Hallo,
die von mir vorgeschlagene vorläufige Workaround muß noch ergänzt werden.
Zunächst einmal sollte man sich das Konzept des Passwortwechsels für Maschinenkonten ansehen. Aktualisierung der Maschinenpasswörter in UCS Domänen.
Bei der Integration von Zarafa in UCS wird das Maschinenkonto für den LDAP-Zugriff benutzt (/etc/zarafa/ldap.cfg).
Wenn das Passwort des Maschinenkontos geändert wird, muss (über /usr/lib/univention-server/server_password_change.d/70zarafa) auch der LDAP-Zugriff geändert werden.
Im Moment erfordert diese Änderung einen Restart von “zarafa-server”. Im Zuge der Lösung von UCS server password change requires a restart of zarafa-server instead of a reload wurde entschieden, auf einen Neustart zu verzichten und statt dessen den Passwortwechsel zu deaktivieren. Für einen dedizierten Zarafa-Server ist das ggf. eine akzeptable Lösung.
Bei der c’t Edition müssen wir aber beachten, dass das Maschinenkonto auch für Samba4 relevant ist (vgl. [bug]24703[/bug]. Wenn wir den Passwortwechsel dauerhaft deaktivieren, könnte es passieren, dass wir damit den Server aus der Sambadomäne aussperren.
Ich habe im Moment 2 Vorschläge zur Lösung. Sie müssten sich bis zum 17.6. für eine entscheiden.
1. Kennwortwechsel der Maschine und Passwortrichtlinie in Samba deaktivieren
In Ergänzung zu meinem vorherigen Vorschlag:
[code]root@ctmaster:~# samba-tool domain passwordsettings show
Password informations for domain ‘DC=mobildemo,DC=it25,DC=de’
Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
root@ctmaster:~# udm settings/sambadomain list
DN: sambaDomainName=MOBILDEMO,cn=samba,dc=mobildemo,dc=it25,dc=de
ARG: None
NextUserRid: 1000
passwordHistory: 24
SID: S-1-5-21-715694293-4175324966-4058725619
badLockoutAttempts: None
NextGroupRid: 1000
passwordLength: 7
resetCountMinutes: None
minPasswordAge: 1 days
name: MOBILDEMO
lockoutDuration: 30 minutes
refuseMachinePWChange: None
NextRid: None
disconnectTime: None
maxPasswordAge: 42 days
logonToChangePW: None
root@ctmaster:~# udm settings/sambadomain modify --dn “sambaDomainName=MOBILDEMO,cn=samba,dc=mobildemo,dc=it25,dc=de” --set maxPasswordAge=0
Object modified: sambaDomainName=MOBILDEMO,cn=samba,dc=mobildemo,dc=it25,dc=de
root@ctmaster:~# samba-tool domain passwordsettings show
Password informations for domain ‘DC=mobildemo,DC=it25,DC=de’
Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 0
[/code]
2. zarafa-server beim Wechsel des Maschinenkennwortes neu starten
Nach dem Sie “server/password/change” wieder auf ‘yes’ gesetzt haben, ändern Sie in Zeile 48 in /usr/lib/univention-server/server_password_change.d/70zarafa von “reload” auf “restart”.
Ich selbst sehe in einem Neustart kein Problem. Zum Einen passiert das zu einer Zeit, bei der wenige Clients betroffen sind. Zum Anderen sollten eigentlich mittlerweile alle Clients mit kurzzeitigen Disconnects klarkommen. Wenn man Zarafa mit Pacemaker hochverfügbar macht, wird schließlich bei einem Failover auch alles durchgestartet.
Sie müssen dann allerdings ein Auge darauf haben, was in einer nächsten Version des Paketes zarafa4ucs mit der Änderung passiert. Das dürfte mit Zarafa 7.2 der Fall sein.
Viele Grüße,
Dirk Ahrnke