服务器 Gind.cn
  1. 服务器 Gind.cn
  3. ArchLinux上的OpenLDAP用户不能更改passwd
Intereting Posts
物业pipe理公司正在为租户build立VPN 用4096扇区大小的克隆nvme驱动器与512扇区大小的ssd Nginx反向代理没有SSL终止 如何在新的服务器上恢复Windows 2008R2 AD快照? 每个虚拟主机使用通配符子域中的mod_rewrite Dovecot / Postfix在我错误地收到的电子邮件上作弊 我需要每个虚拟机中的防病毒程序吗? 范围请求在Apache或Java Servlet中超过10GB后超时 为虚拟机制作Linux Red Hat Ent ES的可启动映像 如何过滤内联Suricata IPS上的stream量? 如何让Windows上的TortoiseHg(Mercurial)使用生成的私钥文件(Puttygen)? Atrrib CMD访问被拒绝 清漆会cachinglogin到用户页面并提供这些页面 多余的_msdcs。 正向查找区域复制失败,我该如何检查使用它? 我可以删除它吗? video监控服务器软件

ArchLinux上的OpenLDAP用户不能更改passwd

我开办了办公室,我需要集中login和主目录工作。 由于所有的工作站都要运行Arch和不同LDAP版本的问题,我最终得出的结论是LDAP服务器也需要Arch。

我已经在服务器和工作站上完全安装了Arch。 都有Arch的“base”和“base-devel”软件包组,安装了NTP,OpenSSH和OpenLDAP,服务器也有nss-pamldapd。 现在已经很多了。

  1. 我遵循https://wiki.archlinux.org/index.php/OpenLDAP,但必须以不同的方式执行以下操作(并且尚未设置SSL或TLS):
    • 在复制DB_CONFIG.example之前,我运行了updatedb,并使用了locate DB_CONFIG
    • 我必须用-u选项运行slaptest来禁止数据库警告
    • 在运行slaptest之后,我在/etc/openldap/slap.d上做了chown -R ldap:ldap
    • systemctl启动slapd失败,所以sudo slapd -u ldap -g ldap,但sudo slapd工作。
    • 运行sudo slapd后,我杀了slapd和chown -R ldap:ldap / var / lib / openldap但是systemctl启动slapd仍然失败。
    • 后chown -r ldap:ldap / etc / openldap我终于可以使用systemctl启动slapd了……我认为这是当ldap用户启动时不能被ldap读取的模式文件夹。
  2. 遵循https://wiki.archlinux.org/index.php/LDAP_Authentication
    • 我没有启动或启用nscd
  3. 我现在可以在工作站上用LDAP用户login,并且可以使用我的rootdn更新目录。

问题:用户不能使用passwd更改密码。 LPAD返回: 

password change failed: Insufficient access

/etc/slapd.conf(在服务器上): 

 include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema pidfile /run/openldap/slapd.pid argsfile /run/openldap/slapd.args access to attrs=userPassword by self write by anonymous auth by * none access to * by self write by * read database bdb suffix "dc=testing,dc=com" rootdn "cn=Manager,dc=testing,dc=com" rootpw {SSHA}ntsD5qrvHJtMflarQPhJzapiEEnqH2/L directory /var/lib/openldap/openldap-data index objectClass eq index uid pres,eq index mail pres,sub,eq index cn pres,sub,eq index sn pres,sub,eq index dc eq

/etc/openldap/ldap.conf(在客户端上): 

 BASE dc=testing,dc=com URI ldap://192.168.1.50

/etc/nslcd.conf(在客户端上): 

 uid nslcd gid nslcd uri ldap://192.168.1.50/ base dc=testing,dc=com

/etc/pam.d/system-auth(在客户端): 

 auth sufficient pam_ldap.so auth required pam_unix.so try_first_pass nullok auth optional pam_permit.so auth required pam_env.so account sufficient pam_ldap.so account required pam_unix.so account optional pam_permit.so account required pam_time.so password sufficient pam_ldap.so password required pam_unix.so try_first_pass nullok sha512 shadow password optional pam_permit.so session required pam_limits.so session required pam_unix.so session optional pam_ldap.so session optional pam_permit.so

/etc/pam.d/passwd(在客户端): 

 password sufficient pam_ldap.so password required pam_unix.so sha512 shadow nullok

最后,我的问题是:

  1. 首先,哪里是阅读这种东西最好的地方?
  2. 其次,我该如何debugging自己? Arch使用systemd,systemd系统的系统日志在哪里?
  3. 什么是更新和定位mlocate包? 我需要使用它吗? 在archwiki中没有提到,但在许多其他地方提到过。
  4. 而实际的问题是:为什么我的用户不能用passwd来更改密码