主页 / server / 问题 / 1049748
Accepted
ProlucidDavid
Asked: 2021-01-14 17:28:25 +0800 CST

OpenLDAP 实现只允许 root 用户设置帐户密码

  • 772

我正在使用需要使用 AWS ParallelCluster 资产进行一些高性能处理的应用程序。在初始设置之后,我们需要能够添加/删除用户帐户,我正在尝试根据这些说明进行设置,这些说明解释了如何为此目的在集群头上设置一个简单的 openLDAP 目录服务。

我已成功遵循这些说明,并且能够创建 LDAP 非管理员帐户。以 root 身份登录时,我可以使用以下命令设置此帐户的密码:

sudo ldappasswd -H ldap://localhost:389 -x -D "cn=ldapadmin,dc=<stack_name>,dc=internal" -W -S uid=<username>,ou=Users,dc=<stack_name>,dc=internal -y <path/to/file/with/LDAP/password>

此时,我可以切换到新的 LDAP 非管理员帐户。不幸的是,如果以该用户身份登录时,我执行命令 passwd,我会收到以下错误:

password change failed: Insufficient access
passwd: Authentication token manipulation error

如何配置我的 openLDAP 应用程序,以便非管理员用户可以更改自己的密码?

openldap amazon-web-services hpc

1 个回答

  1. Best Answer

    您链接的说明似乎让您创建了一个没有访问控制的 OpenLDAP 数据库,这基本上意味着 olcRootDn 写入和 * 读取。(您的所有 OpenLDAP 用户都可以读取数据库中的所有内容,如果他们能弄清楚如何绕过默认的 500 读取限制,甚至可以将其转储)。您需要先进行调整。

    最小可行:

    dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to attrs=userPassword
  by self write
  by * auth
olcAccess: {1}to *
  by * read
    • 0

相关问题