Useraccount-Verwaltung über LDAP: Keine Passwortänderung über passwd möglich
Hallo allerseits! Ich fange gerade an, mit einer auf OpenLDAP basierenden Userverwaltung unter SuSE 9.0 zu experimentieren. Hier das erste wirkliche Problem, auf das ich gestoßen bin und nicht mehr weiter weiß: Keine Passwortänderung über "passwd" möglich ============================================ Versuche ich ein User-Passwort über "passwd" zu ändern, so geht folgendes ab: shell> passwd testuser Changing password for testuser Enter login(LDAP) password: New password: Re-enter new password: LDAP password information update failed: Unknown error Password changed shell> Das Passwort wurde natürlich nicht geändert. Im Messagelog ist folgende Meldung zu finden: passwd[6969]: pam_ldap: ldap_modify_s Insufficient access Kleine Anmerkung dazu: Ich habe das sowohl unter dem betroffenen Useraccount als auch als root versucht. Jetzt ist guter Rat teuer. Würde mich über jeden Hinweis freuen. Gruß BP
Hi,
On Fri, 16 Jan 2004 14:57:19 +0100
Bernd Pörner
passwd[6969]: pam_ldap: ldap_modify_s Insufficient access
wie sieht denn der entsprechende Eintrag in der slapd.conf aus ? Es müßte da was stehen wie: [...] access to attr=userPassword by dn="cn=ldapadmin,dc=yourdn" write by self write by anonymous auth by * none access to * by dn="cn=ldapadmin,dc=yourdn" write by self write by * read [...] Obwohl root IMO immer können sollte, es sei denn es ist mit so einem Eintrag verboten worden. Ciao, Michael
Merci vielmals! :-) BP Michael Polenske wrote on 16.01.2004 15:09:
Hi,
On Fri, 16 Jan 2004 14:57:19 +0100 Bernd Pörner
wrote: passwd[6969]: pam_ldap: ldap_modify_s Insufficient access
wie sieht denn der entsprechende Eintrag in der slapd.conf aus ? Es müßte da was stehen wie:
[...] access to attr=userPassword by dn="cn=ldapadmin,dc=yourdn" write by self write by anonymous auth by * none
access to * by dn="cn=ldapadmin,dc=yourdn" write by self write by * read [...]
Obwohl root IMO immer können sollte, es sei denn es ist mit so einem Eintrag verboten worden.
Ciao, Michael
Michael Polenske
Hi,
On Fri, 16 Jan 2004 14:57:19 +0100 Bernd Pörner
wrote: passwd[6969]: pam_ldap: ldap_modify_s Insufficient access
wie sieht denn der entsprechende Eintrag in der slapd.conf aus ? Es müßte da was stehen wie:
[...] access to attr=userPassword by dn="cn=ldapadmin,dc=yourdn" write by self write by anonymous auth by * none
access to * by dn="cn=ldapadmin,dc=yourdn" write by self write by * read [...]
Obwohl root IMO immer können sollte, es sei denn es ist mit so einem Eintrag verboten worden.
Falsch, root hat in LDAP keine Rechte. Der Administrator, definiert als rootdn hat alle Rechte, dies sollte aber niemals root sein. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallöle,
On Fri, 16 Jan 2004 17:51:16 +0100
Dieter Kluenter
Falsch, root hat in LDAP keine Rechte. Der Administrator, definiert als rootdn hat alle Rechte, dies sollte aber niemals root sein.
100% agree. Ich hatte auch nix Gegenteiliges behauptet (es steht da ja auch nirgens "root", sondern "ldapadmin"). Mir ging es hauptsächlich um "by self write", damit die User selber PWs und "unwichtige" Daten ändern können. Cheerio, Michael
Hallo,
Bernd Pörner
Hallo allerseits!
Ich fange gerade an, mit einer auf OpenLDAP basierenden Userverwaltung unter SuSE 9.0 zu experimentieren. Hier das erste wirkliche Problem, auf das ich gestoßen bin und nicht mehr weiter weiß:
Keine Passwortänderung über "passwd" möglich ============================================
Versuche ich ein User-Passwort über "passwd" zu ändern, so geht folgendes ab:
shell> passwd testuser Changing password for testuser Enter login(LDAP) password: New password: Re-enter new password: LDAP password information update failed: Unknown error
Password changed shell>
Das Passwort wurde natürlich nicht geändert. Im Messagelog ist folgende Meldung zu finden:
passwd[6969]: pam_ldap: ldap_modify_s Insufficient access
Kleine Anmerkung dazu: Ich habe das sowohl unter dem betroffenen Useraccount als auch als root versucht.
Du mußt /etc/ldap.conf richtig editieren. ACHTUNG, dies ist die Datei zur Konfiguration von nsswitch, nicht die Konfiguration der LDAP Clients, die ist in /etc/openldap/ldap.conf. Siehe die Bemerkungen zu rootbinddn. Dazu mußt du in /etc/openldap/slapd.conf acl's für das Attribut userPassword richtig setzen, also Schreibrechte erteilen. Lies dazu http://www.openldap.org/doc/admin21/ http://www.openldap.org/faq/data/cache/189.html http://www.openldap.org/doc/admin22/ Bedenke aber daß du noch OpenLDAP-2.1 nutzt und nicht 2.2, dementsprechend sind einige Aussagen in admin22 nicht relevant für dich. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
participants (3)
-
Bernd Pörner
-
Dieter Kluenter
-
Michael Polenske