UCS Self-Service Passwort ändern Errorcode 20

german

#1

Hallo,

Habe hier aktuell ein Problem mit UCS Self-Care,

“Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed. Errorcode 20: Make sure the kerberos service is functioning or inform an Administrator.”

Self Care rennt auf einen Sekundären Server,
Kerberos auf den PDC,

root@mastersrv:~# ps aux | grep [h]eimdal root 4629 0.0 0.0 62192 5352 ? S Jun03 0:03 /usr/lib/heimdal-servers/kdc --config-file=/etc/heimdal-kdc/kdc.conf root@mastersrv:~#

[code]root@backupsrv:~# kinit Administrator
Administrator@----.LOCAL’s Password:
root@backupsrv:~# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: Administrator@----.LOCAL

Issued Expires Principal
Jun 6 15:29:58 2016 Jun 7 01:29:49 2016 krbtgt/----.LOCAL@----.LOCAL
root@backupsrv:~#
[/code]

Freundliche Grüße,
René


#2

Der Benutzer mit dem die Password-Änderung versucht wird kann auch ein Passwort per kinit bekommen?
Gibt es ERROR/WARN/Traceback Einträge in der Logdatei /var/log/univention/management-console-server.log auf dem DC Master in dem Zeitraum der Passwort-Änderung?


#3

Guten Morgen,

Ja der Benutzer bekommt via kinit auch ein Ticket:

[code]root@backupsrv:~# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: peter@----.LOCAL

Issued Expires Principal
Jun 7 08:35:00 2016 Jun 7 18:34:54 2016 krbtgt/----.LOCAL@----.LOCAL
root@backupsrv:~# [/code]

Auf dem Primary DC ist nichts in den logs zu finden, jedoch auf dem Secondary:

root@backupsrv:~# tail -f /var/log/univention/management-console-server.log 07.06.16 08:37:57.443 ACL ( PROCESS ) : Allowed UMC operations: 07.06.16 08:37:57.443 ACL ( PROCESS ) : User | Host | Flavor | Command | Options 07.06.16 08:37:57.443 ACL ( PROCESS ) : ****************************************************************************** 07.06.16 08:37:57.443 ACL ( PROCESS ) : False | backupsrv | * | lib/sso/* | {} 07.06.16 08:37:57.443 ACL ( PROCESS ) : False | backupsrv | * | passwordchange/* | {} 07.06.16 08:37:57.443 ACL ( PROCESS ) : 07.06.16 08:38:10.876 AUTH ( WARN ) : Changing password failed (('Fehler beim ?ndern des Authentifizierungstoken', 20)). Prompts: [('Current Kerberos password: ', 1), ('Geben Sie ein neues Passwort ein: ', 1), ('Geben Sie das neue Passwort erneut ein: ', 1), (': Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed.', 3)] 07.06.16 08:39:01.922 AUTH ( WARN ) : Changing password failed (('Authentifizierungsinformationen k?nnen nicht wiederhergestellt werden', 21)). Prompts: [('Current Kerberos password: ', 1)]


Edit:

root@backupsrv:~# kpasswd peter@----.LOCAL's Password: New password: Verify password - New password: Soft error : Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed. root@backupsrv:~#

Hab in den UMC Richtlinien schon nachgeschaut, Password-Change ist erlaubt.


#4

Can you change the password via kpasswd?
The error message indicated that there might be a minimum password age set:
“Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed.”


#5

root@backupsrv:~# kpasswd peter@----.LOCAL's Password: New password: Verify password - New password: Soft error : Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed. root@backupsrv:~#

Es ist aber nirgends ein Passwort-alter definiert


#6

Moin,

schauen Sie doch trotzdem mal nach, welche Policies effektiv für diesen User gelten. Posten Sie bitte das Ergebnis hiervon:

univention-policy-result -h $(ucr get ldap/master) -D $(ucr get ldap/hostdn) -y /etc/machine.secret uid=peter,cn=users,$(ucr get ldap/base)

Ersetzen Sie »uid=peter,cn=users,«, falls der User nicht im Standard-Container für Benutzer liegen sollte.

Zusätzlicher Test: können Sie mit »kpasswd« denn das Passwort für andere User ändern? Also zuerst aktuelle Token verwerfen (»kdestroy«), Token für zu testenden User holen (»kinit @$(ucr get kerberos/realm)«), dann »kpasswd« ausführen.

Gruß,
mosu


#7

Die Änderung des Passworts hat mit kpasswd nicht geklappt, wie man im Post davor sehen kann:

[quote=“rene.losert”]root@backupsrv:~# kpasswd peter@----.LOCAL's Password: New password: Verify password - New password: Soft error : Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed. root@backupsrv:~#

Es ist aber nirgends ein Passwort-alter definiert[/quote]


#8

Moin,

[quote=“Best”][quote=“Moritz Bunkus”]
Zusätzlicher Test: können Sie mit »kpasswd« denn das Passwort für andere User ändern? Also zuerst aktuelle Token verwerfen (»kdestroy«), Token für zu testenden User holen (»kinit @$(ucr get kerberos/realm)«), dann »kpasswd« ausführen.
[/quote]
Die Änderung des Passworts hat mit kpasswd nicht geklappt, wie man im Post davor sehen kann:[/quote]

Da wird nur gezeigt, dass das Ändern für den fraglichen User, mit dem eh die Probleme bestehen, nicht funktioniert. Was mich interessiert, ist ob eine Änderung bei anderen Usern (z.B. administrator) möglich ist.

Gruß,
mosu


#9

Tag,

nein ist bei allen Usern das selbe ‘Peter’ ist quasi mein Test-User,

hier der Output von univention-policy-result -h $(ucr get ldap/master) -D $(ucr get ldap/hostdn) -y /etc/machine.secret uid=peter,cn=users,$(ucr get ldap/base)

[code]root@backupsrv:~# univention-policy-result -h $(ucr get ldap/master) -D $(ucr get ldap/hostdn) -y /etc/machine.secret uid=peter,cn=users,$(ucr get ldap/base)
DN: uid=peter,cn=users,dc=----,dc=local

POLICY uid=peter,cn=users,dc=----,dc=local

Policy: cn=UCS 2.3,cn=desktop,cn=policies,dc=----,dc=local
Attribute: univentionDesktopProfile
Value: /usr/share/univention-kde-profiles/ucs-23
Value: /usr/share/univention-kde-profiles/ucs-23-kde-menu

Policy: cn=Graphical Login Manager (default),cn=thinclient,cn=policies,dc=----,dc=local
Attribute: univentionAutoStartScript
Value: none

Policy: cn=default-users,cn=admin-settings,cn=users,cn=policies,dc=----,dc=local
Attribute: univentionAdminListWebModules
Value: modself

Policy: cn=default-users,cn=admin-settings,cn=users,cn=policies,dc=----,dc=local
Attribute: univentionAdminMayOverrideSettings
Value: 0

Policy: cn=default-users,cn=admin-settings,cn=users,cn=policies,dc=----,dc=local
Attribute: univentionAdminListWizards
Value: None

Policy: cn=default-users,cn=admin-settings,cn=users,cn=policies,dc=----,dc=local
Attribute: univentionAdminSelfAttributes
Value: kolabVacationText
Value: kolabVacationActive
Value: kolabDeliveryToFolderActive
Value: kolabDeliveryToFolderName
Value: kolabForwardActive
Value: kolabForwardAddress
Value: kolabForwardKeepCopy
Value: kolabVacationAddress
Value: kolabVacationNoReactDomain
Value: kolabInvitationPolicy
Value: kolabForwardUCE

Policy: cn=default-settings,cn=pwhistory,cn=users,cn=policies,dc=----,dc=local
Attribute: univentionPWExpiryInterval
Value: 18000000

Policy: cn=default-settings,cn=pwhistory,cn=users,cn=policies,dc=----,dc=local
Attribute: univentionPWHistoryLen
Value: 1

Policy: cn=default-settings,cn=pwhistory,cn=users,cn=policies,dc=----,dc=local
Attribute: univentionPWLength
Value: 5

Policy: cn=default-settings,cn=pwhistory,cn=users,cn=policies,dc=----,dc=local
Attribute: univentionPWQualityCheck
Value: FALSE

Policy: cn=default-settings,cn=routing,cn=dhcp,cn=policies,dc=----,dc=local
Attribute: univentionDhcpRouters
Value: 192.168.168.254

Policy: cn=default-settings,cn=dns,cn=dhcp,cn=policies,dc=----,dc=local
Attribute: univentionDhcpDomainNameServers
Value: 192.168.168.2
Value: 192.168.168.17

Policy: cn=default-settings,cn=dns,cn=dhcp,cn=policies,dc=----,dc=local
Attribute: univentionDhcpDomainName
Value: ----.local

Policy: cn=default-settings,cn=boot,cn=dhcp,cn=policies,dc=----,dc=local
Attribute: univentionDhcpBootFilename
Value: pxelinux.0

Policy: cn=default-settings,cn=thinclient,cn=policies,dc=----,dc=local
Attribute: univentionFileServer
Value: mastersrv.----.local
Value: backupsrv.----.local

Policy: cn=default-settings,cn=thinclient,cn=policies,dc=----,dc=local
Attribute: univentionAuthServer
Value: mastersrv.----.local

Policy: cn=default-settings,cn=thinclient,cn=policies,dc=----,dc=local
Attribute: univentionDesktopServer
Value: mastersrv.----.local
Value: backupsrv.----.local

root@backupsrv:~#
[/code]


#10

Moin,

ich kann das bei mir leider nicht reproduzieren. Es wirkt wie dieser alte Bug, aber der sollte ja schon lange behoben sein.

Können Sie bitte noch die Ausgabe hiervon posten:

samba-tool domain passwordsettings show

Gruß,
mosu


#11

Tach,

[code]root@backupsrv:~# samba-tool domain passwordsettings show
Password informations for domain ‘DC=----,DC=local’

Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 0
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30
root@backupsrv:~#
[/code]


#12

Hey,

Sie können mal versuchen, das Mindestalter wieder auf 0 zu setzen und zu schauen, ob das hilft:

samba-tool domain passwordsettings set --min-pwd-age=0

Gruß,
mosu


#13

Moin,

Perfekt, dass hat das Problem scheinbar beseitigt.

Dankeschön

Freundliche Grüße,
René


#14

Moin,

es hat? Yay :slight_smile:

Gruß,
mosu


#15

Ja :slight_smile:

Danke nochmals :slight_smile:

Freundliche Grüße,
René


#16

Hallo,

sorry, wenn ich den Fall hier nochmal aufrolle.
Ich habe auf einem 4.2-3 errata262 (Lesum) System das gleiche Problem mit dem Self-Service.
Wenn ich das Passwort ändere, kommt auch die Meldung:

Fehler bei Passwortänderung
Passwort ändern fehlgeschlagen. Der Grund konnte nicht festgestellt werden. Für den Fall, dass es hilft, hier die originale Fehlernachricht: Errorcode 20: Das neue Passwort konnte nicht gesetzt werden.

Bei UCS wird sich einiges getan habe, so dass einiges, was ich oben gelesen habe, nicht nachvollziehen kann.
Z.B., was die Ausgabe

samba-tool domain passwordsettings show

bringt.

Im management-console-server.log sehe ich folgendes:

11.04.18 14:51:22.028 AUTH ( WARN ) : Changing password failed ((‘Fehler beim \xc3\x84ndern des Authentifizierungstoken’, 20)). Prompts: [('Current Kerberos password: ', 1)]

Hat einer von euch eine Idee?

Vielen Dank!

René