On Thu, 2008-07-03 at 12:48 -0400, Hardy Beltran Monasterios wrote:
Yo nunca he ocupado FDS/RHDS7 pero ese userPassword es un atributo del directorio LDAP que mantiene la información de las cuentas de usuario.
Deberías revisar la definición del esquema que estás usando en tu LDAP.
UserPassword es el atributo normal donde deberia almacenarse el password del usuario. Todos los servidores con soporte LDAP (excepto nuestro amiguito Active Directory, ahi hay una version marciana de atributos kerberos q en teoria son standar, en la practica.....) aceptan este atributo y soportan todos los algoritmos de encriptacion en el (bueno, con diferencias pero salvables)
Cuando usas Samba, este no usa este atributo sino dos atributos para guardar el password, LMPassword y NTPassword, siendo el primero la version encriptada para login desde estaciones de trabajo 95/98/Me y la segunda la version encriptada para login desde estaciones de trabajo NT/2000/XP/2003. Esto hace q samba deba mantener sincronizados ambos y el famoso smbldap-tools tambien los mantiene sincronizados. Eso implica q nativamente cuando cambio el password desde los mecanismos q Windows me brinda, solo me cambia esos dos atributos y el atributo userPassword no es ni tocado.
Para paliar eso, generalmente configuras samba para q sincronize los 3 atributos (LMPassword, NTPassword y userPassword) en cada cambio que se de del mismo a trabes del Samba. El overlay smbkb5 para openldap intenta hacer lo contrario (pero solo sirve para unas pocas situaciones lamentablemente).
Es en ese modo de configuracion donde FDS/RHDS7 falla. Para samba el FDS/RHDS7 anuncia q no pudo cambiar el atributo userPassword con un codigo de error, pero el mensaje de error es desconcertante (ya q dice q el cambio fue exitoso) Para todo esto, convierto el samba.schema q viene en Samba a una version q sea cargado por el FDS/RHDS con los scripts q este mismo provee.
Si quito las opciones de samba para sincronizar los tres atributos todo funciona, pero los servicios q ate al directorio q no sean samba, no usaran el password q fue cambiado via windows sino el q se mantiene en el atributo userPassword.
Si hago la configuracion con OpenLDAP, todo funciona de perillas.
y no, ni el soporte oficial de redhat ni la info q encuentro en web me ha dado mayor luz hasta ahora sobre este problema.
-- Black Hand powered by GNU/Linux and lots of GNU/Force