Benutzerkennwörter werden generell im LDAP-Attribut userPassword gespeichert.
Jetzt gibt es aber – je nachdem welcher Client das Kennwort ändert einen Marker im LDAP, der den LDAP-Client anweist, dass dieser doch bitte sich ein Kerberos-Ticket organisieren soll.
root@ucs0:~# univention-ldapsearch uid=mmustermann | grep userPassword
userPassword:: e0s1S0VZfQ==
root@ucs0:~# echo „e0s1S0VZfQ==“ | base64 -d
{K5KEY}
Dies ist besagter Marker.
Setzt man das Kennwort über die UCS-Gui, wird dann zwar der Marker entfernt
root@adm-ucs0:~# univention-ldapsearch uid=mmustermann | grep userPassword
userPassword:: e2NyeXB0fSQ2JEpobE……….
Über den AD-Connector bzw. die Synchronisation zu Mitgliedsservern jedoch, landet in deren LDAP, doch nur wieder der Marker.
root@kopano01:~# univention-ldapsearch uid=mmustermann | grep userPassword
userPassword:: e0s1S0VZfQ==