Ich arbeite an einer Anwendung, die die Verwendung von AWS ParallelCluster-Assets für einige Hochleistungsverarbeitungen erfordert. Nach der Ersteinrichtung müssen wir in der Lage sein, Benutzerkonten hinzuzufügen/zu entfernen, und ich versuche, dies entsprechend einzurichtendiese AnweisungenDarin wird erklärt, wie zu diesem Zweck ein einfacher OpenLDAP-Verzeichnisdienst auf dem Cluster-Kopf eingerichtet wird.
Ich habe diese Anweisungen erfolgreich befolgt und kann nun ein LDAP-Konto ohne Administratorrechte erstellen. Wenn ich als Root angemeldet bin, kann ich das Passwort für dieses Konto mit diesem Befehl festlegen:
sudo ldappasswd -H ldap://localhost:389 -x -D "cn=ldapadmin,dc=<stack_name>,dc=internal" -W -S uid=<username>,ou=Users,dc=<stack_name>,dc=internal -y <path/to/file/with/LDAP/password>
An diesem Punkt kann ich zum neuen LDAP-Nicht-Administratorkonto wechseln. Wenn ich als dieser Benutzer angemeldet bin und den Befehl passwd ausführe, erhalte ich leider die folgende Fehlermeldung:
password change failed: Insufficient access
passwd: Authentication token manipulation error
Wie kann ich meine OpenLDAP-Anwendung so konfigurieren, dass Benutzer ohne Administratorrechte ihr eigenes Passwort ändern können?
Antwort1
Die Anweisungen, auf die Sie verweisen, scheinen Sie dazu zu bringen, eine OpenLDAP-Datenbank ohne Zugriffskontrolle zu erstellen, was im Wesentlichen bedeutet, dass olcRootDn schreibt und * liest. (Alle Ihre OpenLDAP-Benutzer können alles in der Datenbank lesen und sie sogar sichern, wenn sie herausfinden, wie sie das standardmäßige Leselimit von 500 umgehen können.) Das sollten Sie zuerst anpassen.
Minimal durchführbar:
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to attrs=userPassword
by self write
by * auth
olcAccess: {1}to *
by * read