Distribuzione FUSS » Octofuss » octofussd

Mi servirebbe l'output dei comandi (da eseguire sul server, con nomeutente sostituito dal nome dell'utente che ha il problema):

ldapsearch  '(uid=nomeutente)' -Y EXTERNAL -H ldapi:///

e poi su server e client:

date

Risultati:
orologi allineati (avevo già provato)
ldapsearch '(uid=giudillilu)' -Y EXTERNAL -H ldapi:///
ottengo
Could not Parse LDAP URI=ldapi:/// (3)
Testato anche
ldapsearch '(uid=giudillilu)' -Y EXTERNAL -H ldapi://127.0.0.1
stesso problema

Così funziona.
Allego file.
L'utente non è giudillilu ma giudilliluc (solo errore mio nel copiare, ma l'errore in output col comando precedente è quello)

Ho dimennnticato l'assegnazione

Ok, adesso c'è da capire perché invece il comando con privilegi amministrativi non va. Ma lo hai dato sul server o sul client?

Inoltre il risultato di (sempre sul server):

date +%s

mi servirà comunque per avere un termine di confronto coi tempi registrati su LDAP.

Detto questo nell'output ci sono alcune cose che non quadrano: come è stato creato quell'utente? da quale interfaccia e con quale procedura?

Non vedo traccia di shadowLastChange, e così di certo, avendo uno shadowMax di 180 giorni, la password è senz'altro scaduta. Non torna neanche sambaPwdLastSet: 0 ma questo non impatta sul login unix.

Ecco il tutto, eseguito via ssh sul server dal client di prova connesso alla rete

1. extended LDIF #
2. LDAPv3
3. base <dc=etorricelli,dc=blz> (default) with scope subtree
4. filter: (uid=giudilliluc)
5. requesting: ALL #

1. giudilliluc, Users, etorricelli.blz
   dn: uid=giudilliluc,ou=Users,dc=etorricelli,dc=blz
   sambaSID: S-1-5-21-1624168209-748539905-3879629558-21002
   uidNumber: 10001
   uid: giudilliluc
   sambaAcctFlags: [UX]
   sambaKickoffTime: 2147483647
   homeDirectory: /home/tecnici/giudilliluc
   sambaLogonTime: 0
   objectClass: sambaSamAccount
   objectClass: organizationalPerson
   objectClass: posixAccount
   objectClass: shadowAccount
   objectClass: top
   objectClass: person
   objectClass: inetOrgPerson
   givenName: giudilliluc
   cn: giudilliluc
   sn: giudilliluc
   sambaPwdCanChange: 0
   sambaPrimaryGroupSID: S-1-5-21-1624168209-748539905-3879629558-2026
   sambaHomeDrive: H:
   gecos: Giudilli Luciano
   sambaLogoffTime: 2147483647
   sambaPwdMustChange: 2147483647
   loginShell: /bin/bash
   displayName: giudilliluc
   sambaPwdLastSet: 0
   gidNumber: 513
   userPassword:: e1NTSEF9OG5xc09HUTZKSHNySmhYMCs5L2pvYmpBeUFuWEdpT2tWT3FkazFLcTF
   mcC9MNlhV
   sambaNTPassword: aedd127ba043602155235b238d16f67b
   sambaLMPassword: 336d4dbeb4de30ef58eb5d2089b3511c
   ou: docenti
   shadowMax: 180

1. search result
   search: 2
   result: 0 Success

1. numResponses: 2
2. numEntries: 1
   root@torri:/etc/fuss-server#

Ok, a questo punto il problema è chiaro, l'utente non ha su LDAP i dati necessari, per cui il problema è relativo alla modalità con cui è stato creato.

Lo hai creato da octofuss? o con smbldap-useradd o importando dei dati?

Perché fintanto che sambaPwdLastSet: e shadowLastChange: non sono correttamente impostati la presenza di shadowMax: 180 ti renderà la password scaduta.

Scusami, mi ero dimenticato di rispondere a questo.
Ho creato l'utente con Octonet.

Ok, allora il problema riguarda octonet, il ticket andrebbe spostato su quel progetto, ma a quanto pare io non ho i permessi per farlo.

Riguarda octofussd, e' lui che interagisce con LDAP. Sposto io il ticket

Come mai pero' non si riproduce sulla nostra installazione?

Si riproduce, almeno creando un utente con octonet.

Ma quando si creano utenti normali, che non hanno la scadenza della password, non ci sono conseguenze e non ti accorgi del problema.

Questo è un esempio della voce di LDAP di un utente test creato con octonet e manca shadowLastChange: e sambaPwdLastSet: è zero:

dn: uid=test,ou=Users,dc=scuola,dc=lan
givenName: test
sambaPrimaryGroupSID: S-1-5-21-2169158388-759382277-2705705884-2026
sambaPwdMustChange: 2147483647
sambaSID: S-1-5-21-2169158388-759382277-2705705884-21000
gecos: Test
sambaKickoffTime: 2147483647
sambaLogoffTime: 2147483647
homeDirectory: /home/test
sambaAcctFlags: [UX]
gidNumber: 513
displayName: test
objectClass: top
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: shadowAccount
objectClass: posixAccount
objectClass: sambaSamAccount
objectClass: person
uidNumber: 10000
sambaLogonTime: 0
sambaHomeDrive: H:
shadowMax: 99999
sambaPwdCanChange: 0
uid: test
sn: test
sambaPwdLastSet: 0
cn: test
ou: studenti
loginShell: /bin/bash
sambaLMPassword: 01fc5a6be7bc6929aad3b435b51404ee
userPassword:: e1NTSEF9NnhiS0dSUXFUWjh5dy91UXJyMWRIbnpmand4Z3pEbEhhSTB4aGhBQ0l
 HVHNQY2ZZ
sambaNTPassword: 0cb6948805f797bf2a82807973b89537

Che valori devono avere ? Gli altri attributi shadow* sono a posto invece?

Gli altri attributi shadow* non sono necessari e non c'è bisogno di impostarli, per cui nello stato attuale sono a posto.

Gli attributi shadow* che invece vanno impostati sono:

• shadowLastChange da impostare sempre, pari al numero del giorno, contato a partire dal 1 gennaio 1970, in cui la password è stata cambiata l’ultima volta
• shadowMax da impostare solo per i docenti, pari al numero di giorni dall’ultimo cambiamento, dopo i quali la password scade e deve essere rinnovata.

Va anche impostato:

• sambaPwdLastSet al tempo di ultima modifica delle password (in numero di secondi a partire dal 1 Gennaio 1970)

Ho pubblicato octofussd 8.0.28 che imposta correttamente i due valori di shadow e samba.

Fatemi sapere!

Per testare, conviene creare un altro utente da zero.

ottimo. Non puoi chiudere perche' non sei assegnato a progetto, riassegno a Paolo cosi' puo' intervenire nella scelta dei ruoli etc. Cosi' possiamo usare questo ticket per verificare che poi Piero riesca a chiuderlo.

Piergiorgio non eri membro del progetto Octofussd. Prova ora a chiudere il ticket.

A posto.
Grazie