Bug 4721 - Срок действия паролей кLDAP-записям uid=kdc,ou=System Accounts,dc=server,dc=com и uid=kadmin,ou=System Accounts,dc=server,dc=com 42 дня
: Срок действия паролей кLDAP-записям uid=kdc,ou=System Accounts,dc=server,dc=c...
Status: CONFIRMED
Product: Server Bugs
Classification: ROSA Server
Component: Main Packages
: unspecified
: All Linux
: Normal normal
: ---
Assigned To: Andrew Lukoshko
: ROSA Server Bugs
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2014-11-24 08:18 MSK by Yaroslav
Modified: 2014-11-26 14:17 MSK (History)
1 user (show)

See Also:
RPM Package:
ISO-related:
Bad POT generating:
Upstream:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Yaroslav 2014-11-24 08:18:16 MSK
Каждые 42 дня "слетают" пароли к uid=kdc,ou=System Accounts,dc=server,dc=com и uid=kadmin,ou=System Accounts,dc=server,dc=com
После этого в MMC больше не отображаются принципиалы kerberos, а любое изменение паролей в профиле пользователя вызывает ошибку изменения свойств принципиалов (не кретично для меня).
Помогает пока выполнение следующих команд.

ldappasswd -D "uid=LDAP Admin,ou=System Accounts,dc=server,dc=com" "uid=kadmin,ou=System Accounts,dc=server,dc=com" -W

kdb5_ldap_util -D "uid=LDAP Admin,ou=System Accounts,dc=server,dc=com" -H localhost -W stashsrvpw -f /var/kerberos/service.keyfile 'uid=kadmin,ou=System Accounts,dc=server,dc=com'

ldappasswd -D "uid=LDAP Admin,ou=System Accounts,dc=dc=server,dc=com" "uid=kdc,ou=System Accounts,dc=server,dc=com" -W

kdb5_ldap_util -D "uid=LDAP Admin,ou=System Accounts,dc=server,dc=com" -H localhost -W stashsrvpw -f /var/kerberos/service.keyfile 'uid=kdc,ou=System Accounts,dc=server,dc=com'
Comment 1 Andrew Lukoshko 2014-11-24 15:45:36 MSK
Оказалось, что эти пароли проверяются согласно парольной политике LDAP по умолчанию (default). В которой прописано, что максимальный возраст пароля в секундах - 3628800 (т.е. 42 дня).

Если в политике этот параметр установить в 0 (отключение проверки), то службы kadmin и krb5kdc успешно запускаются и в интерфейсе MMC появляются принципалы.
Comment 2 Yaroslav 2014-11-24 18:52:26 MSK
Установил. Буду смотреть.
Comment 3 Andrew Lukoshko 2014-11-24 18:55:53 MSK
Ну у себя я проверил, заработало.
А вам придется подождать 42 дня )
Comment 4 Yaroslav 2014-11-25 06:31:04 MSK
Тут есть один минус.
Пароли пользователей с этой же политикой больше не будут требовать замену.
Comment 5 Andrew Lukoshko 2014-11-26 14:17:13 MSK
Это понятно, что по хорошему нужно создавать отдельную политику для сервисов, и назначать ее сервисным аккаунтам.
Мы такую задачку себе поставим, но пока решение такое.