Passwortänderung AD --> LML?

Server Benutzerverwaltung
1

Hallo zusammen,

ist mein Eindruck richtig, dass wenn ich das Benutzerpasswort an einem Windows Client ändere es nicht vollständig in den LDAP der LML gesetzt wird?

Andere Dienste verwenden anscheinend immer noch das alte Passwort, es scheint als gibt es hier zwei oder mehrere Pwd Einträge?

Wäre das denn möglich, über einen Windows Client alle Passwörter ändern?

LG
Nils

2

Hallo Nils,
wenn ich an unseren Windowsclients nach dem Login via Strg+Alt+Entf das Kennwort ändere, dann gilt für alle Dienste, die via LDAP zugreifen, das neue Kennwort.

Wenn das bei dir nicht geht, dann liegt ein Problem vor. Eventuell habe ich dich aber auch falsch verstanden.

Wie meinst du das, über einen Windows Client alle Passwörter ändern?
→ Über die Schulkonsole kannst du doch von jedem Browser aus alle Kennwörter ändern.

LG
Simon

3

Hi Simon,

doch, genau das meine ich. Danke für Deine Bestätigung, dass das eigentlich gehen müsste.

Was ich eigentlich erreichen will ist, dass jeder User zum Schuljahresbeginn ein neues Kennwort setzt. Mit diesen zwei ldapmodify Befehlen kann ich das erreichen (<…schnipp…> kürzt/obfuscated):

ldapmodify -H ldaps://localhost:636 -W  -D "CN=global-admin,OU=Management,OU=GLOBAL,DC=<..schnipp..>,DC=de"<<EOF
dn: CN=nils,OU=Teachers,OU=default-school,OU=SCHOOLS,DC=<..schnipp..>,DC=de
changetype: modify
replace: userAccountControl
userAccountControl: 512
EOF


ldapmodify -H ldaps://localhost:636 -W  -D "CN=global-admin,OU=Management,OU=GLOBAL,DC=<..schnipp..>,DC=de"<<EOF
dn: CN=nils,OU=Teachers,OU=default-school,OU=SCHOOLS,DC=<..schnipp..>,DC=de
changetype: modify
replace: pwdLastSet
pwdLastSet: 0
EOF

Das mag wahnsinnig sein, aber die anderen Arten eine Passwortänderung am Windows Client zu erzwingen haben bei mir nicht geklappt. Die obigen Befehlt funktionieren, man muss danach sein Passwort bei der nächsten Anmeldung ändern. Unter Windows hat das neue Kennwort auch funktioniert, aber ich meine bei anderen per LDAP authentifizierenden Diensten nicht. Vielleicht hängt das auch mit der geänderten userAccountControl zusammen, habe ich noch nicht getestet.

Vielleicht stehe ich auch auf dem Schlauch und es gibt eine bessere Lösung um den Usern eine Passwortänderung ans Herz zu legen?

LG
Nils

4

Hallo Nils,

Ja, das ist normal. Das gehört zum Samba Workflow, dass das alte Passwort noch 60 min gültig bleibt. Damit kann man vermeiden, dass einen User sich „sperrt“.

Ich glaube es gibt einfacher mit samba-tool user und die Option --must-change-at-next-login. Ich kann mich aber nicht mehr erinnern, ob es in sophomorix eine Option dafür gibt.

Gruß

Arnaud