Hallo, ich hab hier unter SuSE 10.2 LDAP am laufen, authentifiziert über über pam-ldap. Nun gibt es User, die ihr Passwort vergessen. Früher (zu etc/passwd-Zeiten) konnte ich als root das passwort mit "passwd user" einfach zurücksetzen. Unter ldap funktioniert das leider nicht mehr, er will immer das alte Passwort haben, nur weiß das eben keiner mehr. Ich hab jetzt schon im Netz ne Weile gestörbert, es scheint aber irgendwie kein anderer das Problem zu haben. Weiß jemand wo ich drehen muss, damit ich als root die Passwörter ändern kann? Gruß Daniel -- Daniel Spannbauer Software Entwicklung marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4 - 6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Daniel Spannbauer
Hallo,
ich hab hier unter SuSE 10.2 LDAP am laufen, authentifiziert über über pam-ldap.
Nun gibt es User, die ihr Passwort vergessen. Früher (zu etc/passwd-Zeiten) konnte ich als root das passwort mit "passwd user" einfach zurücksetzen. Unter ldap funktioniert das leider nicht mehr, er will immer das alte Passwort haben, nur weiß das eben keiner mehr.
Ich hab jetzt schon im Netz ne Weile gestörbert, es scheint aber irgendwie kein anderer das Problem zu haben.
Weiß jemand wo ich drehen muss, damit ich als root die Passwörter ändern kann?
Verwendest du eine Passwort-Policy? Wird das ppolicy Overlay benutzt? Wird ein anderes Overlay benutzt, z.B. smbkrb5pwd oder nssov? root=/= rootdn, versuche mal das Password mit ldappasswd(1) und der ID rootdn zu modifizieren. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Dieter Kluenter"
Daniel Spannbauer
writes: Hallo,
ich hab hier unter SuSE 10.2 LDAP am laufen, authentifiziert über über pam-ldap.
Nun gibt es User, die ihr Passwort vergessen. Früher (zu etc/passwd-Zeiten) konnte ich als root das passwort mit "passwd user" einfach zurücksetzen. Unter ldap funktioniert das leider nicht mehr, er will immer das alte Passwort haben, nur weiß das eben keiner mehr.
Ich hab jetzt schon im Netz ne Weile gestörbert, es scheint aber irgendwie kein anderer das Problem zu haben.
Weiß jemand wo ich drehen muss, damit ich als root die Passwörter ändern kann?
Verwendest du eine Passwort-Policy? Wird das ppolicy Overlay benutzt? Wird ein anderes Overlay benutzt, z.B. smbkrb5pwd oder nssov? root=/= rootdn, versuche mal das Password mit ldappasswd(1) und der ID rootdn zu modifizieren.
Habe noch zwei Fragen vergessen :-( Wie sieht die /etc/ldap.conf aus? Wie sieht /etc/nsswitch.conf aus? -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Verwendest du eine Passwort-Policy?
Nicht das ich wüsste.
Wird das ppolicy Overlay benutzt?
Nein
Wird ein anderes Overlay benutzt, z.B. smbkrb5pwd oder nssov?
smbk5pwd wird genutzt.
root=/= rootdn, versuche mal das Password mit ldappasswd(1) und der ID rootdn zu modifizieren.
Damit hats geklappt. Nicht so schön einfach wie früher, aber funktioniert.
Habe noch zwei Fragen vergessen :-( Wie sieht die /etc/ldap.conf aus?
base dc=test,dc=de uri ldap://ldap1:389/ ldap://ldap2:389/ bind_policy soft pam_password crypt nss_initgroups_ignoreusers root,ldap nss_schema nis nss_map_attribute uniqueMember member ssl no ldap_version 3 pam_filter objectclass=posixAccount nss_base_passwd ou=People,dc=marco,dc=de nss_base_shadow dc=marco,dc=de nss_base_group dc=marco,dc=de tls_checkpeer no pam_password exop
Wie sieht /etc/nsswitch.conf aus?
passwd: files ldap group: files ldap hosts: files dns networks: files dns services: files protocols: files rpc: files ethers: files netmasks: files netgroup: files nis publickey: files bootparams: files automount: files nis aliases: files Hoffe ich konnte alles beantworten. Gruß Daniel
-Dieter
-- Daniel Spannbauer Software Entwicklung marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4 - 6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Daniel Spannbauer
Verwendest du eine Passwort-Policy?
Nicht das ich wüsste.
Wird das ppolicy Overlay benutzt?
Nein
Wird ein anderes Overlay benutzt, z.B. smbkrb5pwd oder nssov?
smbk5pwd wird genutzt.
gut
root=/= rootdn, versuche mal das Password mit ldappasswd(1) und der ID rootdn zu modifizieren.
Damit hats geklappt. Nicht so schön einfach wie früher, aber funktioniert.
Das läßt sich aber leicht realisieren :-) Einige Tipps: - falls du die Berechtigung hast, ändere slapd.conf authz-regexp gidNumber=(0)\\+uidNumber=(0),cn=peercred,cn=external,cn=auth <your rootdn> - falls nocht nicht geschehen, füge in /etc/sysconfig/openldap START_LDAPI=yes jetzt hast du die Möglichkeit als root, alle Ldaptools ohne rootdn durchzuführen, aallerdings nur über ldapi und SASL EXTERNAL Mechanism, also z.B. ldappasswd -Y EXTERNAL -H ldapi:/// Das kannst du natürlich noch weiter vereinfachen, durch eine /root/.ldaprc oder auch /etc/openldap/ldap.conf Versuche das nssov Overlay zu installieren, damit werden einige Mängel von nsswitch behoben. Dann sollte es auch mit passwd funktionieren. Ich weiss aallerdings nicht, ob Suse das mit einkompiliert hat, das kannst du durch Durchsuchen des Monitor Backends herausfinden, z.B. ldapsearch -Y external -b cn=overlays,cn=monitor -s one monitoredInfo
Habe noch zwei Fragen vergessen :-( Wie sieht die /etc/ldap.conf aus?
base dc=test,dc=de uri ldap://ldap1:389/ ldap://ldap2:389/ bind_policy soft pam_password crypt
Es ist zu spät, dies zu korrieren, aber crypt ist nicht zu empfehlen, http://www.openldap.org/faq/data/cache/344.html
nss_initgroups_ignoreusers root,ldap nss_schema nis nss_map_attribute uniqueMember member ssl no ldap_version 3 pam_filter objectclass=posixAccount nss_base_passwd ou=People,dc=marco,dc=de nss_base_shadow dc=marco,dc=de nss_base_group dc=marco,dc=de
Da stimmt aber etwas nicht, es sei denn, base ist von dir verschleiert worden. [...] -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Damit hats geklappt. Nicht so schön einfach wie früher, aber funktioniert.
Das läßt sich aber leicht realisieren :-) Einige Tipps: - falls du die Berechtigung hast, ändere slapd.conf authz-regexp gidNumber=(0)\\+uidNumber=(0),cn=peercred,cn=external,cn=auth <your rootdn> - falls nocht nicht geschehen, füge in /etc/sysconfig/openldap START_LDAPI=yes jetzt hast du die Möglichkeit als root, alle Ldaptools ohne rootdn durchzuführen, aallerdings nur über ldapi und SASL EXTERNAL Mechanism, also z.B. ldappasswd -Y EXTERNAL -H ldapi:/// Das kannst du natürlich noch weiter vereinfachen, durch eine /root/.ldaprc oder auch /etc/openldap/ldap.conf
Das nennst du einfach? :) Ich hab halt hier Leute, die unbedingt das alte verhalten wollen, sonst würde ich den Aufstand gar nicht machen.
Versuche das nssov Overlay zu installieren, damit werden einige Mängel von nsswitch behoben. Dann sollte es auch mit passwd funktionieren. Ich weiss aallerdings nicht, ob Suse das mit einkompiliert hat, das kannst du durch Durchsuchen des Monitor Backends herausfinden, z.B.
ldapsearch -Y external -b cn=overlays,cn=monitor -s one monitoredInfo
Nein, ist leider nicht installiert, hole ich aber gleich mal nach. Gruß Daniel -- Daniel Spannbauer Software Entwicklung marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4 - 6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Daniel Spannbauer
-
Dieter Kluenter