Hi, On Fri, 16 Jan 2004 14:57:19 +0100 Bernd Pörner wrote:

passwd[6969]: pam_ldap: ldap_modify_s Insufficient access

wie sieht denn der entsprechende Eintrag in der slapd.conf aus ? Es müßte da was stehen wie: [...] access to attr=userPassword by dn="cn=ldapadmin,dc=yourdn" write by self write by anonymous auth by * none access to * by dn="cn=ldapadmin,dc=yourdn" write by self write by * read [...] Obwohl root IMO immer können sollte, es sei denn es ist mit so einem Eintrag verboten worden. Ciao, Michael

Hallo, Bernd Pörner writes:

Hallo allerseits!

Ich fange gerade an, mit einer auf OpenLDAP basierenden Userverwaltung unter SuSE 9.0 zu experimentieren. Hier das erste wirkliche Problem, auf das ich gestoßen bin und nicht mehr weiter weiß:

Keine Passwortänderung über "passwd" möglich ============================================

Versuche ich ein User-Passwort über "passwd" zu ändern, so geht folgendes ab:

shell> passwd testuser Changing password for testuser Enter login(LDAP) password: New password: Re-enter new password: LDAP password information update failed: Unknown error

Password changed shell>

Das Passwort wurde natürlich nicht geändert. Im Messagelog ist folgende Meldung zu finden:

passwd[6969]: pam_ldap: ldap_modify_s Insufficient access

Kleine Anmerkung dazu: Ich habe das sowohl unter dem betroffenen Useraccount als auch als root versucht.

Du mußt /etc/ldap.conf richtig editieren. ACHTUNG, dies ist die Datei zur Konfiguration von nsswitch, nicht die Konfiguration der LDAP Clients, die ist in /etc/openldap/ldap.conf. Siehe die Bemerkungen zu rootbinddn. Dazu mußt du in /etc/openldap/slapd.conf acl's für das Attribut userPassword richtig setzen, also Schreibrechte erteilen. Lies dazu http://www.openldap.org/doc/admin21/ http://www.openldap.org/faq/data/cache/189.html http://www.openldap.org/doc/admin22/ Bedenke aber daß du noch OpenLDAP-2.1 nutzt und nicht 2.2, dementsprechend sind einige Aussagen in admin22 nicht relevant für dich. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de