LDAP a centrální zněna hesla z windows

Pokud budou všechny uvedené služby používat autorizaci vůči LDAPu, jde to zařídit. Stačí v smb.conf nastavit ldap passwd sync na yes – Samba pak nebude aktualizovat jen „svá“ hesla, ale zaktualizuje i heslo LDAPu.

27.8.2008 23:30 jan.rok | skóre: 21
Rozbalit Rozbalit vše Re: LDAP a centrální zněna hesla z windows

Tak jsem to zkusil použít: do Squirrelmailu jsem doinstaloval plugin "Change LDAP password", který doplnil možnost změny hesla.
Samotná změna mi ale nefunguje, při zapnutém debugu dostanu výpis:

Connecting to LDAP Server
LDAP protocol version was set to 3
LDAP bind successful.
LDAP server: localhost
BIND-DN: anonymous

--------------------------------------------------------

    * count =>1
    * 0 =>
          o count =>0
          o dn =>uid=jan.pivoda,ou=people,dc=domena,dc=cz


--------------------------------------------------------

LDAP bind successful.
BIND-DN: uid=jan.pivoda,ou=people,dc=domena,dc=cz

--------------------------------------------------------

    * count =>1
    * 0 =>
          o objectclass =>
                + count =>5
                + 0 =>top
                + 1 =>posixAccount
                + 2 =>inetOrgPerson
                + 3 =>suseMailRecipient
                + 4 =>sambaSamAccount
          o 0 =>objectclass
          o uid =>
                + count =>1
                + 0 =>jan.pivoda
          o 1 =>uid
          o userpassword =>
                + count =>1
                + 0 =>{crypt}XYQUnH4mXafSE
          o 2 =>userpassword
          o count =>3
          o dn =>uid=jan.pivoda,ou=people,dc=domena,dc=cz


--------------------------------------------------------

Password type is {crypt}, sub-type DES
New Password: {crypt}I1KXI.DXhldyQ
/usr/local/sbin/mkntpwd 'x' 2>&1
C187B8085FE1D9DFAAD3B435B51404EE:A9F0DD57E1EDAB5BB55A9AC0A99C15EC
LDAP Password change was not successful!
LDAP ERROR => Insufficient access

Vypadá to na nějakou chybu v právech, ale netuším kde.

28.8.2008 08:25 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: LDAP a centrální zněna hesla z windows

do Squirrelmailu jsem doinstaloval plugin "Change LDAP password", který doplnil možnost změny hesla.

Tím se ale změní pouze heslo v LDAPu, hesla pro Windows (Sambu) zůstanou ta původní. Pokud chcete měnit obě hesla najednou, musíte je měnit buď vždy přes Sambu, nebo můžete zkusit pro OpenLDAP použít smbk5pwd overlay, který při jakékoli změně hesla v OpenLDAP změní i hesla pro Sambu.

Vypadá to na nějakou chybu v právech, ale netuším kde.

Má uživatel právo měnit svůj atribut userpassword? Zkontrolujte, jak máte nastavená přístupová práva k LDAPu v /etc/openldap/slapd.conf.

28.8.2008 11:51 jan.rok | skóre: 21
Rozbalit Rozbalit vše Re: LDAP a centrální zněna hesla z windows

V slapd.conf mám toto:

access to attrs=SambaLMPassword,SambaNTPassword
    by dn="cn=Administrator,dc=domena,dc=cz" write
    by * none
## Yast2 samba hack ACL done
access to dn.base=""
        by * read

access to dn.base="cn=Subschema"
        by * read

access to attrs=userPassword,userPKCS12
        by self write
        by * auth

access to attrs=shadowLastChange
        by self write
        by * read

access to *
        by * read

V konfiguráku pluginu je i nějaký parametr, který by to měl právě měnit i v Sambě. Aspoň tak to chápu. Zde je konfigurace pluginu:


$ldap_server = 'localhost';
$ldap_protocol_version = 3;
$ldap_password_field = 'userpassword';
$ldap_user_field = 'uid';
$ldap_base_dn = 'dc=domena,dc=cz';
$ldap_filter = '';
$query_dn = '';
$query_pw = '';
$no_bind_as_user = false;
$ldap_bind_as_manager = true;
$ldap_manager_dn="cn=Manager,$ldap_base_dn";
$ldap_manager_pw='secret';
$change_smb=false;
$smb_passwd='/usr/bin/smbpasswd';
$smb_host='192.168.1.2';
$change_ldapsmb=true;
$mkntpwd='/usr/local/sbin/mkntpwd';
$ldapsmb_lmpassword='sambalmpassword';
$ldapsmb_ntpassword='sambantpassword';
$ldapsmb_object = 'sambasamaccount';
$lcp_crack_dict = '';
$force_smb_sync = true;
$debug = true;

28.8.2008 12:30 jan.rok | skóre: 21
Rozbalit Rozbalit vše Re: LDAP a centrální zněna hesla z windows

Taky jsem pokusem zjistil, že pokud nenakonfiguruju, aby tento plugin zároveň měnil samba password, tak změna hesla pro mail funguje. Chyba tedy bude někde v té části, kdy se má nové heslo použít i pro samba účet.

28.8.2008 13:14 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: LDAP a centrální zněna hesla z windows

access to attrs=SambaLMPassword,SambaNTPassword
    by dn="cn=Administrator,dc=domena,dc=cz" write
    by * none

access to attrs=userPassword,userPKCS12
        by self write
        by * auth

Tím povolíte uživateli změnu svého hesla a klíče PKCS12, a Sambovská hesla může měnit jen Administrátor. Změňte to na

access to attrs=SambaLMPassword,SambaNTPassword
    by dn="cn=Administrator,dc=domena,dc=cz" write
    by self write
    by * none

access to attrs=userPassword,userPKCS12
        by self write
        by * auth

a tím dáte uživateli právo změnit i hesla pro Sambu.

28.8.2008 14:30 jan.rok | skóre: 21
Rozbalit Rozbalit vše Re: LDAP a centrální zněna hesla z windows

Jste hlava! Zdá se, že to funguje. LDAP je pro mě zatím tou největší záhadou, na kterou jsem při mé povrchní znalosti linuxu narazil.
Děkuju.

Dotaz: LDAP a centrální zněna hesla z windows

Odpovědi