Como alterar a senha do usuário LDAP expirada no linux?

Question

Como alterar a senha do usuário LDAP expirada no linux?

#1 resposta do (2 votos)
#2 resposta do (1 votos)

2

alguém pode dar um conselho sobre como alterar a senha LDAP já expirada?

Eu tenho um usuário LDAP e a senha desse usuário expirou:

# su user
You are required to change your password immediately (password aged)
su: Authentication token is no longer valid; new one required
(Ignored)

então eu posso mudar a senha usando 'passwd'. Mas se eu tentar logar novamente, a mensagem ainda aparecerá. Se eu tentar o login do ssh, também recebo a seguinte mensagem: "Você é obrigado a alterar sua senha imediatamente (senha com idade)"

Então eu mudo a senha. Mas se eu tentar entrar mais uma vez, a mensagem continua ...

Obrigado antecipadamente.

P.S. Eu também tentei:

user@server$ ldappasswd

Please enter your password: 
ldap_sasl_interactive_bind_s: Invalid credentials (49)
additional info: SASL(-13): user not found: no secret in database

password authentication ldap openldap linux

por Andrey Sapegin 02.01.2013 / 11:19

2 respostas

Tags password authentication ldap openldap linux

É seguro expor a LAN ao modem DSL em ponte? Existe uma maneira de trocar de graça?

score 2 · Answer 1

Você está usando atributos shadow * no servidor? Se sim, certifique-se de que o atributo shadowlastchange seja gravável pelo (s) usuário (s), caso contrário, o atributo userpassword será atualizado e shadowLastchange permanecerá inalterado; na próxima tentativa, as ferramentas do cliente calcularão a idade da senha usando o antigo valor shadowLastChange e acho que a senha precisa ser alterada.

score 1 · Answer 2

Você está perdendo alguns atributos do seu ldappasswd

Este é apenas um exemplo

ldappasswd -x -h <host> -D "<rootdn>" -w <rootdn_password> -s <new_password_for_user> "uid=user,ou=People,dc=example,dc=com"

Provavelmente você está usando algumas políticas (algumas delas podem ser mantidas no LDAP - por exemplo, você tem algo parecido com isso em sua consolidação do servidor LDAP)

overlay ppolicy
ppolicy_default "cn=default,ou=policies,dc=example,dc=com"
ppolicy_use_lockout

Alguns deles podem ser mantidos localmente (procure moduleload ppolicy.la na configuração do servidor LDAP).

Provavelmente, você também está perdendo a capacidade de permitir que os usuários alterem suas senhas sem o poder de deus. Você pode fazer isso redefinindo o PAM ou (de maneira mais fácil) para permitir que os usuários alterem seu atributo userPassword sem autenticação.

access to attrs=userPassword
        by self write
        by anonymous auth
        by users none

access to * by * read

Sempre que precisar de mais precisão, por favor me avise:)