Como permitir que usuários LDAP alterem a senha de máquinas clientes?
Você não pode. O LDAP é um serviço de diretório e não fornece ferramentas para o usuário final. É da responsabilidade da ferramenta do usuário final fornecer essa funcionalidade.
por exemplo. deve ser possível usar 'passwd', supondo que você tenha autenticação PAM usando o LDAP configurado corretamente
A configuração padrão do OpenLDAP já tem isso:
# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
access to attrs=userPassword,shadowLastChange
by anonymous auth
by self write
by * none
Você pode habilitar o ldap-auth-client (debian e ubuntu) para editar senhas como você faria em uma máquina local. se você correr
dpkg-reconfigure ldap-auth-config e selecione sim para Fazer administrador do banco de dados raiz local. Isso permitirá que você execute passwd como normalmente faria.
Você também pode fazer isso editando seu arquivo /etc/ldap.conf e adicionando:
# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
rootbinddn dn-for-your-admin-account-in-ldap
Se você editar o arquivo manualmente, você precisará postar a senha para a conta root em /etc/ldap.secret e torná-la 600
Você também pode ter que editar /etc/pam.d/common-password e remover o parâmetro use_authtok . Se você editar seus arquivos pam, execute pam-auth-update ou reinicialize o sistema.
Para usuários de 389 usando contas de vinculação, você pode criar uma ACL de acordo com o seguinte para contas vinculadas:
(targetattr="*") (versão 3.0; acl "Vincular Contas"; permitir (todos) (groupdn="ldap: /// cn = Vincular Contas, dc = ldap, dc = servidor");)
Tags authentication ldap openldap linux