OpenLDAP:允许非 rootdn 管理员设置其他用户的密码

tag-icon tag-icon openldap access-control-list
OpenLDAP:允许非 rootdn 管理员设置其他用户的密码

我不知道如何在 OpenLDAP 2.4(旧的 slapd.conf 方法)中配置适当的 ACL,以允许非 rootdn 管理员更改其他用户的密码。

我有一个简单的 LDAP 结构:

    dc=vsp
       |
    dc=mgmt
     |    |
ou=People cn=admin (NOT the rootdn!!)

我有以下 ACL:

access to attrs=userPassword
        by dn="cn=admin,dc=mgmt,dc=vsp" write
        by self write
        by anonymous auth
        by * none
access to *
        by dn="cn=admin,dc=mgmt,dc=vsp" write
        by self write
        by * read

我已经使用 ldapwhoami 验证了管理员密码——有效。

但更改其他用户的密码失败:

[user@host ~]# ldappasswd -H ldap://[a.b.c.d]:389 -x -w xxxxxxxx -D "cn=admin,dc=mgmt,dc=vsp" "uid=jdoe,ou=People,dc=mgmt,dc=vsp" -S
New password: 
Re-enter new password: 
Result: Insufficient access (50)

我尝试了很多个小时之后还是卡住了。

谢谢,约翰

相关内容