entsprechenden Benutzer durch Aktivieren der UMC und LDAP ACL's wieder zu aktivieren. Dazu muss allerdings erst Bug #39016 behoben (oder lokal angepasst) werden.
*** This bug has been marked as a duplicate of bug 42308 ***
Set status of old resolved issues to closed.