LDAP altera a passagem do usuário no cliente

Question

LDAP altera a passagem do usuário no cliente

#1 resposta do (0 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

6

Estou tentando permitir que os usuários do ldap alterem sua senha nas máquinas clientes. Eu tentei pam de todas as maneiras que consigo pensar em /etc/ldap.conf & /etc/pam_ldap.conf também. Neste momento estou preso.

Client: Ubuntu 11.04
Server: Debian 6.0

A saída atual é esta:

sobrien4@T-E700F-1:~$ passwd
passwd: Authentication service cannot retrieve authentication info
passwd: password unchanged

/var/log/auth.log informa isso durante o comando:

May  9 10:49:06 T-E700F-1 passwd[18515]: pam_unix(passwd:chauthtok): user "sobrien4"  does not exist in /etc/passwd
May  9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: ldap_simple_bind Can't contact LDAP server
May  9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: reconnecting to LDAP server...
May  9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: ldap_simple_bind Can't contact LDAP server

getent passwd |grep sobrien4 (note que é curto desde o teste com essa conta, no entanto, gera todos os usuários do ldap):

sobrien4:Ffm1oHzwnLz0U:10000:12001:Sean O'Brien:/home/sobrien4:/bin/bash

getent group mostra todos os grupos de ldap.

/etc/pam.d/common-password (Note que este é apenas o mais atual, eu tentei várias opções diferentes):

password   required   pam_cracklib.so retry=3 minlen=8 difok=3
password   [success=1 default=ignore] pam_unix.so use_authtok md5
password   required   pam_ldap.so use_authtok
password   required   pam_permit.so

Abre também o wireshark aberto, o servidor & cliente está falando.

Eu tenho a senha mudando de trabalho no servidor. I.E. o servidor que executa o slapd, posso efetuar login com o usuário do ldap e alterar as senhas. Eu tentei copiar as configurações de trabalho do servidor inicialmente e sem dados.

Eu também tentei cloná-lo e apenas alterar o ip & host, e não vá. Meu palpite é que o cliente não está autorizado pelo ip ou hostname para alterar um passe.

Pertencente ao slapd conf, vi isso em um guia e tentei:

access to attrs=loginShell,gecos
      by dn="cn=admin,dc=cengineering,dc=etb" write
      by self write
      by * read

access to *
          by dn="cn=admin,dc=cengineering,dc=etb" write
      by self write
      by * read

Então o ldap parece estar funcionando bem, só não é possível alterar a senha.

ldap openldap

por Sean 09.05.2011 / 17:17

3 respostas

Tags ldap openldap

HAProxy: Exibe um “BADREQ” | BADREQ é aos milhares Como as referências do Windows DFS funcionam para laptops fora do escritório?

score 0 · Answer 1

Eu acho que você precisa permitir o auth-binding para que ele funcione. Com isso, quero dizer que o usuário se conecta ao ldap (ou proxies pam) e apresenta suas credenciais. Se o servidor ldap gostar do que vê, o authbind é bem-sucedido e o PAM sabe que seu par de usuários / pass está correto. Por favor, veja o exemplo no livro da zytrax

Ajuste sua ACL para ter uma seção semelhante a

# ACL1
access to attrs=userpassword
       by self       write
       by anonymous  auth
       by group.exact="cn=itpeople,ou=groups,dc=example,dc=com"    write
       by *          none

score 0 · Answer 2

Eu já experimentei esse mesmo problema antes; para resolver isso, eu precisei remover use_authtok - isso nos permitiu alterar as senhas do usuário usando passwd ... Não tenho certeza de quais repercussões isso teria se sua cadeia de autenticação exigisse tokens, mas isso deveria fazer o truque se você só auth via LDAP

score 0 · Answer 3

Estou usando a seguinte configuração para suporte ao passwd do PAM:

password    requisite      pam_cracklib.so try_first_pass retry=3  
password    sufficient     pam_ldap.so try_first_pass use_authtok  
password    sufficient     pam_unix.so sha512 shadow nullok use_authtok try_first_pass  
password    required       pam_deny.so

Lembre-se também de que as ACLs devem ser configuradas da mais específica para a menos específica, porque a primeira entrada correspondente ganha. O meu parece assim:

access to attrs=userPassword
    by dn="cn=admin,dc=hell" write
    by set="[cn=admins,ou=access groups,ou=groups,dc=hell]/memberUid & user/uid" write
    by anonymous auth
    by self write
    by * none

(BTW, eu prefiro recomendar o guia de administração original do OpenLDAP que o livro Zytrax; o livro usa o guia como uma fonte de qualquer maneira, mas frequentemente introduz erros enquanto se afasta do texto original.)