Univention Bugzilla – Bug 8568
Verbesserte admin-cli-Bedienung für nicht-Administratoren
Last modified: 2022-06-30 14:39:23 CEST
Will man momentan als nicht-root oder auf einem UCS-Slave/Member-System univention-admin benutzen, muss man zwingend binddn und bindpw an der Kommandozeile angeben (wodurch das Passwort in der Prozessliste auftaucht). univention-admin sollte den zu verwendenden Benutzernamen aus einer dafür vorgesehenen Umgebungsvariablen auslesen. Falls diese nicht gesetzt ist, wird weiterhin cn=admin verwendet. Über eine weitere Umgebungsvariable sollte es möglich sein, das zu verwendende Passwort oder den Pfad zu einer Passwortdatei (default: /etc/ldap.secret) zu übergeben. Alternativ kann statt einer Umgebungsvariablen auch ~/.ua-cli oder so verwendet werden.
Wäre es nicht besser und einfacher Kerberos zu unterstützen? Oder geht das mit python-ldap nicht?
The calling convention for simple-bind vs. SASL is quiet different, but Pyhton-LDAP supports both: <https://stomp.colorado.edu/blog/blog/2013/01/04/on-python-ldap-and-kerberos/> # depends on fix for Bug #29482 # kinit Administrator # python2.6 import ldap import ldap.sasl conn = ldap.initialize("ldap://localhost") conn.set_option(ldap.OPT_X_TLS_DEMAND, True) conn.start_tls_s() auth = ldap.sasl.gssapi("") conn.sasl_interactive_bind_s("", auth) result = conn.search_s("", ldap.SCOPE_BASE, attrlist=["namingContexts"]) base = result[0][1]["namingContexts"][0] result = conn.search_s(base, ldap.SCOPE_SUBTREE, "uid=Administrator") dn, data = result[0]
This issue has been filed against UCS 1. UCS 1 is out of maintenance and many UCS components have vastly changed in later releases. Thus, this issue is now being closed. If this issue still occurs in newer UCS versions, please use "Clone this bug". In this case please provide detailed information on how this issue is affecting you.