Я использую систему аутентификации openldap-2.4.40 и хочу, чтобы пользователь мог изменить свой пароль самостоятельно. При динамической конфигурации (это означает, что я использую не slapd.conf
для конфигурации, а файлы в каталоге cn = config
), я попытался изменить пароль с помощью
ldappasswd -x -D "uid=<my_user>,ou=Users,dc=<some>,dc=<dc>" -W -A -S
. Это подсказывает мне для моего старого пароля (дважды) и для нового, а затем запрашивает пароль LDAP, заканчивая сообщением об ошибке: ldap_bind: Invalid credentials (49)
.
В моем /etc/openldap/slapd.d/cn=config/olcDatabase= {0} config.ldif
У меня есть следующие настройки для olcAccess
:
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage by * none
Что мне нужно сделать, чтобы пользователь мог изменить свой пароль?
В ответ на ответ Саймона Шюрга я добавляю содержимое /etc/pam.d/passwd
:
auth include system-auth
account include system-auth
password substack system-auth
-password optional pam_gnome_keyring.so use_authtok
password substack postlogin
Если я изменю пароль с помощью passwd
, все будет работать нормально, и я могу войти в систему с новым паролем, но только на машине с запущенным сервером LDAP. Я не могу войти в систему на всех других машинах («клиенты LDAP»).
ldapsearch
для пользователя или группы на сервере и клиентских машинах обеспечивает тот же результат. Однако вывод authconfig --test
отличается, если выполняется как root или как пользователь:
Выполняется как root:
nss_ldap is enabled
LDAP+TLS is disabled
LDAP server = "ldap://10.0.0.254"
LDAP base DN = "dc=example,dc=com"
pam_ldap is enabled
LDAP+TLS is disabled
LDAP server = "ldap://10.0.0.254"
LDAP base DN = "dc=example,dc=com"
LDAP schema = "rfc2307"
Выполняется как пользователь:
nss_ldap is enabled
LDAP+TLS is disabled
LDAP server = ""
LDAP base DN = ""
pam_ldap is enabled
LDAP+TLS is disabled
LDAP server = ""
LDAP base DN = ""
LDAP schema = "rfc2307"
Если какая-либо информация для ответа отсутствует, сообщите мне, и я отредактирую вопрос и предоставлю вам информацию.
Если вы включите глобальную аутентификацию LDAP через PAM и сконфигурируете / etc / pam. d / passwd , пользователи могут изменить свой собственный пароль LDAP с помощью команды passwd , как это обычно бывает для локальных учетных записей Unix.
Я полагаю, вы уже можете войти в систему с пользователями ldap.
Чтобы разрешить изменение пароля с помощью команды passwd, вам необходимо отредактировать /etc/pam.d/passwd и добавить
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
------ edit ------
Вместо редактирования файлов конфигурации вручную вы также можете использовать authconfig для настройки ldap на клиенте centos.
Следующая команда настраивает аутентификацию LDAP таким образом, что пользователи могут изменять свой пароль с помощью общей команды passwd
.
authconfig \
--enableldap \
--enableldapauth \
--ldapserver='ldap://example.com/' \
--ldapbasedn='dc=example,dc=com' \
--update
Возможно, вы также захотите использовать следующие флаги для сохранения локальной аутентификации и автоматического создания несуществующего дома каталоги при входе в систему.
--enablemkhomedir \
--enableshadow \
--enablelocauthorize \
--passalgo=sha256 \
После предыдущей команды запустите authconfig --test
, чтобы проверить настройки.
Проверьте следующие части вывода:
nss_ldap is enabled
LDAP+TLS is disabled
LDAP server = "ldap://example.com/"
LDAP base DN = "dc=example,dc=com"
pam_unix is always enabled
shadow passwords are enabled
password hashing algorithm is sha256
pam_ldap is enabled
LDAP+TLS is disabled
LDAP server = "ldap://example.com/"
LDAP base DN = "dc=example,dc=com"
LDAP schema = "rfc2307"
pam_mkhomedir or pam_oddjob_mkhomedir is enabled (umask=0077)
Always authorize local users is enabled ()
Сменить пароль для пользователей теперь просто:
ldapuser@centos ~ % passwd
Changing password for user ldapuser.
(current) LDAP Password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
ldapuser@centos ~ %