openLDAP-Server und Passwortlänge (Leap 42.3, suseMaxPasswordLength)
Hallo Liste, ich habe auf einem openSUSE 42.3 mit Yast-Mitteln den openLDAP-Server eingerichtet (zur Verwendung mit Jenkins), ohne TLS und SSL, er wird nur lokal verwendet. Es ist mir nach einigem Raten in den wenig intuitiven Yast-Modulen auch gelungen, einen LDAP-Benutzer anzulegen, der tatsächlich von Jenkins verwendet werden kann. Aber: beim Anlegen jedes neuen LDAP-Benutzers wird die Passwortlänge auf 8 Zeichen begrenzt (8! Im Jahre 2017!), das kann ich nur akzeptieren oder muss abbrechen. Nun habe ich nach einigem weiteren Suchen gefunden, dass es in der Konfiguration des LDAP-Servers die Variable "suseMaxPasswordLength" gibt, die auch auf den Wert 8 gesetzt ist. Wie kann ich diesen Wert ändern? Ich finde dazu im Netz hoffnungslos veraltete Hinweise auf /etc/openldap/slapd.conf, aber die wird in OS 42.3 nicht mehr verwendet. Die openLDAP-Serverkonfiguration kann man offenbar nur noch "ldapsearch -Y external -H ldapi:/// -b cn=config" herausbekommen. Mit Yast jedenfalls funktioniert das nicht: Nach einer weiteren schier unendlichen Klickorgie durch kurios aufgebaute Fenster (Benutzer- und Gruppenverwaltung | Filter festlegen | LDAP-Benutzer | (Passwort für LDAP-Administrator eingeben) | Optionen für Experten | LDAP-Benutzer- und -Gruppen-Konfiguration | Einstellungen für die Benutzerverwaltung konfigurieren | userconfiguration) komme ich endlich an eine Stelle, wo "suseMaxPasswordLength" zum Bearbeiten ausgewählt werden kann. Dort trage ich 20 statt der 8 ein, klicke "Ok". Dann steht auch "20" in der Übersicht. Nun unten rechts "Ok" geklickt, um die Änderung zu schreiben - und ein Fehlerfenster geht auf: Fehler Ein Problem passierte während des Schreibens von Daten auf dem LDAP-Server. Strong(er) authentication required modifications require authentication Dort wieder "OK" - nichts anders ist möglich, schon gar keine Passworteingabe - dann ist Schluss, ein weiteres "Ok" führt wieder auf das Fenster zurück, wo man "Einstellungen für die Benutzerverwaltung konfigurieren" anklicken kann, danach werden die Werte vom Server neu eingelesen (das Passwort ist also doch da!?!?) und meine Änderung ist weg. Die Installation der VM mit OS 42.3 ist aus einer SLES11-for-VMware über mehrere Service Packs und Upgrades auf 42.1 -> 42.2 -> 42.3 entstanden, openLDAP wurde aber eben frisch installiert. Die Maschine zeigt sonst keine Auffälligkeiten und lief schon längere Zeit produktiv als 42.2. Hat jemand eine Idee, wie das ohne Yast geht? Irgendwas mit "ldapmodify" vielleicht, aber ich bekomme keine für mich verständliche Suchergebnisse. -- Viele Grüße ------------------------------------------------------------------------ Michael Behrens ------------------------------------------------------------------------ ________________________________________________________________________ PROSTEP AG, Dolivostraße 11, D-64293 Darmstadt HR: Amtsgericht Darmstadt, HRB 8383 Vorstand: Dr. Bernd Pätzold (Vorsitz), Reinhard Betz Aufsichtsrat: Dr. Heinz-Gerd Lehnhoff (Vorsitz) ________________________________________________________________________ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 19.10.2017 um 11:34 schrieb Michael Behrens: [ ... wie wird die openLDAP-Config angepasst ...] So aus der Erinnerung ... Versuche einen lokalen LDAP-Browser. (z.B. Apache-Studio) Base-Context: cn=config Dort das Attr. suseMaxPasswordLength suchen und editieren. Bye Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 19.10.2017 um 12:00 schrieb Bernd Nachtigall:
Am 19.10.2017 um 11:34 schrieb Michael Behrens: [ ... wie wird die openLDAP-Config angepasst ...]
So aus der Erinnerung ...
Versuche einen lokalen LDAP-Browser. (z.B. Apache-Studio) ...
Danke, Bernd, so einfach und klar, da hätte ich ja auch selbst drauf kommen müssen... Ich habe "gq" genommen, das lässt sich aus dem Repository installieren. Und ich habe auch noch eine weitere Methode gefunden: Die Variable "suseMaxPasswordLength" und der Wert "8" stehen in /usr/share/YaST2/modules/AuthServer.pm aus dem Paket "yast2-auth-server-3.1.18-3.3.x86_64" Darin habe ich den Wert auf 20 gesetzt, dann den LDAP-Server deinstalliert und alle Files, die die Deinstallation überlebt haben, vor allem /var/lib/ldap/, gelöscht. Dann wieder openldap installiert und mit "yast auth-server" eine neue Konfiguration erstellt. -- Viele Grüße ------------------------------------------------------------------------ Michael Behrens ------------------------------------------------------------------------ ________________________________________________________________________ PROSTEP AG, Dolivostraße 11, D-64293 Darmstadt HR: Amtsgericht Darmstadt, HRB 8383 Vorstand: Dr. Bernd Pätzold (Vorsitz), Reinhard Betz Aufsichtsrat: Dr. Heinz-Gerd Lehnhoff (Vorsitz) ________________________________________________________________________ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Michael, hallo zusammen, Am Donnerstag, 19. Oktober 2017, 14:34:02 CEST schrieb Michael Behrens:
Und ich habe auch noch eine weitere Methode gefunden: Die Variable "suseMaxPasswordLength" und der Wert "8" stehen in /usr/share/YaST2/modules/AuthServer.pm aus dem Paket "yast2-auth-server-3.1.18-3.3.x86_64"
Darin habe ich den Wert auf 20 gesetzt, dann den LDAP-Server deinstalliert und alle Files, die die Deinstallation überlebt haben, vor allem /var/lib/ldap/, gelöscht. Dann wieder openldap installiert und mit "yast auth-server" eine neue Konfiguration erstellt.
Kreative Methode ;-) Machst Du bitte einen Bugreport für YaST auf mit der Bitte, den Default- Wert zu ändern? Eine maximale Passwortlänge von 8 Zeichen, die sich nur mit Tricks ändern lässt, ist eher suboptimal ;-) Gruß Christian Boltz -- <jospoortvliet> !help warlordfff <SUSEhelp> jospoortvliet: Sorry, plugin warlordfff does not exist! [from #opensuse-project] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 22.10.2017 um 21:24 schrieb Christian Boltz:
.... > Machst Du bitte einen Bugreport für YaST auf mit der Bitte, den Default- Wert zu ändern? Eine maximale Passwortlänge von 8 Zeichen, die sich nur mit Tricks ändern lässt, ist eher suboptimal ;-) ...
https://bugzilla.opensuse.org/show_bug.cgi?id=1064713 Bei einer frischen Installation von openSUSE 42.3 kann man das Limit tatsächlich mit yast ändern, wie oben beschrieben. Das habe ich gerade eben nochmal probiert. Der beschriebene Yast-Fehler ist also wohl auf die bewegte Vergangenheit meiner speziellen Maschine zurückzuführen, vermutlich ist die aus SLES11-for-VMware SP1 entstanden. -- Viele Grüße ------------------------------------------------------------------------ Michael Behrens ------------------------------------------------------------------------ ________________________________________________________________________ PROSTEP AG, Dolivostraße 11, D-64293 Darmstadt HR: Amtsgericht Darmstadt, HRB 8383 Vorstand: Dr. Bernd Pätzold (Vorsitz), Reinhard Betz Aufsichtsrat: Dr. Heinz-Gerd Lehnhoff (Vorsitz) ________________________________________________________________________ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Bernd Nachtigall
-
Christian Boltz
-
Michael Behrens