Benutzerkennwörter werden generell im LDAP-Attribut userPassword gespeichert.

Jetzt gibt es aber – je nachdem welcher Client das Kennwort ändert einen Marker im LDAP, der den LDAP-Client anweist, dass dieser doch bitte sich ein Kerberos-Ticket organisieren soll.

root@ucs0:~# univention-ldapsearch uid=mmustermann | grep userPassword
userPassword:: e0s1S0VZfQ==

root@ucs0:~# echo „e0s1S0VZfQ==“ | base64 -d
{K5KEY}

Dies ist besagter Marker.

Setzt man das Kennwort über die UCS-Gui, wird dann zwar der Marker entfernt

root@adm-ucs0:~# univention-ldapsearch uid=mmustermann | grep userPassword
userPassword:: e2NyeXB0fSQ2JEpobE……….

Über den AD-Connector bzw. die Synchronisation zu Mitgliedsservern jedoch, landet in deren LDAP, doch nur wieder der Marker.

root@kopano01:~# univention-ldapsearch uid=mmustermann | grep userPassword
userPassword:: e0s1S0VZfQ==

Categories: Blog