Passwort ändern über Self Service nicht mehr möglich

german
self-service
ucs-4-2

#1

Hallo Zusammen,

nachdem ich mein System auf UCS 4.2.2 upgedatet habe bekomme ich beim Versuch mein Passwort über den Self Service zu ändern immer folgende Fehlermeldung/“Benachrichtigung”:

Passwort ändern fehlgeschlagen. Der Grund konnte nicht festgestellt werden. Für den Fall, dass es hilft, hier die originale Fehlernachricht: External password quality program failed: Traceback (most recent call last). Errorcode 20: Das neue Passwort konnte nicht gesetzt werden.

Ich habe den Self Service auch schon mal deinstalliert, und wieder installiert, und es auch schon über die command line probiert:

univention-app remove self-service
apt-get purge univention-self-service univention-self-service-passwordreset-umc
univention-app install self-service

Dies blieb allerdings alles ohne Erfolg und die Fehlermeldung wird mir weiterhin angezeigt.
Hat noch jemand eine Idee, wie man das Problem beheben könnte?

Mit freundlichem Gruß,
nichauser


Nextcloud Seite funktioniert nach Server Restart nicht mehr
#2

Hallo nichauser,

bei der Analyse hilt oft der komplette Traceback. Bitte entweder auf dem “Mail senden” Knopf im Fehlerfenster drücken oder die komplette Ausgabe hier her kopieren. Der Traceback sollte auch in einem Logfile zu finden sein.

Danke,
Daniel Tröder


#3

Hallo,

ein “Mail senden” Knopf wird mir im Fehlerfenster leider nicht angezeigt.

Unter “var/log/univention” gibt es zwar einen “self-service-access.log” bzw. “self-service-error.log” diese wurden allerdings schon länger nicht mehr geändert, und zeigen nichts neues hierzu an…

Im “var/log/auth.log” habe ich folgendes gefunden:

Nov 24 15:33:18 in python2.7: pam_unix(univention-management-console:chauthtok): user “domenic” does not exist in /etc/passwd
Nov 24 15:33:18 in python2.7: pam_unix(univention-management-console:chauthtok): user “domenic” does not exist in /etc/passwd
Nov 24 15:33:19 in kpasswdd[916]: domenic@DOMAIN.DE didn’t pass password quality check with error: External password quality program failed: Traceback (most recent call last):
Nov 24 15:33:19 in kpasswdd[916]: domenic@DOMAIN.DE didn’t pass password quality check with error: External password quality program failed: Traceback (most recent call last):
Nov 24 15:35:01 in CRON[27402]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 24 15:35:02 in CRON[27402]: pam_unix(cron:session): session closed for user root

Ich kann mich allerdings ganz normal mit dem genannten User anmelden, und auch auf Kopano zugreifen.


#4

Ist das Passwort ausreichend komplex?

Am besten mit diesen beiden Befehlen auf dem DC Master die Einstellungen prüfen:

ucr search password/quality
samba-tool domain passwordsettings show

#5

Hey,

beim Befehl

ucr search password/quality

bekomme ich folgendes Ergebnis:

kerberos/password/quality/check: yes
If this variable is set to ‘yes’, additional checks for the password strength are made. Additional information can be found in the UCS manual.

password/quality/credit/digits: 1
If the option ‘Password quality check’ is activated for a user, additional checks - including dictionary checks - are performed for password changes in Samba, Univention Management Console and Kerberos. This variable configures the minimum number of digits in the new password.

password/quality/credit/lower: 1
If the option ‘Password quality check’ is activated for a user, additional checks - including dictionary checks - are performed for password changes in Samba, Univention Management Console and Kerberos. This variable configures the minimum number of lower case letters that must be met for a new password.

password/quality/credit/other: 1
If the option ‘Password quality check’ is activated for a user, additional checks - including dictionary checks - are performed for password changes in Samba, Univention Management Console and Kerberos. This variable configures the minimum number of characters in the new password which are neither letters nor digits.

password/quality/credit/upper: 1
If the option ‘Password quality check’ is activated for a user, additional checks - including dictionary checks - are performed for password changes in Samba, Univention Management Console and Kerberos. This variable configures the minimum number of upper case letters that must be met for a new password.

password/quality/forbidden/chars:
If the option ‘Password quality check’ is activated for a user, additional checks - including dictionary checks - are performed for password changes in Samba, Univention Management Console and Kerberos. If one of the characters specified here is part of the new password, the password will be rejected.

password/quality/required/chars:
If the option ‘Password quality check’ is activated for a user, additional checks - including dictionary checks - are performed for password changes in Samba, Univention Management Console and Kerberos. All given characters/digits need to be present in the new password.

Beim zweiten Befehl

samba-tool domain passwordsettings show

sieht das Ergebnis leider folgendermaßen aus:

ldb: unable to stat module /usr/lib/x86_64-linux-gnu/samba/ldb : No such file or directory
ltdb: tdb(/var/lib/samba/private/sam.ldb): tdb_open_ex: could not open file /var/lib/samba/private/sam.ldb: No such file or directory

Unable to open tdb ‘/var/lib/samba/private/sam.ldb’: No such file or directory
Failed to connect to ‘tdb:///var/lib/samba/private/sam.ldb’ with backend ‘tdb’: Unable to open tdb ‘/var/lib/samba/private/sam.ldb’: No such file or directory
ERROR(ldb): uncaught exception - Unable to open tdb ‘/var/lib/samba/private/sam.ldb’: No such file or directory
File “/usr/lib/python2.7/dist-packages/samba/netcmd/init.py”, line 176, in _run
return self.run(*args, **kwargs)
File “/usr/lib/python2.7/dist-packages/samba/netcmd/domain.py”, line 1261, in run
credentials=creds, lp=lp)
File “/usr/lib/python2.7/dist-packages/samba/samdb.py”, line 57, in init
options=options)
File “/usr/lib/python2.7/dist-packages/samba/init.py”, line 115, in init
self.connect(url, flags, options)
File “/usr/lib/python2.7/dist-packages/samba/samdb.py”, line 72, in connect
options=options)


#6

Dann scheint das neue Passwort nicht komplex genug zu sein. Es werden meines Wissens auch einfache Passwörter wir “q1w2e3R$” abgelehnt.


#7

Hallo,

ich habe es nun mal mit folgendem Test-Passwort, welches ich über einen Passwort-Generator habe generieren lassen probiert:
6?n/J!jER=jAJA!k

Leider erhalte ich dennnoch weiterhin die oben genannte Fehlermeldung, ich denke allerdings nicht, dass dieses Passwort nun auch nicht komplex genug wäre?

Weiterhin irritieren mich die “No such file or directory” Einträge, wenn ich den Befehl

samba-tool domain passwordsettings show

Ausführen möchte, oder hat dies keine Auswirkung? Was hat dies dann zu bedeuten?


#8

Hat hier keiner mehr eine Idee, wie man das Problem lösen könnte? Leider funktioniert es weiterhin nicht.

Eventuell wäre noch folgendes interessant zu wissen:
Wenn ich mich recht entsinne, hatte ich vor dem Update auf UCS 4.2 im self-service das selbstständige zurücksetzen des Passworts deaktiviert. Diese Option scheint es nun nicht mehr zu geben? Allerdings hatte ich nach dem Update auch schonmal versucht den Self-Service zu deinstallieren und neu zu installieren, dies hat allerdings auch nicht geholfen, es erscheint weiterhin die im Ursprungspost beschriebene Fehlermeldung.

Des weiteren hat mir ein andere Benutzer, der versucht hat sein Passwort zu ändern mitgeteilt, dass bei im, als er sein Passwort ändern wollte eine Fehlermeldung erschien (leider hat er mir nicht genau gesagt welche), sein Passwort aber denn noch geändert wurde und er sich nun mit dem neuen Passwort in Kopano anmelden kann.

Bislang konnte ich auch noch kein Traceback, wie in der Fehlermeldung erwähnt war finden. In welchen Log-Files sollte dies denn wenn dann vermutlich stehen?

Mit freundlichem Gruß,
nichauser


#9

Funktioniert es denn, wenn die Passwort Komplexität deaktiviert wird, also bspw.:

ucr set kerberos/password/quality/check=no

#10

Hallo,

das Passwort ändern ohne Check Password Quality funktioniert.
Allerdings auch nicht korrekt:

Auf der Univention Oberfläche kann ich mich anschließend zwar mit dem neuen Passwort anmelden.
In Kopano muss ich allerdings weiterhin das alte Passwort verwenden, beim neuen Passwort sagt er mir immer:

Login fehlgeschlagen. Überprüfen Sie Ihren Benutzernamen und/oder Ihr Passwort.

Mit freundlichem Gruß,
nichauser


#11

Bitte mal von einem Benutzer das Passwort ändern und anschließend das Passwort und die Ausgabe von

univention-ldapsearch uid=<UID des Benutzers>

hier posten.


#12

Habe das Passwort auf: TestPasswort#11 geändert, die Ausgabe des oben genannten Befehls sieht (nach Anonymisierung der Internetadressen) folgendermaßen aus:

# extended LDIF
#
# LDAPv3
# base <dc=meinedomain,dc=de> (default) with scope subtree
# filter: uid=domenic
# requesting: ALL
#

# domenic, users, meinedomain.de
dn: uid=domenic,cn=users,dc=meinedomain,dc=de
kopanoAccount: 1
cn: Domenic
uidNumber: 2006
univentionFetchmailAddress: RelayHostUser
kopanoAdmin: 0
shadowLastChange: 17157
uid: domenic
univentionBirthday: 1990-01-01
title: Herr
sambaMungedDial: bQAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIABkA
 AEAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAUAAFABoACA
 ABAEMAdAB4AEMAZgBnAFAAcgBlAHMAZQBuAHQANTUxZTBiYjAYAAgAAQBDAHQAeABDAGYAZwBGAGw
 AYQBnAHMAMQAwMDAwMDAwMA==
univentionFetchmailUseSSL: 1
univentionFetchmailProtocol: POP3
mail: domenic@meinedomain.de
loginShell: /bin/bash
univentionObjectType: users/user
kopano4ucsRole: user
sambaAcctFlags: [U          ]
univentionFetchmailServer: RelayHostURL.de
displayName: Domenic
mailPrimaryAddress: domenic@meinedomain.de
sambaSID: S-1-5-21-2182908511-1452588291-2565979401-5012
kopanoSharedStoreOnly: 0
gecos: Domenic
sn: Nachname
pwhistory: $6$6yBf54.lbmEtFSzu$8oEZlQNtItT7QjiLMk9YesXr/VBHlGOi7bra6OKxotnmtdr
 nV9WrtZL8gokPk.f7HmDBc0JaIR2GKuy4TAr.T.
homeDirectory: /home/domenic
givenName: Domenic
gidNumber: 5001
sambaPrimaryGroupSID: S-1-5-21-2182908511-1452588291-2565979401-513
nextcloudEnabled: 1
univentionPolicyReference: cn=default-settings,cn=pwhistory,cn=users,cn=polici
 es,dc=meinedomain,dc=de
objectClass: univentionPerson
objectClass: univentionPolicyReference
objectClass: univentionFetchmail
objectClass: automount
objectClass: nextcloudUser
objectClass: univentionObject
objectClass: univentionSAMLEnabled
objectClass: sambaSamAccount
objectClass: organizationalPerson
objectClass: person
objectClass: univentionMail
objectClass: inetOrgPerson
objectClass: univentionPWHistory
objectClass: shadowAccount
objectClass: top
objectClass: posixAccount
objectClass: kopano-user
userPassword:: e2NyeXB0fSQ2JGdrbkgzc1hFY09VZU1PdHAkZncuUlFiL0NDOGNiQUhSQmJaQlY
 uRldUYWF1U2ZBeHQ0TjRXazVEVUE2cHdFUlU3cEM2d09SeVJKNXhGNVhlWGg3WDAxeEQzbXJ1RlNE
 QnMyazBtSTE=
sambaPasswordHistory: 24BA0D51E89E6CE2DAFCBF14EA374901C73EA78BCF8C0A594A5EA80C
 900410E6B1E1E5FE64D134796699753B74142F8B745647CCA7BA07D4EB8565FF8397DFDB5AABA
 9544389F3E9D375575B54248C3713C73F5735372D84C3357B5D04BBB376
sambaNTPassword: 1DC10F153AC4C5D947AD77781B825DA7
sambaPwdLastSet: 1513184748

# search result
search: 3
result: 0 Success

# numResponses: 2
# numEntries: 1

Fühle mich zwar gerade etwas unwohl dabei, da ich nicht genau weiß ob jetzt nicht irgendwo in diesem LDAP-Search mein altes Passwort versteckt ist, aber ich hoffe einfach mal nicht…

Mit freundlichem Gruß,
nichauser


#13

Kann mir hier keiner mehr weiterhelfen?

Mit freundlichem Gruß,
nichauser


#14

Dem Benutzer fehlen die Kerberos Objektklassen und Attribute. Wie wurde der Benutzer erstellt? Wurde der Benutzer absichtlich ohne Kerberos Optionen erstellt?


#15

Hallo,

der Benutzer wurde ganz normal über die UCS Admin Oberfläche mit der Benutzer-Vorlage “Kopano Account” unter UCS 4.1 angelegt. Wie bereits erwähnt hat das Passwort ändern vor dem Upgrade auf UCS 4.2 auch noch funktioniert, daher ist mir nicht bekannt, dass dieser absichtlich ohne Kerberos Optionen erstellt wurde.

Mit freundlichem Gruß,
nichauser


#16

Vielleicht mal zwei Testbenutzer anlegen, einen mit der Vorlage Kopano Account und einmal normal ohne Vorlage. Dann bitte bei beiden testen, ob das Passwort geändert werden kann und für beide ein

univention-ldapsearch uid=<benutzer> objectClass

posten. Dann sehen wir, ob das eine Ursache sein könnte.


#17

Sollte ich vor dem Passwort ändern den Kerberos Password Quality Check wieder aktivieren?

Mit freundlichem Gruß,
nichauser


#18

Nein, besser zunächst ohne Quality Check, damit einfacher getestet werden kann.