Hi,
unsere Benutzer sollen ihre Passwörter ändern bzw. neu generieren können (Password Self Service). Dazu habe ich PWM (github.com/pwm-project/pwm) aufgesetzt.
Desweiteren sollen sich unsere Benutzer mit ihren LDAP Zugangsdaten in unserem Wi-Fi Netzwerk anmelden können. Dazu habe ich auf den UCS Slaves FreeRADIUS installiert.
Beides für sich genommen funktioniert.
Wenn ein Benutzer sein Passwort im PWM ändert, kann er sich allerdings nicht mit seinem neuen Passwort im Wi-Fi Netzwerk anmelden.
Das Problem ist, dass das Passwort nur im LDAP Attribut ‘userPasswort’ geändert wird:
directory-logger.log bei Passwortänderung in PWM
START
Old Hash: b77327f93f77759af224c44fde37d7de
DN: uid=radiustestuser,cn=users,dc=numberfour,dc=eu
ID: 969
Modifier: uid=radiustestuser,cn=users,dc=numberfour,dc=eu
Timestamp: 16.03.2016 16:23:28
Action: modify
Old values:
modifyTimestamp: 20160316162241Z
...
userPassword: {SSHA}w0ajxCC30GSE...
New values:
modifyTimestamp: 20160316162328Z
...
userPassword: {SSHA}wtziiqnBbJpLB...
END
Wenn ein Benutzer versucht sich im Wi-Fi Netzwerk anzumelden, wird aber das LDAP Attribut ‘sambaNTPassword’ für die Authentifizierung benutzt. Er kann sich also noch mit dem alten Passwort anmelden.
Wenn das Passwort in der UMC geändert wird, werden sowohl ‘userPassword’ als auch ‘sambaNTPassword’ geändert und der Benutzer kann sich mit dem neuen Passwort anmelden:
directory-logger.log bei Passwortänderung in UCS
START
Old Hash: 8e74d625d4dae4a691e1c4d9f521573c
DN: uid=radiustestuser,cn=users,dc=numberfour,dc=eu
ID: 972
Modifier: uid=csanders,cn=users,dc=numberfour,dc=eu
Timestamp: 16.03.2016 16:27:05
Action: modify
Old values:
krb5Key: MFWhKzApoAM...
...
sambaPwdLastSet: 1458141235 (Wed Mar 16 16:13:55 CET 2016)
sambaPasswordHistory: 1B9DEB3B752CEF2...
sambaNTPassword: 296EB55601...
modifyTimestamp: 20160316162328Z
...
userPassword: {SSHA}wtziiqnBbJ...
New values:
krb5Key: MFWhKzApoAM...
...
sambaPwdLastSet: 1458145625 (Wed Mar 16 17:27:05 CET 2016)
sambaPasswordHistory: 1B9DEB3B752CEF2...
sambaNTPassword: 77B659345CAF...
modifyTimestamp: 20160316162705Z
...
userPassword: {crypt}$6$XdRP5W9vFBVdAE...
END
Es existiert ein OpenLDAP Overlay (github.com/opinsys/smbkrb5pwd), welches ‘sambaNTPassword’ mit ‘userPassword’ synchronisiert.
In [bug]7162[/bug] wurde vor einiger Zeit angeregt, dieses Overlay zu benutzten. Daraus ist scheinbar nichts geworden.
Gibt es eine einfache Möglichkeit (z.B. wie beim Overlay ‘univention-ldap-overlay-memberof’) dieses zu installieren?
Kann es zu Problemen mit dem Mechanismus in der UMC geben?
Vielen Dank
Clifford Sanders