我们有一个 Linux 服务器场和一些 Windows 机器,我最终将我们从两个并行身份验证系统(使用 Fedora 目录服务和 Active Directory)移至一个 - 仅 Active Directory。我配置了 LDAPS,除了一件事外,一切都正常。
我在部署之前检查过是否可以更改密码,现在仍然可以。但我是管理员。(实际上,我是一名在电视上扮演管理员的工程师,但那是另一个故事了。)
我的用户都无法更改密码(在 Linux 命令行上使用 passwd)。他们收到错误
LDAP password information update failed: Can't contact LDAP server
00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
在 Google 上搜索了很久,也没有找到任何明显的答案,但显然,当管理员可以更改密码时,用户却有权通过 LDAPS 更改密码,这存在一些问题。(当然,我已经检查过用户是否有权更改密码。)
有任何想法吗?
答案1
唉。修好了。此链接有必要的修复深深埋藏在其中:ldap.conf 中的标准pam_password md5
需要更改为pam_password ad
。