Samba Problem AD Passwortrichtlinien

german

#1

Hallo,

ich bin nun schon zum wiederholten Male über ein recht kritisches Problem gestolpert, welches unter Umständen den gesamten Aufbau der AD-Domäne gefährdet.
In allen Domains, die ich betreue, gibt es eine Passwortrichtlinie, welche besagt, dass nach ‘n’ fehlgeschlagenen Logins das Konto für ‘nn’ Minuten gesperrt wird. Die Sperre wurde von den Windows AD-DC auch einwandfrei umgesetzt. Nicht so beim UCS mit Samba 4.x. Ist das Konto erst einmal gesperrt, BLEIBT es für immer gesperrt, wenn nicht ein DomAdmin die Kontosperre aufhebt. Ein Domänenadmin hat es schon mal geschafft, sich komplett auszusperren (durch die automatische Tastaturlayoutumstellung von Windows 8.x), hier konnte ich zum Glück mit dem eingebauten Administrator Account vom UCS aushelfen.

Gerade eben musste ich Feuerwehr spielen, da ein DomAdmin-Account, welcher ausschließlich für den Start/die Verwaltung von Diensten und geplanten Aufgaben genutzt wird, sich durch eine Passwortänderung und eine daraufhin nicht erfolgte Änderung der unter seinem Kontext geplanten Aufgabe x-mal mit den alten Benutzerdaten Anmeldeversuche unternahm, und daraufhin endgültig gesperrt wurde.

Gibt es hier eine Möglichkeit seitens Univention, Samba mal nach einem Problem mit den Passwortrichtlinien abzukopfen? Nicht, dass ich irgendwann irgendwo alle DomAdmin gesperrt habe.

Beste Grüße,
TP


#2

Hallo,

vielen Dank für den Hinweis! Es scheint so zu sein, dass nicht alle Attribute korrekt hin- und her synchronisiert werden. Wir arbeiten derzeit an einer Verbesserung.

Mit freundlichen Grüßen,
Tim Petersen


#3

Ah, ich sehe. Tatsächlich hatte ich schon vor einiger Zeit nach einem diesbezüglichen Gespräch mit einem der Entwickler von Samba4 den Gedanken im Hinterkopf, dass es sich um ein Samba, und nicht um ein spezifisches UCS Problem handelt.

Vielleicht gelingt ja ein entsprechender Commit oder Workaround.

Vielen Dank einstweilen!