Nt_status_account_locked_out

german

#1

Hallo,
wir haben auf die aktuelle Version 3.1 mit samba4 aktualisiert. jetzt gibt es zwei benutzer die sich am Windows Client nicht anmelden können.

bei kinit kommt das:
kinit username
username@DOMAIN.LOCAL’s Password:
kinit: krb5_get_init_creds: No ENC-TS found

mit dem smbclient kommt das:
smbclient -L //server -U username
Enter username’s password:
session setup failed: NT_STATUS_ACCOUNT_LOCKED_OUT

Das Account ist aber weder im UMC oder Samba4 gesperrt.


UCS zuständig für 2 Domains
#2

Hallo,

kann es sein, dass die Accounts direkt über das Active Directory administriert werden? Entsprechende LOCK-Policies bei mehrfacher Fehleingabe des Passworts sollten z.B. als Security-Setting per GPO verteilt werden können.

Mit freundlichen Grüßen,
Tim Petersen


#3

Hallo,

nein, GPOs werden derzeit nicht verwendet.
Es wurde letzte Woche auf Samba4 migriert, und das ist der einzige Account, der anscheiend nicht funktioniert.

samba.log:
authsam_account_ok: Account for user username@DOMAIN.LOCAL was locked out.


#4

Hallo,

ich habe hierzu den folgenden Eintrag der Samba 4 Mailingliste gefunden: lists.samba.org/archive/samba/2 … 71546.html
Demnach ist es derzeit nicht möglich das locking per samba-tool zu deaktivieren, vorgeschlagen wird hier die Verwendung der RSAT Tools für AD.
Um hier das Verhalten zu vergleichen, schauen Sie bitte einmal in der LDB nach dem Attribut userAccountControl des Benutzers:

univention-s4search cn=<username>

Mit freundlichen Grüßen,
Tim Petersen


#5

dn: CN=username,CN=Users,DC=DOMAIN,DC=LOCAL objectClass: top objectClass: posixAccount objectClass: person objectClass: organizationalPerson objectClass: user cn: username postalCoLOCAL: 83629 telephoneNumber: 691 givenName: Brigitte instanceType: 4 whenCreated: 20130208181843.0Z uSNCreated: 3353 streetAddress:: WmllZ2Vsc3RyYcOfZSAx name: username objectGUID: 871a8d0d-cd15-498a-ae81-d547be303917 coLOCALPage: 0 countryCoLOCAL: 0 homeDrive: H: scriptPath: logon.bat logonHours:: //////////////////////////// primaryGroupID: 513 objectSid: S-1-5-21-2070111880-1463812749-1768392224-3280 sAMAccountName: username sAMAccountType: 805306368 userPrincipalName: username@DOMAIN objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=DOMAIN,DC=LOCAL mail: username@DOMAIN.LOCAL msSFU30NisDomain: DOMAIN uidNumber: 2044 gidNumber: 5001 unixHomeDirectory: /home/users/username loginShell: /bin/bash memberOf: CN=grp-vertrieb,CN=Groups,DC=DOMAIN,DC=LOCAL memberOf: CN=DOMAIN,CN=Groups,DC=DOMAIN,DC=LOCAL memberOf: CN=RDP,CN=Groups,DC=DOMAIN,DC=LOCAL memberOf: CN=vertrieb-group,CN=Groups,DC=DOMAIN,DC=LOCAL memberOf: CN=grp-alle,CN=Groups,DC=DOMAIN,DC=LOCAL memberOf: CN=ssh-login,CN=Groups,DC=DOMAIN,DC=LOCAL lockoutTime: 0 accountExpires: 9223372036854775807 msDS-SupporteLOCALncryptionTypes: 0 userAccountControl: 528 whenChanged: 20130218084554.0Z uSNChanged: 5276 pwdLastSet: 130056507520000000 distinguishedName: CN=username,CN=Users,DC=DOMAIN,DC=LOCAL

Laut RSAT ist der Account nicht deaktiviert…


#6

Hallo,

Es geht hier scheinbar darum, dass aus bisher unbekannter Ursache der Wert für userAccountControl “528” wird.
In diesem Szenario kann der Wert wie oben beschrieben von Hand auf “512” (“initial value”) gesetzt werden.

Ich werde diesbezüglich selbstverständlich noch einen entsprechenden Bugeintrag zur Prüfung vornehmen.
Wurde das System beim Update auf UCS 3.1 auf die aktuelle S4 Version aktualisiert, oder von S3 migriert?

Mit freundlichen Grüßen,
Tim Petersen


#7

Hallo,

2.4 war installiert.
Es wurde aber 3.1 geupdatet, und danach Samba3 durch Samab4 ersetzt.