Permitir que usuários LDAP alterem a senha

1

Como permitir que usuários LDAP alterem a senha de máquinas clientes?

    
por nitins 16.09.2010 / 13:55

4 respostas

2

Você não pode. O LDAP é um serviço de diretório e não fornece ferramentas para o usuário final. É da responsabilidade da ferramenta do usuário final fornecer essa funcionalidade.

por exemplo. deve ser possível usar 'passwd', supondo que você tenha autenticação PAM usando o LDAP configurado corretamente

    
por 16.09.2010 / 14:11
2

A configuração padrão do OpenLDAP já tem isso:

# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
access to attrs=userPassword,shadowLastChange
        by anonymous auth
        by self write
        by * none
    
por 16.09.2010 / 14:29
1

Você pode habilitar o ldap-auth-client (debian e ubuntu) para editar senhas como você faria em uma máquina local. se você correr dpkg-reconfigure ldap-auth-config e selecione sim para Fazer administrador do banco de dados raiz local. Isso permitirá que você execute passwd como normalmente faria.

Você também pode fazer isso editando seu arquivo /etc/ldap.conf e adicionando:

# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
rootbinddn dn-for-your-admin-account-in-ldap

Se você editar o arquivo manualmente, você precisará postar a senha para a conta root em /etc/ldap.secret e torná-la 600

Você também pode ter que editar /etc/pam.d/common-password e remover o parâmetro use_authtok . Se você editar seus arquivos pam, execute pam-auth-update ou reinicialize o sistema.

    
por 10.04.2015 / 21:04
0

Para usuários de 389 usando contas de vinculação, você pode criar uma ACL de acordo com o seguinte para contas vinculadas:

(targetattr="*") (versão 3.0; acl "Vincular Contas"; permitir (todos) (groupdn="ldap: /// cn = Vincular Contas, dc = ldap, dc = servidor");)

    
por 16.07.2014 / 04:56