Estou tentando permitir que os usuários do ldap alterem sua senha nas máquinas clientes. Eu tentei pam de todas as maneiras que consigo pensar em /etc/ldap.conf
& /etc/pam_ldap.conf
também. Neste momento estou preso.
Client: Ubuntu 11.04
Server: Debian 6.0
A saída atual é esta:
sobrien4@T-E700F-1:~$ passwd
passwd: Authentication service cannot retrieve authentication info
passwd: password unchanged
/var/log/auth.log
informa isso durante o comando:
May 9 10:49:06 T-E700F-1 passwd[18515]: pam_unix(passwd:chauthtok): user "sobrien4" does not exist in /etc/passwd
May 9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: ldap_simple_bind Can't contact LDAP server
May 9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: reconnecting to LDAP server...
May 9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: ldap_simple_bind Can't contact LDAP server
getent passwd |grep sobrien4
(note que é curto desde o teste com essa conta, no entanto, gera todos os usuários do ldap):
sobrien4:Ffm1oHzwnLz0U:10000:12001:Sean O'Brien:/home/sobrien4:/bin/bash
getent group
mostra todos os grupos de ldap.
/etc/pam.d/common-password
(Note que este é apenas o mais atual, eu tentei várias opções diferentes):
password required pam_cracklib.so retry=3 minlen=8 difok=3
password [success=1 default=ignore] pam_unix.so use_authtok md5
password required pam_ldap.so use_authtok
password required pam_permit.so
Abre também o wireshark aberto, o servidor & cliente está falando.
Eu tenho a senha mudando de trabalho no servidor. I.E. o servidor que executa o slapd, posso efetuar login com o usuário do ldap e alterar as senhas. Eu tentei copiar as configurações de trabalho do servidor inicialmente e sem dados.
Eu também tentei cloná-lo e apenas alterar o ip & host, e não vá. Meu palpite é que o cliente não está autorizado pelo ip ou hostname para alterar um passe.
Pertencente ao slapd conf, vi isso em um guia e tentei:
access to attrs=loginShell,gecos
by dn="cn=admin,dc=cengineering,dc=etb" write
by self write
by * read
access to *
by dn="cn=admin,dc=cengineering,dc=etb" write
by self write
by * read
Então o ldap parece estar funcionando bem, só não é possível alterar a senha.