389 LDAP 客户端身份验证问题

389 LDAP 客户端身份验证问题

我已经创建了 posix 组和 posix 帐户,也能够成功验证客户端,但客户端无法更改密码。错误是password change failed: Confidentiality required``passwd: Authentication token manipulation error

/var/日志/安全


8 月 23 日 05:08:13 RHELQA 密码:pam_ldap(passwd:chauthtok):密码更改失败:密码更改失败:需要保密; user=johanp
8 月 23 日 05:08:34 RHELQA 密码:pam_unix(passwd:chauthtok):用户“johanp”在 /etc/passwd 中不存在
8 月 23 日 05:09:11 RHELQA 密码:pam_unix(passwd:chauthtok):用户/etc/passwd 中不存在“johanp”
8 月 23 日 05:09:11 RHELQA 密码:pam_ldap(passwd:chauthtok):密码更改失败:密码更改失败:需要保密; user=johanp
8 月 23 日 05:10:29 RHELQA 密码:pam_unix(passwd:chauthtok):用户“johanp”在 /etc/passwd 中不存在
8 月 23 日 05:10:40 RHELQA 密码:pam_unix(passwd:chauthtok):用户/etc/passwd 中不存在“johanp”
8 月 23 日 05:10:40 RHELQA 密码:pam_ldap(passwd:chauthtok):密码更改失败:密码更改失败:需要保密; user=johanp
8 月 23 日 06:28:28 RHELQA sshd[3224]:从 xxxx 端口 5466 ssh2 接受 ec2 用户的公钥:RSA SHA256:OqK/b0ailCh32//NbcWAgGtzZK35fOVuvqY0xtnNIPI
8 月 23 日 06:28:28 RHELQA sshd[322 4]: pam_unix(sshd:session):已于 (uid=0)
Aug 23 06:28:30 RHELQA 为用户 ec2-user 打开会话 sudo: ec2-user : TTY=pts/2 ; PWD=/home/ec2-用户 ;用户=根; COMMAND=/bin/bash
8 月 23 日 06:29:07 RHELQA sshd[3257]: pam_unix(sshd:auth): 身份验证失败; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxxx user=johanp
Aug 23 06:29:07 RHELQA sshd[3257]:接受来自 xxxx 端口 5474 ssh2 的 johanp 密码
8 月 23 日 06:29:07 RHELQA sshd [3257]: pam_unix(sshd:session): 会话由 (uid=0)
Aug 23 06:29:12 RHELQA 为用户 johanp 打开 RHELQA 密码:pam_unix(passwd:chauthtok): 用户“johanp”在 /etc/ 中不存在passwd
Aug 23 06:29:23 RHELQA passwd: pam_unix(passwd:chauthtok): 用户“johanp”在 /etc/passwd 中不存在
Aug 23 06:29:23 RHELQA passwd: pam_ldap(passwd:chauthtok): 密码更改失败:密码更改失败:需要保密;用户=johanp

/etc/pam.d/system-auth


#%PAM-1.0
# 该文件是自动生成的。
# 用户更改将在下次运行 authconfig 时被销毁。
需要身份验证 pam_env.so
需要身份验证 pam_faildelay.so 延迟 = 2000000
身份验证足够 pam_unix.so nullok try_first_pass
身份验证必需 pam_succeed_if.so uid >= 1000 Quiet_success
身份验证足够 pam_ldap.so use_first_pass
身份验证需要 pam_deny.so


需要帐户 pam_unix.sobroken_shadow
帐户足够 pam_localuser.so
帐户足够 pam_succeed_if.so uid < 1000 安静
帐户 [default=bad success=ok user_unknown=ignore] pam_ldap.so
需要帐户 pam_permit.so


密码必需 pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
密码足够 pam_unix.so sha512 影子 nullok try_first_pass use_authtok
密码足够 pam_ldap.so use_authtok
需要密码 pam_deny.so


会话 可选 pam_keyinit.so 撤销
会话 必需 pam_limits.so
-session 可选 pam_systemd.so
会话 [success=1 默认=忽略] pam_succeed_if.so crond 中的服务安静 use_uid
会话必需 pam_unix.so
会话可选 pam_ldap.so

/etc/pam.d/密码验证


#%PAM-1.0
# 该文件是自动生成的。
# 用户更改将在下次运行 authconfig 时被销毁。
需要身份验证 pam_env.so
需要身份验证 pam_faildelay.so 延迟 = 2000000
身份验证足够 pam_unix.so nullok try_first_pass
身份验证必需 pam_succeed_if.so uid >= 1000 Quiet_success
身份验证足够 pam_ldap.so use_first_pass
身份验证需要 pam_deny.so


需要帐户 pam_unix.sobroken_shadow
帐户足够 pam_localuser.so
帐户足够 pam_succeed_if.so uid < 1000 安静
帐户 [default=bad success=ok user_unknown=ignore] pam_ldap.so
需要帐户 pam_permit.so


密码必需 pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
密码足够 pam_unix.so sha512 影子 nullok try_first_pass use_authtok
密码足够 pam_ldap.so use_authtok


需要密码 pam_deny.so


会话 可选 pam_keyinit.so 撤销
会话 必需 pam_limits.so
-session 可选 pam_systemd.so
会话 [success=1 默认=忽略] pam_succeed_if.so crond 中的服务安静 use_uid
会话必需 pam_unix.so
会话可选 pam_ldap.so

/etc/openldap/ldap.conf


#
# LDAP 默认值
#


# 有关详细信息,请参阅 ldap.conf(5)
# 该文件应该是全局可读的,但不是全局可写的。


#BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666


#SIZELIMIT 12
#TIMELIMIT 15
#DEREF 从不


TLS_CACERTDIR /etc/openldap/cacerts



# 当 rdns = false URI上的 SASL_NOCANON 时,关闭此功能会中断与 krb5 一起使用的 GSSAPI
ldap://backup.abc.xyz.local/
BASE dc=abc,dc=xyz,dc=local

相关内容