OpenLDAP на пользователях ArchLinux не может изменить passwd
Я запустил офис, и мне НУЖНЫ централизованные каталоги входа в систему и корневые каталоги для работы. Так как все рабочие станции собираются выполнить Arch и проблемы с различными версиями LDAP, я наконец пришел к заключению, что серверу LDAP также был нужен Arch.
Я сделал полностью чистая установка Arch на сервере и на рабочей станции. У обоих есть "основные" и "основные-devel" группы пакета Arch, установленная NTP, OpenSSH & OpenLDAP, сервер имеет nss-pam-ldapd также. Это - в значительной степени это прямо сейчас.
- Я следовал за https://wiki.archlinux.org/index.php/OpenLDAP, но должен был сделать следующие вещи по-другому (и я еще не настроил SSL или TLS):
- Прежде чем я скопировал DB_CONFIG.example, я выполнил updatedb и использовал, определяют местоположение DB_CONFIG
- Я должен был выполнить slaptest с-u опцией подавить предупреждения базы данных
- После выполнения slaptest я сделал показанный-R ldap:ldap на/etc/openldap/slap.d
- systemctl запускают сбои slapd, также - sudo slapd-u ldap-g ldap, но sudo slapd работал.
- После выполнения sudo slapd я уничтожил slapd и показанный-R ldap:ldap/var/lib/openldap, но systemctl запускают slapd, все еще отказавший.
- после того, как показано-R ldap:ldap/etc/openldap я мог наконец использовать systemctl, запускают slapd... я предполагаю, что это была папка схемы, которая не смогла быть считанной ldap при запуске с пользователя LDAP.
- Сопровождаемый https://wiki.archlinux.org/index.php/LDAP_Authentication
- Я не запустил или включил nscd
- Я могу теперь войти в систему с пользователями LDAP на прекрасной рабочей станции, и я могу обновить каталог с помощью своего rootdn.
Проблема: пользователи не могут изменить пароль с помощью passwd. Возвраты LPAD:
password change failed: Insufficient access
/etc/slapd.conf (на сервере):
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
pidfile /run/openldap/slapd.pid
argsfile /run/openldap/slapd.args
access to attrs=userPassword
by self write
by anonymous auth
by * none
access to *
by self write
by * read
database bdb
suffix "dc=testing,dc=com"
rootdn "cn=Manager,dc=testing,dc=com"
rootpw {SSHA}ntsD5qrvHJtMflarQPhJzapiEEnqH2/L
directory /var/lib/openldap/openldap-data
index objectClass eq
index uid pres,eq
index mail pres,sub,eq
index cn pres,sub,eq
index sn pres,sub,eq
index dc eq
/etc/openldap/ldap.conf (на клиенте):
BASE dc=testing,dc=com
URI ldap://192.168.1.50
/etc/nslcd.conf (на клиенте):
uid nslcd
gid nslcd
uri ldap://192.168.1.50/
base dc=testing,dc=com
/etc/pam.d/system-auth (на клиенте):
auth sufficient pam_ldap.so
auth required pam_unix.so try_first_pass nullok
auth optional pam_permit.so
auth required pam_env.so
account sufficient pam_ldap.so
account required pam_unix.so
account optional pam_permit.so
account required pam_time.so
password sufficient pam_ldap.so
password required pam_unix.so try_first_pass nullok sha512 shadow
password optional pam_permit.so
session required pam_limits.so
session required pam_unix.so
session optional pam_ldap.so
session optional pam_permit.so
/etc/pam.d/passwd (на клиенте):
password sufficient pam_ldap.so
password required pam_unix.so sha512 shadow nullok
Таким образом, наконец, мои вопросы:
- Прежде всего, где лучшее место должно читать на этом виде материала?
- Второй прочь, как я отлаживаю меня? Дуга использует systemd, где системный журнал для systemd, основывал системы?
- Каков mlocate пакет с updatedb, и найдите? Я должен использовать его? Это не упоминается в archwiki, но упоминается во многих других местах.
- И фактический вопрос: Почему мои пользователи не могут изменить пароли с passwd
на клиенте необходимо раскомментировать /etc/nslcd.conf следующим образом:
rootpwmoddn cn = admin, dc = example, dc = com
и измените cn и dc на rootdn в slapd.conf на сервере