pwdReset = TRUE인 경우 PAM으로 LDAP 클라이언트를 인증할 수 없습니다.

수많은 웹과 튜토리얼을 검색했지만 내 문제에 대한 답을 찾을 수 없습니다.

비밀번호 정책 오버레이를 사용하여 OpenSUSE 12.3 시스템에 OpenLDAP 2.4를 설정했습니다. 클라이언트는 libnss-ldap 및 libpam-ldap 패키지가 설치된 Linux Mint 17.1 시스템입니다. 클라이언트와 서버는 자체 서명된 인증서와 함께 TLS를 사용하도록 구성됩니다(서버는 CA로 작동하고 자체 인증서에 서명함). pwdReset: TRUE사용자에게 속성을 추가하기 전까지는 모든 것이 잘 작동합니다 .

내 의도는사용자가 다음 로그인 시 비밀번호를 변경하도록 강제. 그러나 이 속성을 설정한 후에는 사용자가 더 이상 인증할 수 없습니다. 사용자를 'su'(또는 로그인)하려고 하면 "인증 실패" 오류가 발생합니다. 또한 syslog에는 다음 메시지가 표시됩니다.

Mar 4 07:27:11 client-desktop nslcd[3198]: [90cde7] <authc="johndoe"> ldap_result() failed: Insufficient access: Operations are restricted to bind/unbind/abandon/StartTLS/modify password
Mar 4 07:27:11 client-desktop nslcd[3198]: [dcc233] <authc="johndoe"> cn=John Doe,ou=people,cd=domain,dc=com: lookup failed: Invalid credentials

이 메시지는 사용자 자격 증명이 더 이상 유효하지 않다는 것을 알려줍니다. 이는 비밀번호를 재설정했지만 사용자에게 비밀번호를 변경해야 한다는 메시지가 표시되지 않기 때문에 이는 타당합니다. 또한 클라이언트가 전문가가 아니기 때문에 ldappasswd와 같은 openldap 유틸리티의 사용을 방지하고 싶습니다. 따라서 나는 그들이 자신의 비밀번호를 변경하기 위해 계속해서 일반적인 passwd 명령을 사용하기를 원합니다. 최소한 pwdReset이 설정되지 않은 경우에는 가능합니다. 또한 속성을 0으로 설정하여 이 동작을 수행할 수 있지만 shadowLastChange최소 8자 이상의 비밀번호 사용을 강제하려고 하기 때문에 비밀번호 정책으로 모든 작업을 수행하고 싶습니다. 그건 그렇고, 이 기능은 완벽하게 작동합니다.

이는 누락된 내용이 있는지 확인할 수 있도록 내 기본 DN을 발췌한 것입니다. pwdReset사용자에서는 TRUE로 설정되고 정책 pwdMustChange자체에서는 변수가 TRUE로 설정됩니다.

# John Doe, people, domain.com
dn: cn=John Doe,ou=people,dc=domain,dc=com
cn: John Doe
sn: Doe
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
uid: johndoe
uidNumber: 1003
gidNumber: 1000
homeDirectory: /home/johndoe
loginShell: /bin/bash
userPassword: e1NTSEF9VWFSMDVsSGNIWFMxcnJ5VzBtaWRkOHFmTDE1ai9RYlQ=
pwdReset: TRUE # This attribute only appears if I explicitly request it 

# policies, domain.com
dn: ou=policies,dc=domain,dc=com
objectClass: top
objectClass: organizationalUnit
ou: policies

(다음 속성은 cn=default,ou=policies에 속하지만 여기에 뭔가를 쓰지 않으면 어떤 이유로든 표시되지 않습니다)

pwdInHistory: 3
pwdLockout: TRUE
pwdMaxFailure: 3
pwdLockoutDuration: 30
pwdMustChange: TRUE
pwdSafeModify: FALSE
pwdAllowUserChange: TRUE
pwdFailureCountInterval: 0
pwdGraceAuthNLimit: 0

다음은 내 백엔드 및 비밀번호 정책의 구성입니다.

# {1}hdb, config
dn: olcDatabase={1}hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=domain,dc=com
olcAccess: {0}to attrs=userPassword by self write by * auth
olcAccess: {1}to attrs=shadowLastChange by self write by * read
olcAccess: {2}to attrs=userPKCS12 by self read by * none
olcAccess: {3}to * by * read
olcRootDN: cn=admin,dc=domain,dc=com
olcRootPW: {SSHA}############## omited
olcDbCacheSize: 10000
olcDbCheckpoint: 1024 5
olcDbConfig: {0}set_cachesize 0 15000000 1
olcDbConfig: {1}set_lg_regionmax 262144
olcDbConfig: {2}set_lg_bsize 2097152
olcDbConfig: {3}set_flags DB_LOG_AUTOREMOVE
olcDbConfig: {4}set_lk_max_locks 30000
olcDbConfig: {5}set_lk_max_objects 30000
olcDbIDLcacheSize: 30000
olcDbIndex: objectclass eq
[...more indexes...]

# {0}ppolicy, {1}hdb, config
dn: olcOverlay={0}ppolicy,olcDatabase={1}hdb,cn=config
objectClass: top
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: {0}ppolicy
olcPPolicyDefault: cn=default,ou=policies,dc=domain,dc=com
olcPPolicyHashCleartext: TRUE

(다음 두 속성은 {0}ppolicy에도 속합니다)

olcPPolicyUseLockout: FALSE 
olcPPolicyForwardUpdates: FALSE

누군가가 이것에 대해 밝힐 수 있기를 바랍니다. 어떤 도움이라도 대단히 감사합니다!

문안 인사

편집하다:

사용자 인증을 방해하는 요소에 대한 통찰력을 얻기 위해 기본 정책을 일부 수정했습니다. pwdMustChange이 TRUE로 설정되고 pwdReset또한 TRUE로 설정된 경우(사용자 항목의 이 항목) 'su: 인증 실패' 오류와 함께 사용자 인증이 실패한다는 것을 깨달았습니다 . 그러나 pwdReset가 TRUE이고 pwdMustChangeFALSE이면 해당 사용자로 원하는 만큼 로그인할 수 있습니다. 나는 이것을 위해 두 개의 변수를 갖는 것이 쓸모없고 직관에 어긋난다고 생각합니다. 대신 단일 변수는 사용자 항목에만 사용해야 합니다( pwdReset또는 로 호출하려는 항목) pwdMustChange.