Zarafa Slave / Kontoanmeldung wird nicht deaktiviert

german

#1

Servus zusammen,

folgendes Anliegen :

Wir betreiben einen DC und einen Slave, auf diesen ist Zarafa installiert. Der DC hat einen Passwortrichtlinie und greift auch, allerdings nicht auf dem Slave. Nach Ablauf des Passworts kann man sich weiterhin einloggen.

Wo liegt hier der Fehler?


Wie User per Mail informieren: "Passwort läuft bald ab"
#2

Hallo,

diesbezüglich existiert ein Bug (Account expiration not yielded by Zarafa), welcher scheinbar noch nicht behoben wurde.

Viele Grüße
Ulf Friedel


#3

Hallo,

danke für dein Feedback.

Der Bug existiert ja aber anscheinend schon lange oder?

Gibt es hierfür alternativen,dies selbst zu bewerkstelligen?


#4

Hallo,

leider habe ich da keinen Workaround parat, aber vielleicht kann sich ja jemand von Seiten Zarafas bezüglich des aktuellen Standes äußern.

Viele Grüße
Ulf Friedel


#5

Hallo,

das Passwort-Ablaufdatum gibt an, wann der Benutzer das nächste Mal sein Passwort ändern muss. Das Passwort an sich bleibt aber weiterhin gültig. Zarafa wertet das Passwort-Ablaufdatum derzeit leider nicht aus.

Mit Erreichen des Konto-Ablaufdatum sollte eigentlich das Benutzerkonto gesperrt werden. Dies ist aktuell bei UCS leider nicht der Fall und wird mit einem kommenden Erratum behoben. Als Workaround kann das angehängte Skript als täglicher Cronjob eingerichtet werden. Das Skript sucht nach Benutzerkonten mit überschrittenem Konto-Ablaufdatum und deaktiviert für diese den POSIX/LDAP-Zugang.

Viele Grüße

Sönke Schwardt-Krummrich
lock_expired_accounts.py (3.96 KB)


#6

Ich habe das Script auf dem Slave ausgeführt,und erhalte folgende Meldung :


#7

Hallo,

ich habe mir das Skript selbst nicht angeschaut, aber ich würde vermuten, daß die Benutzerdaten nur auf dem DC Master bearbeitet werden können, da der DC Slave die Domänendaten nur als Nur-Lese-Kopie vorhält. Meines Erachtens sollten sie das Skript deshalb auf dem DC Master ausführen.

Viele Grüße
Ulf Friedel


#8

Wenn ich das Script auf dem Domänencontroller ausführe, sperrt er zwar die Accounts, so dass sich diese auch nicht anmelden können um das Passwort neu zusetzen.

Das doch aber nicht Sinn sondern :

  • Sperre Login für Zarafa
  • beim Login @ DC, setze PW neu
    und
  • Entsperre Zarafa Login

#9

Hallo,

in aktuellen UCS Versionen sollte es möglich sein das Passwort im Anmeldedialog der UMC zu ändern. Bitte beachten Sie hierzu ggf. auch das Kapitel Passwortwechsel durch Benutzer über die Univention Management Console im UCS Handbuch.

Mit freundlichen Grüßen
Janis Meybohm


#10

Ja aber das Skript macht nicht das was es soll.
Es sperrt nicht den Login bei Zarafa (Slave), Anmeldung mit Passwortänderung über DC geht natürlich.


#11

Hallo,

[quote=“Fiddler”]Ja aber das Skript macht nicht das was es soll.
Es sperrt nicht den Login bei Zarafa (Slave), Anmeldung mit Passwortänderung über DC geht natürlich.[/quote]

Ich bin mir nicht sicher, ob ich Sie korrekt verstehe. Das Skript sollte gar nicht mehr notwendig sein - in aktuellen UCS-Versionen sollte der Passwortablauf wie gewünscht zu einer Sperre des Accounts führen.
Meinen Sie das mit “Anmeldung mit Passwortänderung über DC geht natürlich” und es ist auschließlich der Zarafa-Login betroffen?

Mit freundlichen Grüßen,
Tim Petersen


#12

[quote]Ich bin mir nicht sicher, ob ich Sie korrekt verstehe. Das Skript sollte gar nicht mehr notwendig sein - in aktuellen UCS-Versionen sollte der Passwortablauf wie gewünscht zu einer Sperre des Accounts führen.
Meinen Sie das mit “Anmeldung mit Passwortänderung über DC geht natürlich” und es ist auschließlich der Zarafa-Login betroffen?
[/quote]

Folgender Aufbau :

  • UCS DC / Master
  • UCS Zarafa / Slave

Wenn beim UCS DC ein Passwort abläuft wird der Login bei Zarafa nicht deaktiviert. Das abgelaufene Passwort funktioniert weiterhin - und das sollte ja nicht so sein.

PS : Ja die Version sind alle aktuell :slight_smile:


#13

Hallo,

Das habe ich verstanden :slight_smile: - was ich nicht verstanden habe, ist, ob lediglich der Login an Zarafa weiter mit dem alten Passwort funktioniert.
Funktioniert generell weiter eine LDAP-Authentifizierung oder eine Kebreros-Authentifizierung mit dem alten Passwort? (UMC; kinit)

Wenn das Verhalten ausschließlich den Zarafa-Login betrifft, adressiert der Zarafa-Bug (jira.zarafa.com/browse/ZUCS-49) eventuell die falsche Stelle - er ist auch noch nicht gelöst.

Mit freundlichen Grüßen,
Tim Petersen


#14

Der Login mit dem alten ausgelaufenen Passwort funktioniert weiterhin.

Aber es kann ja nicht sein, das ein derartiger Bug seit über einem Jahr noch nicht behoben wurde.

Welchen kurzfristigen Workaround gibt es hierfür?


#15

Nein, das soll nicht sein. Wir werden das kurzfristig über [bug]35088[/bug] beheben.

Eine Frage habe ich noch. Das oben genannte Skript sperrt nicht die Benutzer, bei denen das Passwort abgelaufen ist? Wenn nicht, dann wären ein paar mehr Informationen hilfreich. Vielleicht ein univention-ldapsearch uid=BENUTZERNAME vor und nach dem Ausführen des Skripts.


#16

Da war ich glaube ich etwas vorschnell. In dem referenzierten Eintrag geht es um das Konto-Ablaufdatum, nicht um das Passwort-Ablaufdatum. Deshalb funktioniert das referenzierte Skript in diesem Fall auch nicht.

Wir werden kurzfristig prüfen, welche Möglichkeiten wir haben.


#17

Ja es geht um das Passwortablaufdatum.

Dieser User dürfte sich nicht mehr bei Zarafa einloggen können - sondern nur noch auf der UCS DC um sein Passwort zu ändern.



#18

Wir arbeiten hier an einer kurzfristigen Lösung: [bug]36215[/bug].

Viele Grüße aus Bremen


#19

ist dieser nun gefixxt? Die Jira-Aussage ist für mich nicht klar.


#20

Ja, er ist behoben, die automatischen Tests waren auch schon erfolgreich. Es fehlt aber noch die Qualitätssicherung. Ich hoffe die ist in der nächsten Woche durch und dann wird es als Erratum veröffentlicht.

Das Skript ist auch in unserem öffentlichen SVN vorhanden: http://forge.univention.org/websvn/filedetails.php?repname=dev&path=%2Fbranches%2Fucs-3.2%2Fucs-3.2-3%2Fmanagement%2Funivention-directory-manager-modules%2Fscripts%2Flock_expired_passwords&rev=19303&peg=19303. Sofern Interesse an einem Vorabtest besteht.

Viele Grüße aus Bremen