Ldap shadowLastChange

UCS - Univention Corporate Server
#1

Hallo,

wenn ich im UMC das Kennwort eines Benutzers ändere, so wird shadowLastChange nicht geupdatet!!

Ich bräuchte dieses dringend für ein Skript.

#2

Hallo,

würde es Dir ggf. helfen, statt “shadowLastChange” “sambaPwdLastSet” für das Skript zu nehmen?

#3

Es gibt Konten, welche kein Samba- Account sind, daher nein.

#4

…?

#5

Hast Du geprüft, ob für diese Konten ggf. andere Attribute in Frage kämen?

Deine ursprüngliche Anfrage zur Zielstellung des Skriptes ist etwas sparsam (im Gegensatz zu den verwendeten Interpunktionszeichen).
Ich vermute Du möchtest etwas bauen, was einen einen anstehenden Kennwortablauf ermittelt und ggf. eine Nachricht auf den Weg schickt.
Das scheint derzeit nicht völlig trivial, da es eben unterschiedliche Attribute gibt in denen das gespeichert wird. Hinzu kommen noch fakultative Einflussfaktoren wie der S4-Connector.

Wenn Du der Meinung bist, hier auf einen Bug gestossen zu sein und selbst keinen aufmachen möchtest, wäre es hilfreich, etwas mehr über die Randbedingungen und Deine Annahme, warum sich die Software Deiner Meinung nach so oder so verhalten sollte, zu erfahren. Damit erhöhen sich die Chancen auf eine Reproduktion und wir sparen alle Zeit.

#6

Hi

Das ist ja schon etwas älter, aber ich habe das gleiche Problem mit UCS 4.2-3-errata312.
Wenn ich das Passwort via UDM setze:

udm users/user modify --set password='...' --dn 'uid=testuser,cn=users,dc=ucs-test,dc=local'

Wird das UCS-LDAP Attribute “shadowLastChange” auch nicht aktualisiert, es hat immer einen Zeitstempel von 1970.

#7

Hi @Thomy,

the LDAP attribute shadowLastChange is only used when there is a password policy set.

root@ucs:~# udm policies/pwhistory list

DN: cn=default-settings,cn=pwhistory,cn=users,cn=policies,dc=univention,dc=support
ARG: None
  ldapFilter: None
  name: default-settings
  length: 3
* expiryInterval: None
  pwQualityCheck: None
  pwLength: 8

In the above example expiryInterval is None so shadowLastChange is not used.

You always should use the same settings like used in Samba/AD.

root@ucs:~# samba-tool domain passwordsettings show
Password informations for domain 'DC=univention,DC=support'

Password complexity: on
Store plaintext passwords: off
Password history length: 0
Minimum password length: 8
Minimum password age (days): 0
Maximum password age (days): 0
Account lockout duration (mins): 0
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30
#8

Hi

Danke, das wusste ich nicht :frowning:

Gruß Thomy

Mastodon