Haken "Passwort bei der nächsten Anmeldung ändern"

UCS - Univention Corporate Server
#1

Wir haben ein Problem festgestellt, wenn ein Benutzer, bei dem der Haken für “Passwort bei der nächsten Anmeldung ändern” gesetzt ist, sich an der Univention Management Console anmelden möchte. Nach Eingabe von Benutzername und Passwort kommt ein Dialog, der zur Eingabe eines neuen Passwortes auffordert. Nachdem das neue Passwort eingegeben wurde, kommt aber nur eine Fehlermeldung “Die Authentisierung schlug fehl. Bitte melden Sie sich erneut an.” Eine Anmeldung mit dem neuen Passwort funktioniert nicht, und bei Eingabe des alten Passwortes wiederholt sich die Prozedur. In /var/log/auth.log findet man dazu die Meldungen

Jan 15 16:45:42 server python2.6: pam_unix(univention-management-console:account): expired password for user jim (password aged) Jan 15 16:45:42 server python2.6: pam_unix(univention-management-console:account): conversation failed Jan 15 16:45:43 server python2.6: pam_unix(univention-management-console:account): expired password for user jim (password aged) Jan 15 16:45:43 server python2.6: pam_unix(univention-management-console:account): conversation failed Jan 15 16:45:43 server python2.6: pam_unix(univention-management-console:chauthtok): user "jim" does not exist in /etc/passwd

Das Problem tritt auf unter UCS 3.2.0 Errata 19 mit installierter Open-Xchange App Suite. Auf einem vergleichbar aufgesetzten System ohne OX konnte das Problem nicht reproduziert werden, obwohl z.B. die PAM Konfigurationsdateien identisch sind.

Wir haben dazu den Bug: [bug]29971[/bug] gefunden.

Viele Grüße
Sven Anders

#2

Hallo,

die zitierten Zeilen aus der auth.log haben vermutlich nichts mit dem Problem zu tun. Ich sehe sie auch auf einem vergleichbaren System bei erfolgreicher Änderung des Kennworts.

Kann das Problem auch mit anderen Konten auf dem betroffenen System reproduziert werden?
Kann das Problem mit einem anderen Browser reproduziert werden?
Kann das Kennwort über die UMC geändert werden wenn der Haken nicht gesetzt ist?

Sinnvoll wären ggf. Tests mit “kpasswd jim”, sowohl bei einem normalen Kennwortwechsel als auch bei gesetztem “Passwort ändern” Flag.

Viele Grüße,
Dirk Ahrnke

#3

Hallo Herr Ahrnke,

vielen Dank für Ihre Antwort, Sie haben uns auf die richtige Fährte gebracht. Wir hatten (aus Performance-Gründen und weil er vom Kunden nicht benötigt wird), den DNS Server gestoppt (das natürlich auch auf den Testsystemen). Dadurch war keine Verbindung mehr zum Kerberos möglich.

Lösung:

ucr set kerberos/kdc=mail.example.com ucr set kerberos/defaults/dns_lookup_kdc=false

Und danach ein paar Dienste (UMC,Kerberos …) neu gestartet.

Vielen Dank und Viele Grüße
Sven Anders

Mastodon