Bug 4721

Summary: Срок действия паролей кLDAP-записям uid=kdc,ou=System Accounts,dc=server,dc=com и uid=kadmin,ou=System Accounts,dc=server,dc=com 42 дня
Product: Server Bugs Reporter: Yaroslav <yaroslav.belykh>
Component: Main PackagesAssignee: Andrew Lukoshko <andrew.lukoshko>
Status: CONFIRMED --- QA Contact: ROSA Server Bugs <server-bugs>
Severity: normal    
Priority: Normal CC: djam5
Version: unspecified   
Target Milestone: ---   
Hardware: All   
OS: Linux   
Whiteboard:
Platform: --- ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description Yaroslav 2014-11-24 08:18:16 MSK 
Каждые 42 дня "слетают" пароли к uid=kdc,ou=System Accounts,dc=server,dc=com и uid=kadmin,ou=System Accounts,dc=server,dc=com
После этого в MMC больше не отображаются принципиалы kerberos, а любое изменение паролей в профиле пользователя вызывает ошибку изменения свойств принципиалов (не кретично для меня).
Помогает пока выполнение следующих команд.

ldappasswd -D "uid=LDAP Admin,ou=System Accounts,dc=server,dc=com" "uid=kadmin,ou=System Accounts,dc=server,dc=com" -W

kdb5_ldap_util -D "uid=LDAP Admin,ou=System Accounts,dc=server,dc=com" -H localhost -W stashsrvpw -f /var/kerberos/service.keyfile 'uid=kadmin,ou=System Accounts,dc=server,dc=com'

ldappasswd -D "uid=LDAP Admin,ou=System Accounts,dc=dc=server,dc=com" "uid=kdc,ou=System Accounts,dc=server,dc=com" -W

kdb5_ldap_util -D "uid=LDAP Admin,ou=System Accounts,dc=server,dc=com" -H localhost -W stashsrvpw -f /var/kerberos/service.keyfile 'uid=kdc,ou=System Accounts,dc=server,dc=com'
Comment 1 Andrew Lukoshko 2014-11-24 15:45:36 MSK 
Оказалось, что эти пароли проверяются согласно парольной политике LDAP по умолчанию (default). В которой прописано, что максимальный возраст пароля в секундах - 3628800 (т.е. 42 дня).

Если в политике этот параметр установить в 0 (отключение проверки), то службы kadmin и krb5kdc успешно запускаются и в интерфейсе MMC появляются принципалы.
Comment 2 Yaroslav 2014-11-24 18:52:26 MSK 
Установил. Буду смотреть.
Comment 3 Andrew Lukoshko 2014-11-24 18:55:53 MSK 
Ну у себя я проверил, заработало.
А вам придется подождать 42 дня )
Comment 4 Yaroslav 2014-11-25 06:31:04 MSK 
Тут есть один минус.
Пароли пользователей с этой же политикой больше не будут требовать замену.
Comment 5 Andrew Lukoshko 2014-11-26 14:17:13 MSK 
Это понятно, что по хорошему нужно создавать отдельную политику для сервисов, и назначать ее сервисным аккаунтам.
Мы такую задачку себе поставим, но пока решение такое.