Migration bestehender Kerberos Datenbank nach UCS

UCS - Univention Corporate Server
#1

Hallo zusammen,

nachdem ich mich nach wie vor in der Evaluierung einer UCS Umgebung bei uns befinde, möchte ich nun die Benutzer samt Passwörter in die Testumgebung migrieren.

Das Übernehmen der Benutzer ist soweit kein Problem. Hierfür habe ich mir ein entsprechendes Script geschrieben, welches Informationen aus einer LDIF Datei ausliest und diese (mit Hilfe von udm) im UCS speichert / beim Benutzer setzt. Bei der Übernahme der Kennwörter jedoch ist mir nicht klar, wie ich diese übernehmen soll.
Bisher wird eine Heimdal Kerberos Datenbank gepflegt, wo die Benutzer (hauptsächlich Linux Nutzer) sich ein Ticket holen und fortan mit ihrem Kerberos Login arbeiten können. Nun kann ich zwar diese verschlüsselten Kerberos Datensätze dumpen, nur wird es vermutlich nicht reichen, die Datensätze in den LDAP Eintrag “Krb5Key” am UCS zu speichern?

Des Weiteren ist mir unklar, warum beim Setzen eines neuen Passwortes, bspw. über die Weboberfläche des UCS, sowohl eine Änderung am KRB5Key im LDAP, als auch eine Änderung der Kerberos Datenbank auf dem UCS stattfindet. Eigentlich bin ich davon ausgegangen, dass der Kerberos Server als Backend vollständig den LDAP Server verwendet? Zumindest ist dies auch so der Heimdal Konfiguration auf dem UCS Server zu entnehmen.

Grüße

#2

Hallo,

haben Sie sich schon mal den Thread User-Passwörter migrieren Samba 3 -> UCS 4/Samba 4 angesehen?
Ich muß gestehen, dass ich aus Zeitgründen nur quer gelesen habe, aber es werden zumindest Teilaspekte erläutert.

Viele Grüße,
Dirk Ahrnke

#3

Hallo,

Danke für die Antwort.

Ja, den Beitrag habe ich mir bereits angesehen. Hierbei handelt es sich jedoch um einen Umzug von Samba zu UCS, d.h. es werden entsprechende NT Hashes genutzt und diese nach Kerberos umgewandelt. Bei uns gibt es eine solche Konstellation nicht. Es sind bereits verschlüsselte Kerberos Passwörter in einer Kerberos Datenbank vorhanden, und diese sollen nach UCS übertragen werden.

Derzeit experimentiere ich in unserer aktiven Umgebung auch noch mit dem pam_exec Modul, mit der Hoffnung, dass ich hier entsprechend ein Script laufen lassen kann, welches die Passwörter nach einmaligen Login auf einem anderen System auf dem UCS Server setzt, aber eleganter (und schöner) wäre es natürlich die Passwörter direkt ins UCS übernehmen zu können.

Grüße

#4

Wie sieht es aus mit LDAP modify? Wenn die Passwörter bereits da sind müsste es doch möglich sein die Benutzer anzulegen und dann per LDAP modify die Passwörter einzutragen?

Mastodon