SSSD 密码更改不适用于 LDAP 后端

tag-icon tag-icon authentication ldap kerberos
SSSD 密码更改不适用于 LDAP 后端 
Environment info:

AD on win 2k8r2  
Ubuntu 12.04.5 LTS  
SSSD v1.8.6  

everything is in the same vlan

我在 Ubuntu 服务器上使用了 LDAP / SSSD 解决方案。身份验证过程正常运行 - 即用户可以正常登录并执行任何需要的操作。

当任何人尝试更改密码时,他们会看到以下内容:

user@host:~$ passwd
Current Password: 
New Password: 
Reenter new Password: 
Password change failed. 
passwd: Authentication token manipulation error
passwd: password unchanged

新密码满足所有 AD 要求。

我在 /var/log/auth.log 中看到此信息:

Aug 18 15:22:12 hostname passwd[7544]: pam_unix(passwd:chauthtok): user "user" does not exist in /etc/passwd
Aug 18 15:22:16 hostname passwd[7544]: pam_unix(passwd:chauthtok): user "user" does not exist in /etc/passwd
Aug 18 15:22:21 hostname passwd[7544]: pam_sss(passwd:chauthtok): system info: [Generic error (see e-text)]
Aug 18 15:22:21 hostname passwd[7544]: pam_sss(passwd:chauthtok): User info message: Password change failed. 
Aug 18 15:22:21 hostname passwd[7544]: pam_sss(passwd:chauthtok): Password change failed for user user: 20 (Authentication token manipulation error)

我尝试在 sssd.conf 中为 ldap_default_bind_dn 使用几个不同的设置,所有这些设置都允许用户进行身份验证,但不允许更改密码。不知道是什么阻止了它 - 感觉应该只是配置更改,一切都会好起来,但不确定我需要更改什么。

配置文件:

/etc/sssd/sssd.conf

[sssd]  
config_file_version = 2  
domains = LDAP  
services = nss, pam  
debug_level = 10  

[nss] 

[pam]

[domain/LDAP]
enumerate = false
id_provider = ldap
#ldap_access_filter = memberOf=cn=XXXX,cn=XXXX,dc=XXXX,dc=XXXX
ldap_uri = ldap://xxx.xxx.xxx.xxx # AD server ip
ldap_search_base = ou=XXXX,dc=XXXX,dc=XXXX
ldap_tls_reqcert = demand
ldap_id_use_start_tls = false
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
ldap_schema = rfc2307bis
ldap_user_object_class = person
ldap_group_object_class = group
ldap_default_bind_dn = cn=XXXX,cn=XXXX,dc=XXXX,dc=XXXX
ldap_default_authtok_type = password
ldap_default_authtok = *********
ldap_user_gecos = displayName
ldap_user_home_directory = unixHomeDirectory
min_id = 10000
ldap_user_principal = userPrincipalName
ldap_force_upper_case_realm = True

auth_provider = krb5
chpass_provider = krb5
krb5_server = xxx.xxx.xxx.xxx # AD server ip
krb5_kpasswd = xxx.xxx.xxx.xxx # AD Server ip
krb5_realm = XXXX.XXXX #Upper caseof the domain
krb5_changepw_principle = kadmin/changepw
krb5_auth_timeout = 15
krb5_store_password_if_offline = true
krb5_renewable_lifetime = 14d
krb5_renew_interval = 60
debug_level = 9

/etc/krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = XXXX.XXXX # capitalised domain
realm = XXXX.XXXX # capitalised domain
dns_lookup_realm = true
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
default_etypes = arcfour-hmac-md5
default_etypes_des = des-cbc-crc
default_tkt_enctypes = arcfour-hmac-md5
default_tgs_enctypes = arcfour-hmac-md5

[realms]
XXXX.XXXX= {
kdc = xxx.xxx.xxx.xxx:88 # AD Server IP
kpasswd_server = xxx.xxx.xxx.xxx:464 #AD server IP
default_domain = XXXX.XXXX # Capitalised domain
}

[domain_realm]
.xxxx.xxxx = XXXX.XXXX # lower = CAP domain
xxxx.xxxx = XXXX.XXXX

/etc/pam.d/通用密码:

password    [success=2 default=ignore]  pam_unix.so obscure sha512
password    sufficient                  pam_sss.so
password    requisite           pam_deny.so
password    required            pam_permit.so

答案1

经过大量研究和测试。这是允许用户passwd在使用带有 ldap 后端的 SSSD 时使用函数更改密码的答案。如果他们确实可以通过 ssh 使用密码验证 SSSD 客户端,那么更改密码的问题(产生以下问题:“passwd:身份验证令牌操作错误”)来自 LDAP ACL。需要对 userPassword 属性进行自写访问

使用 olc 时,将以下内容添加到 ldap 配置文件中。编辑olcDatabase={2}bdb.ldif olcAccess

{0}to attrs=userPassword,shadowLastChange by self write by anonymous 
            auth by dn="cn=Manager,dc=domain.com" write by * none

确保添加更多内容以允许读取和写入您想要的任何其他属性。

olcAccess: {2}to * by * read by users read by anonymous auth

您只需为所有用户执行一次即可。...{0}to attrs=userPassword就像我上面列出的一样,它作为 ACL 应用于 ldap 服务器并全局应用。如果您olcDatabase={2}bdb.ldif olcAccess手动编辑,则必须更改 CRC,但这很容易,因为有很多关于它的自述文件。

另一个用户发布了在客户端上更改绑定凭据的操作,/etc/sssd/sssd.conf如下所示:

ldap_default_bind_dn = cn=Manager,dc=mydomain,dc=fqdn.com ldap_default_authtok_type = password ldap_default_auttok = secret

修改/etc/sssd/sssd.conf绑定凭据对我来说不起作用,但允许用户自写他们的用户密码属性却起作用...您可能并不总是想要这样做,但是为了在具有 SSSD 和 LDAP 后端的 Linux 客户端上使用 passwd 函数,您需要它。

答案2

固定的。

这与 sssd.conf 中的 ldap 绑定有关。作为临时解决方法,我使用了管理员用户/密码,并且可以使用 passwd 更改密码。我对 AD 一无所知,所以我会多尝试一下,但至少我知道问题出在绑定用户的权限上。

答案3

将以下内容添加到您的 /etc/sssd/sssd.conf:

[domain/LDAP]
...
# changing passwords not working otherwise
# see https://fedorahosted.org/sssd/ticket/2204
krb5_use_enterprise_principal = false

相关内容