Evita a alteração da senha do root no ldap - debian

1

Depois de configurar a autenticação do ldap com o pam no debian, tudo funciona bem. Usando o comando passwd altere a senha do ldap do usuário atual.

O problema é que meu ldap foi configurado com uma conta "admin" e uma conta "root" com direitos de administrador. Por razões históricas, não posso mudar isso.

Como posso fazer o passwd alterar somente a senha local para o root, e não o do ldap?

Aqui está a configuração do pam:

account sufficient pam_ldap.so
account sufficient pam_unix.so try_first_pass
account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so
account [success=1 default=ignore]      pam_ldap.so
account requisite                       pam_deny.so
account required                        pam_permit.so
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure try_first_pass

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_ldap.so use_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass
password        [success=2 default=ignore]      pam_unix.so obscure sha512
password        [success=1 user_unknown=ignore default=die]     pam_ldap.so use_authtok try_first_pass
password        requisite                       pam_deny.so
password        required                        pam_permit.so

session [default=1]                     pam_permit.so
session requisite                       pam_deny.so
session required                        pam_permit.so
session required        pam_unix.so
session optional                        pam_ldap.so
session optional                        pam_ck_connector.so nox11
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

session [default=1]                     pam_permit.so
session requisite                       pam_deny.so
session required                        pam_permit.so
session required        pam_unix.so
session optional                        pam_ldap.so
    
por Lio A. 11.06.2013 / 10:46

2 respostas

1

Ok, então depois de algum lobby, eu modifiquei a conta do root:

dn: uid=root,ou=people,dc=nope,dc=com
changetype: modrdn
newrdn: uid=administrator
deleteoldrdn: 1

Agora não tenho mais problemas.

    
por 12.06.2013 / 11:24
1

Provavelmente existem maneiras melhores, mas como um paliativo você sempre pode editar o arquivo /etc/shadow (como root). Basta substituir a parte entre o primeiro e o segundo : por uma nova senha criptografada:

  1. usando passwd , defina sua própria senha para a nova senha raiz que você deseja ter (isso também define sua senha ldap, você irá definir isso no final)

  2. sudo -s -H , mantenha este terminal aberto até que a alteração seja verificada!

  3. faça um backup de /etc/shadow para /etc/shadow.org

  4. edite /etc/shadow como root e copie o segundo 'campo' (entre : ) do nome da sua conta para o nome da raiz

  5. teste se você pode logar como root com a nova senha. Se as coisas não funcionarem, copie /etc/shadow.org de volta no terminal em que você está logado como root

  6. somente após o teste, remova /etc/shadow.org e efetue o logoff

  7. coloque sua própria senha de volta ao original com passwd

por 11.06.2013 / 12:46

Tags