Project

General

Profile

Segnalazione #296

Richiesta continua di cambio password

Added by Piergiorgio Cemin over 4 years ago. Updated over 4 years ago.

Status:
Chiuso
Priority:
Alta
Start date:
06/10/2017
Due date:
% Done:

0%


Description

Installazione fuss-client effettuata senza errori.
Creato l'utente, ad ogni accesso mi richiede il cambio password:
"You are requested to change your password immediatly (password aged)"

prova_utente.txt View (1.01 KB) Piergiorgio Cemin, 06/12/2017 06:44 PM

History

#1 Updated by Christopher R. Gabriel over 4 years ago

  • Assignee changed from Christopher R. Gabriel to Simone Piccardi

#2 Updated by Simone Piccardi over 4 years ago

  • Status changed from Nuovo to In elaborazione
  • Assignee changed from Simone Piccardi to Piergiorgio Cemin

Mi servirebbe l'output dei comandi (da eseguire sul server, con nomeutente sostituito dal nome dell'utente che ha il problema):

ldapsearch  '(uid=nomeutente)' -Y EXTERNAL -H ldapi:///

e poi su server e client:

date

date +%s

#3 Updated by Christopher R. Gabriel over 4 years ago

Io ho reinstallato client e server (anche per #297) ma non riesco a riprodurlo. Orologio allineati.

#4 Updated by Piergiorgio Cemin over 4 years ago

  • Assignee changed from Piergiorgio Cemin to Simone Piccardi

Risultati:
orologi allineati (avevo già provato)
ldapsearch '(uid=giudillilu)' -Y EXTERNAL -H ldapi:///
ottengo
Could not Parse LDAP URI=ldapi:/// (3)
Testato anche
ldapsearch '(uid=giudillilu)' -Y EXTERNAL -H ldapi://127.0.0.1
stesso problema

#5 Updated by Simone Piccardi over 4 years ago

Mhh, strano, comunque riproviamo con solo

ldapsearch -x  '(uid=giudillilu)'

#6 Updated by Simone Piccardi over 4 years ago

  • Assignee changed from Simone Piccardi to Piergiorgio Cemin

#7 Updated by Piergiorgio Cemin over 4 years ago

Così funziona.
Allego file.
L'utente non è giudillilu ma giudilliluc (solo errore mio nel copiare, ma l'errore in output col comando precedente è quello)

#8 Updated by Piergiorgio Cemin over 4 years ago

  • Status changed from In elaborazione to Commenti
  • Assignee changed from Piergiorgio Cemin to Simone Piccardi

Ho dimennnticato l'assegnazione

#9 Updated by Simone Piccardi over 4 years ago

  • Assignee changed from Simone Piccardi to Piergiorgio Cemin

Ok, adesso c'è da capire perché invece il comando con privilegi amministrativi non va. Ma lo hai dato sul server o sul client?

Inoltre il risultato di (sempre sul server):

date +%s

mi servirà comunque per avere un termine di confronto coi tempi registrati su LDAP.

Detto questo nell'output ci sono alcune cose che non quadrano: come è stato creato quell'utente? da quale interfaccia e con quale procedura?

Non vedo traccia di shadowLastChange, e così di certo, avendo uno shadowMax di 180 giorni, la password è senz'altro scaduta. Non torna neanche sambaPwdLastSet: 0 ma questo non impatta sul login unix.

#10 Updated by Simone Piccardi over 4 years ago

Simone Piccardi ha scritto:

Ok, adesso c'è da capire perché invece il comando con privilegi amministrativi non va. Ma lo hai dato sul server o sul client?

Ops, non sono stato chiaro, il comando in questione è ldapsearch '(uid=username)' -Y EXTERNAL -H ldapi:/// che dovrebbe dare qualcosa del genere:

# ldapsearch '(uid=prova)' -Y EXTERNAL -H ldapi:///SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
# extended LDIF
#
# LDAPv3
# base <dc=scuola,dc=lan> (default) with scope subtree
# filter: (uid=prova)
# requesting: ALL
#

# prova, Users, scuola.lan
dn: uid=prova,ou=Users,dc=scuola,dc=lan
objectClass: top
objectClass: person
objectClass: organizationalPerson
...

#11 Updated by Piergiorgio Cemin over 4 years ago

  • Assignee changed from Piergiorgio Cemin to Simone Piccardi

Ecco il tutto, eseguito via ssh sul server dal client di prova connesso alla rete

root@torri:/etc/fuss-server# date
mar 13 giu 2017, 08.22.58, CEST
root@torri:/etc/fuss-server# date+%s
-bash: date+%s: comando non trovato
root@torri:/etc/fuss-server# date +%s
1497334999
root@torri:/etc/fuss-server# date
mar 13 giu 2017, 08.23.32, CEST
root@torri:/etc/fuss-server# date +%s
1497335027
root@torri:/etc/fuss-server# ldapsearch '(uid=giudilliluc)' -Y EXTERNAL -H ldapi:///
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
  1. extended LDIF #
  2. LDAPv3
  3. base <dc=etorricelli,dc=blz> (default) with scope subtree
  4. filter: (uid=giudilliluc)
  5. requesting: ALL #
  1. giudilliluc, Users, etorricelli.blz
    dn: uid=giudilliluc,ou=Users,dc=etorricelli,dc=blz
    sambaSID: S-1-5-21-1624168209-748539905-3879629558-21002
    uidNumber: 10001
    uid: giudilliluc
    sambaAcctFlags: [UX]
    sambaKickoffTime: 2147483647
    homeDirectory: /home/tecnici/giudilliluc
    sambaLogonTime: 0
    objectClass: sambaSamAccount
    objectClass: organizationalPerson
    objectClass: posixAccount
    objectClass: shadowAccount
    objectClass: top
    objectClass: person
    objectClass: inetOrgPerson
    givenName: giudilliluc
    cn: giudilliluc
    sn: giudilliluc
    sambaPwdCanChange: 0
    sambaPrimaryGroupSID: S-1-5-21-1624168209-748539905-3879629558-2026
    sambaHomeDrive: H:
    gecos: Giudilli Luciano
    sambaLogoffTime: 2147483647
    sambaPwdMustChange: 2147483647
    loginShell: /bin/bash
    displayName: giudilliluc
    sambaPwdLastSet: 0
    gidNumber: 513
    userPassword:: e1NTSEF9OG5xc09HUTZKSHNySmhYMCs5L2pvYmpBeUFuWEdpT2tWT3FkazFLcTF
    mcC9MNlhV
    sambaNTPassword: aedd127ba043602155235b238d16f67b
    sambaLMPassword: 336d4dbeb4de30ef58eb5d2089b3511c
    ou: docenti
    shadowMax: 180
  1. search result
    search: 2
    result: 0 Success
  1. numResponses: 2
  2. numEntries: 1
    root@torri:/etc/fuss-server#

#12 Updated by Simone Piccardi over 4 years ago

  • Assignee changed from Simone Piccardi to Piergiorgio Cemin

Ok, a questo punto il problema è chiaro, l'utente non ha su LDAP i dati necessari, per cui il problema è relativo alla modalità con cui è stato creato.

Lo hai creato da octofuss? o con smbldap-useradd o importando dei dati?

Perché fintanto che sambaPwdLastSet: e shadowLastChange: non sono correttamente impostati la presenza di shadowMax: 180 ti renderà la password scaduta.

#13 Updated by Piergiorgio Cemin over 4 years ago

  • Assignee changed from Piergiorgio Cemin to Simone Piccardi

Scusami, mi ero dimenticato di rispondere a questo.
Ho creato l'utente con Octonet.

#14 Updated by Simone Piccardi over 4 years ago

  • Assignee changed from Simone Piccardi to Christopher R. Gabriel

Ok, allora il problema riguarda octonet, il ticket andrebbe spostato su quel progetto, ma a quanto pare io non ho i permessi per farlo.

#15 Updated by Christopher R. Gabriel over 4 years ago

  • Project changed from fuss-client to octofussd

Riguarda octofussd, e' lui che interagisce con LDAP. Sposto io il ticket

#16 Updated by Christopher R. Gabriel over 4 years ago

  • Assignee changed from Christopher R. Gabriel to Simone Piccardi

Come mai pero' non si riproduce sulla nostra installazione?

#17 Updated by Simone Piccardi over 4 years ago

  • Assignee changed from Simone Piccardi to Christopher R. Gabriel

Si riproduce, almeno creando un utente con octonet.

Ma quando si creano utenti normali, che non hanno la scadenza della password, non ci sono conseguenze e non ti accorgi del problema.

Questo è un esempio della voce di LDAP di un utente test creato con octonet e manca shadowLastChange: e sambaPwdLastSet: è zero:

dn: uid=test,ou=Users,dc=scuola,dc=lan
givenName: test
sambaPrimaryGroupSID: S-1-5-21-2169158388-759382277-2705705884-2026
sambaPwdMustChange: 2147483647
sambaSID: S-1-5-21-2169158388-759382277-2705705884-21000
gecos: Test
sambaKickoffTime: 2147483647
sambaLogoffTime: 2147483647
homeDirectory: /home/test
sambaAcctFlags: [UX]
gidNumber: 513
displayName: test
objectClass: top
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: shadowAccount
objectClass: posixAccount
objectClass: sambaSamAccount
objectClass: person
uidNumber: 10000
sambaLogonTime: 0
sambaHomeDrive: H:
shadowMax: 99999
sambaPwdCanChange: 0
uid: test
sn: test
sambaPwdLastSet: 0
cn: test
ou: studenti
loginShell: /bin/bash
sambaLMPassword: 01fc5a6be7bc6929aad3b435b51404ee
userPassword:: e1NTSEF9NnhiS0dSUXFUWjh5dy91UXJyMWRIbnpmand4Z3pEbEhhSTB4aGhBQ0l
 HVHNQY2ZZ
sambaNTPassword: 0cb6948805f797bf2a82807973b89537

#18 Updated by Christopher R. Gabriel over 4 years ago

  • Assignee changed from Christopher R. Gabriel to Simone Piccardi

Che valori devono avere ? Gli altri attributi shadow* sono a posto invece?

#19 Updated by Simone Piccardi over 4 years ago

  • Assignee changed from Simone Piccardi to Christopher R. Gabriel

Gli altri attributi shadow* non sono necessari e non c'è bisogno di impostarli, per cui nello stato attuale sono a posto.

Gli attributi shadow* che invece vanno impostati sono:

  • shadowLastChange da impostare sempre, pari al numero del giorno, contato a partire dal 1 gennaio 1970, in cui la password è stata cambiata l’ultima volta
  • shadowMax da impostare solo per i docenti, pari al numero di giorni dall’ultimo cambiamento, dopo i quali la password scade e deve essere rinnovata.

Va anche impostato:

  • sambaPwdLastSet al tempo di ultima modifica delle password (in numero di secondi a partire dal 1 Gennaio 1970)

#20 Updated by Christopher R. Gabriel over 4 years ago

  • Assignee changed from Christopher R. Gabriel to Piergiorgio Cemin

Ho pubblicato octofussd 8.0.28 che imposta correttamente i due valori di shadow e samba.

Fatemi sapere!

Per testare, conviene creare un altro utente da zero.

#21 Updated by Piergiorgio Cemin over 4 years ago

Due piccioni con una fava. Questo risolve anche la segnalazione 297.
Ho creato un nuovo utente con Octomon e ora accede correttamente.
Un vecchio utente, invece, accedecon la propria password, ma ripete l'errore segnalato al n. 297 (finestra indesiderata di keyring password.
Non ho la possibilità di chiudere il ticket
Grazie

#22 Updated by Christopher R. Gabriel over 4 years ago

  • Assignee changed from Piergiorgio Cemin to Paolo Dongilli

ottimo. Non puoi chiudere perche' non sei assegnato a progetto, riassegno a Paolo cosi' puo' intervenire nella scelta dei ruoli etc. Cosi' possiamo usare questo ticket per verificare che poi Piero riesca a chiuderlo.

#23 Updated by Paolo Dongilli over 4 years ago

  • Assignee changed from Paolo Dongilli to Piergiorgio Cemin

Piergiorgio non eri membro del progetto Octofussd. Prova ora a chiudere il ticket.

#24 Updated by Piergiorgio Cemin over 4 years ago

  • Status changed from Commenti to Chiuso

A posto.
Grazie

Also available in: Atom PDF