“Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed. Errorcode 20: Make sure the kerberos service is functioning or inform an Administrator.”
Self Care rennt auf einen Sekundären Server,
Kerberos auf den PDC,
root@mastersrv:~# ps aux | grep [h]eimdal
root 4629 0.0 0.0 62192 5352 ? S Jun03 0:03 /usr/lib/heimdal-servers/kdc --config-file=/etc/heimdal-kdc/kdc.conf
root@mastersrv:~#
Der Benutzer mit dem die Password-Änderung versucht wird kann auch ein Passwort per kinit bekommen?
Gibt es ERROR/WARN/Traceback Einträge in der Logdatei /var/log/univention/management-console-server.log auf dem DC Master in dem Zeitraum der Passwort-Änderung?
Issued Expires Principal
Jun 7 08:35:00 2016 Jun 7 18:34:54 2016 krbtgt/----.LOCAL@----.LOCAL
root@backupsrv:~# [/code]
Auf dem Primary DC ist nichts in den logs zu finden, jedoch auf dem Secondary:
root@backupsrv:~# tail -f /var/log/univention/management-console-server.log
07.06.16 08:37:57.443 ACL ( PROCESS ) : Allowed UMC operations:
07.06.16 08:37:57.443 ACL ( PROCESS ) : User | Host | Flavor | Command | Options
07.06.16 08:37:57.443 ACL ( PROCESS ) : ******************************************************************************
07.06.16 08:37:57.443 ACL ( PROCESS ) : False | backupsrv | * | lib/sso/* | {}
07.06.16 08:37:57.443 ACL ( PROCESS ) : False | backupsrv | * | passwordchange/* | {}
07.06.16 08:37:57.443 ACL ( PROCESS ) :
07.06.16 08:38:10.876 AUTH ( WARN ) : Changing password failed (('Fehler beim ?ndern des Authentifizierungstoken', 20)). Prompts: [('Current Kerberos password: ', 1), ('Geben Sie ein neues Passwort ein: ', 1), ('Geben Sie das neue Passwort erneut ein: ', 1), (': Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed.', 3)]
07.06.16 08:39:01.922 AUTH ( WARN ) : Changing password failed (('Authentifizierungsinformationen k?nnen nicht wiederhergestellt werden', 21)). Prompts: [('Current Kerberos password: ', 1)]
Edit:
root@backupsrv:~# kpasswd
peter@----.LOCAL's Password:
New password:
Verify password - New password:
Soft error : Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed.
root@backupsrv:~#
Hab in den UMC Richtlinien schon nachgeschaut, Password-Change ist erlaubt.
Can you change the password via kpasswd?
The error message indicated that there might be a minimum password age set:
“Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed.”
root@backupsrv:~# kpasswd
peter@----.LOCAL's Password:
New password:
Verify password - New password:
Soft error : Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed.
root@backupsrv:~#
schauen Sie doch trotzdem mal nach, welche Policies effektiv für diesen User gelten. Posten Sie bitte das Ergebnis hiervon:
univention-policy-result -h $(ucr get ldap/master) -D $(ucr get ldap/hostdn) -y /etc/machine.secret uid=peter,cn=users,$(ucr get ldap/base)
Ersetzen Sie »uid=peter,cn=users,«, falls der User nicht im Standard-Container für Benutzer liegen sollte.
Zusätzlicher Test: können Sie mit »kpasswd« denn das Passwort für andere User ändern? Also zuerst aktuelle Token verwerfen (»kdestroy«), Token für zu testenden User holen (»kinit @$(ucr get kerberos/realm)«), dann »kpasswd« ausführen.
Die Änderung des Passworts hat mit kpasswd nicht geklappt, wie man im Post davor sehen kann:
[quote=“rene.losert”]root@backupsrv:~# kpasswd
peter@----.LOCAL's Password:
New password:
Verify password - New password:
Soft error : Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed.
root@backupsrv:~#
Es ist aber nirgends ein Passwort-alter definiert[/quote]
[quote=“Best”][quote=“Moritz Bunkus”]
Zusätzlicher Test: können Sie mit »kpasswd« denn das Passwort für andere User ändern? Also zuerst aktuelle Token verwerfen (»kdestroy«), Token für zu testenden User holen (»kinit @$(ucr get kerberos/realm)«), dann »kpasswd« ausführen.
[/quote]
Die Änderung des Passworts hat mit kpasswd nicht geklappt, wie man im Post davor sehen kann:[/quote]
Da wird nur gezeigt, dass das Ändern für den fraglichen User, mit dem eh die Probleme bestehen, nicht funktioniert. Was mich interessiert, ist ob eine Änderung bei anderen Usern (z.B. administrator) möglich ist.
nein ist bei allen Usern das selbe ‘Peter’ ist quasi mein Test-User,
hier der Output von univention-policy-result -h $(ucr get ldap/master) -D $(ucr get ldap/hostdn) -y /etc/machine.secret uid=peter,cn=users,$(ucr get ldap/base)
[code]root@backupsrv:~# univention-policy-result -h $(ucr get ldap/master) -D $(ucr get ldap/hostdn) -y /etc/machine.secret uid=peter,cn=users,$(ucr get ldap/base)
DN: uid=peter,cn=users,dc=----,dc=local
sorry, wenn ich den Fall hier nochmal aufrolle.
Ich habe auf einem 4.2-3 errata262 (Lesum) System das gleiche Problem mit dem Self-Service.
Wenn ich das Passwort ändere, kommt auch die Meldung:
Fehler bei Passwortänderung
Passwort ändern fehlgeschlagen. Der Grund konnte nicht festgestellt werden. Für den Fall, dass es hilft, hier die originale Fehlernachricht: Errorcode 20: Das neue Passwort konnte nicht gesetzt werden.
Bei UCS wird sich einiges getan habe, so dass einiges, was ich oben gelesen habe, nicht nachvollziehen kann.
Z.B., was die Ausgabe
samba-tool domain passwordsettings show
bringt.
Im management-console-server.log sehe ich folgendes: