Fehlgeschlagene Anmeldeversuche blockieren E-Mails des Users

Problem: Im Fall mehrerer fehlgeschlagener Anmeldeversuche wird die weitere Anmeldung nicht nur blockiert, sondern der User durch den MSOffice Connector in MS365 disabled wird, mit dem Effekt, dass der User a) de-lizensiert wird und b) E-Mails an ihn als “unbekannt” an den Absender zurückgeschickt werden. Je nach E-Mail und Absender ist das egal bis höchst peinlich…

Wir haben das Anmeldeverhalten nach Handbuch mit leicht abweichenden Werten konfiguriert:

root@pdc:~# samba-tool domain passwordsettings show                             |
Password information for domain 'DC=intern,DC=izt,DC=de'

Password complexity: on
Store plaintext passwords: off
Password history length: 3
Minimum password length: 8
Minimum password age (days): 0
Maximum password age (days): 0
Account lockout duration (mins): 7
Account lockout threshold (attempts): 7
Reset account lockout after (mins): 5

Damit wollten wir erreichen, dass nach 7 falschen Anmeldungen innerhalb von 7 Minuten die Anmeldung für 5 Minuten ausgesetzt wird. Tatsächlich sehen wir in der UMC für den User dann auch unter “Account Settings” einen Wert in “Lockout till”, der bis dahin immer schon abgelaufen ist. Der User kann sich aber nicht anmelden, obwohl der Zeitpunkt dann schon in der Vergangenheit liegt. Er ist immer noch gesperrt.

Im Listener.log findet sich in so einem Fall u.a.:

11.07.23 22:59:18.815  LISTENER    ( PROCESS ) : updating 'uid=x.xxxxx,cn=users,dc=intern,dc=izt,dc=de' command m                                               |
11.07.23 22:59:18.822  LISTENER    ( PROCESS ) : office365-user: modify dn: 'uid=x.xxxxx,cn=users,dc=intern,dc=izt,dc=de'                                       |
11.07.23 22:59:19.144  LISTENER    ( ERROR   ) : o365(D): GraphAPI: PATCH https://graph.microsoft.com/v1.0/users/24154357-f17f-4fe4-820f-6e3b6856c8e9 {'accountEnabled': False, 'otherMails': []}
11.07.23 22:59:19.145  LISTENER    ( ERROR   ) : o365(D): The access token for `defaultADconnection` looks similar to: `eyJ0eXAiOi-trimmed-SPBf_pQpZA`. It is valid until 2023-07-10 07:58:44

Ich nehme an, dass Eintrag um 11.07.23 22:59:19.144: “‘accountEnabled’: False” zur De-Lizensierung und E-Mail-Ablehnen führt.

In Reihenfolge abnehmender Wichtigkeit:

  • Wie können wir verhindern, dass E-Mails an den User als unbekannt abgelehnt werden
  • Wie können wir verhindern, dass der User de-lizensiert wird?
  • Wie können wir erreichen, dass der User sich nach einem kurzen Lockout wieder anmelden kann, ohne dass der Admin eingreifen muss?

Für hilfreiche Hinweise dankbar: Gregor

Mastodon