ldap forza l'utente a cambiare la password

Sto utilizzando CentOS-ds (basato su Redhat-DS e 389 directory server).

Ho la configuration di LDAP e sto lavorando per autenticare gli utenti (e Sudo, che è una funzionalità utile!). anche passwd funziona bene per cambiare le password memorizzate in Ldap. Tuttavia, ho un piccolo problema. Come posso forzare tutti i miei account utente per creare una nuova password dopo l'accesso al server? il modo normale che faccio questo:

  • OpenSSH su Centos 6.5
  • voce pg_hba.conf per host
  • Come creare automaticamente account utente (SSH + LDAP)
  • Come rimuovere i link "update-alternatives" su Linux
  • Installazione dei pacchetti yum su sistema CentOS 6 in modalità airgapped (offline)
  • Perché '-o sec = krb5p' non è necessario nel command mount?
  • chage -d 0 username 

    non sembra essere 'ldap-ified'. Come posso forzare la gente a creare nuove password nel loro login successivo (ssh)? Ho bisogno di creare account utente e non voglio veramente che le persone mantengano le password che ho impostato per loro.

    * edit – Ho impostato il server LDAP per forzare una modifica della password quando la password viene resettata. Tuttavia, non riesco a trovare un modo per "reimpostare" la password nel modo corretto per triggersrlo. (tutto quello che posso trovare è solo la logging come Directory Manager e la modifica della password) * edit2. Dal momento che stiamo andando molte macchine a LDAP una volta che questa parte è stata capita, ho scritto uno script per eseguire come root per impostare l'authentication LDAP. Forse mi manca qualcosa qui? (server edited edited.)

     #!/bin/sh # authconfig --enableldap --enableldapauth --enablemkhomedir --ldapserver=<server1>,<server2> --ldapbasedn="<basedn>" --update echo 'sudoers: files ldap' >> /etc/nsswitch.conf echo 'base <basedn> timelimit 120 bind_policy soft bind_timelimit 120 idle_timelimit 3600 uri ldap://<server1>/ uri ldap://<server2>/ ssl no tls_cacertdir /etc/openldap/cacerts pam_password md5 sudoers_base ou=SUDOers,<basedn> ' > /etc/ldap.conf 

  • Nessuna Root DSE è stata restituita da OpenLDAP
  • Yum notifica bash aggiornato, ma il binario riport ancora la vecchia versione
  • Buona soluzione multipath NFS
  • Centos Xen ridimensiona la partizione Domu e il gruppo di volumi
  • `GLIBC_2.7 'non trovato
  • Perché utilizzare CentOS invece di Fedora
  • 3 Solutions collect form web for “ldap forza l'utente a cambiare la password”

    Ho trovato una soluzione: nella voce LDAP degli utenti, impostare ShadowLastChange = 0 Questo obbligherà l'utente a reimpostare la propria password LDAP. Tuttavia, c'è anche un altro errore, quindi è necessario modificare le autorizzazioni (ACL) sul server LDAP (ho avuto l'impostazione predefinita di Allow Self entry modification in OU = Persone) per consentire loro anche di modificare il target ShadownLastChange .

    In caso contrario, non possono modificare il valore e rimangono allo zero, costringendoli a ripetere la propria password each volta che si eseguono il login.

    Prova l'attributo passwordMustChange

    Quando è attivo, questo attributo richiede agli utenti di cambiare le proprie password quando si accede prima alla directory o dopo la reimpostazione della password da parte della Gestione directory. L'utente è tenuto a modificare la propria password anche se le password definite dall'utente sono disabilitate. Se questo attributo è impostato su off, le password assegnate dal gestore directory non dovrebbero seguire nessuna convenzione ovvia e dovrebbero essere difficili da scoprire. Questo attributo è distriggersto per impostazione predefinita.

    Fare riferimento: – http://www.centos.org/docs/5/html/CDS/ag/8.0/User_Account_Management-Managing_the_Password_Policy.html

    @Brian che cambia la shadowlastchange = 0 è in realtà una ctriggers idea. La maggior parte del client LDAP non è progettata per modificare il valore del valore shadowlastchange. Quindi cadrai in un ciclo infinito per cambiare la password each volta che accedi.

    un certo cliente ldap

    nss-pam-ldapd – Questa funzionalità è stata recentemente aggiunta nel log del progetto upstream di nss-pam-ldapd: cercare di aggiornare l'attributo shadowLastChange di un utente sulla modifica della password (l'aggiornamento viene provato solo se l'attributo è presente per iniziare) http: //lists.arthurdejong.org/nss-pam-ldapd-commits/2010/msg00302.html

    sssd –
    Ancora un RFE https://bugzilla.redhat.com/show_bug.cgi?id=739312

    samba-ldap-tools – rifiutato

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.