Hej allesammans!

Som tidigare utannonserat i brevet Nertid för övergång till LDAP 24 till 26 september, skickat 2021-09-09, krävs det att man sätter ett nytt lösenord i och med övergången till LDAP.

Nu finns det möjlighet att generera lösenord om man vill förbereda sig innan flytten som planeras ske till helgen.

Proceduren är som följer: 1. Anslut över SSH till newpw.lysator.liu.se. (SSH-fingeravtryck finns i datorhandbok https://datorhandbok.lysator.liu.se/index.php/Newpw) 2. Autentisera med ditt nuvarande lysatorlösenord eller SSH-nyckel. 3. Skriv ner det lösenord som skrivs ut över SSH-anslutningen. 4. Logga in på https://trocca.ad.lysator.liu.se (TLS-fingeravtryck: SHA-256: 45:5E:E5:5C:3A:F5:FA:02:00:6A:7B:9E:05:96:29:A2:3D:E9:A8:B4:BA:BA:CB:F5:E0:0F:02:D3:1A:61:21:E7) 5. Byt lösenord när inloggningsprocessen ber om det.

Exempel på SSH-session:

kempe@shipon ~> ssh newpw.lysator.liu.se The authenticity of host 'newpw.lysator.liu.se (2001:6b0:17:f0a0::6f)' can't be established. ECDSA key fingerprint is SHA256:9oGX8LI+FWiZPxRcYfLh0sDOqsV+Ym4Mvo+C78YJtJk. No matching host key fingerprint found in DNS. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'newpw.lysator.liu.se' (ECDSA) to the list of known hosts. Last login: Tue Sep 21 12:52:02 2021 from shipon.lysator.liu.se FreeBSD 13.0-RELEASE-p3 (GENERIC) #0: Tue Jun 29 19:46:20 UTC 2021 Genererar lösenord för kempe

Satte temporärt lösenord för kempe lösenord: 051i18J-nOiLEImX Logga in på https://trocca.ad.lysator.liu.se/ för att byta det. Fingeravtryck: SHA-256: 45:5E:E5:5C:3A:F5:FA:02:00:6A:7B:9E:05:96:29:A2:3D:E9:A8:B4:BA:BA:CB:F5:E0:0F:02:D3:1A:61:21:E7

Connection to newpw.lysator.liu.se closed.

Jag loggar nu in på https://trocca.ad.lysator.liu.se, är noga med https då det inte är någon omdirigering, validerar att certifikatet har det förväntade fingeravtrycket då det är självsignerat och ombeds under inloggningen att byta mitt lösenord.

Av säkerhetsskäl går det bara att generera lösenord en gång. Håll reda på lösenordet du genererar och byt det snarast till något annat. Skulle det ändå bli problem kan rotgruppen nås på root@lysator.liu.se.

newpw.lysator.liu.se kommer finnas tillgänglig under en överskådlig framtid så det är ingen panik att generera ett nytt lösenord. Efter den kommande helgen 24 till 26 september kommer dock detta lösenord att krävas för att logga in på Lysators datorsystem. SSH-nycklar påverkas emellertid ej och skall fortsätta fungera.

Vid frågor går det bra att kontakta root@lysator.liu.se och jag skall även hålla ett öga på KOM.

Notis - Om självsigneringen

Anledningen till att trocca.ad.lysator.liu.se har ett självsignerat certifikat är för att det är så FreeIPA fungerar som standard. Det har tittats på att fixa ett fincert av något slag, men det är lättare sagt än gjort och kommer kanske vid ett senare tillfälle. Till dess får vi manuellt validera fingeravtrycket.

Notis - Om LDAP och Kerberos

Flera medlemmar har uppmärksammat att lösenorden inte förvaras LDAP, utan i Kerberos. Detta är korrekt men försvann i en förenkling i förra brevet. Anledningen till att vi behöver sätta nya lösenord är att vi även behöver byta kerberosdatabas vid övergången till LDAP. Vi kommer använda den färdiga lösningen FreeIPA och kan inte använda vår gamla kerberosdatabas.

Mvh Andreas Kempe Lysators rotgrupp