[Solaris10/DSEE7] Wachtwoord wijzigen verboden voor user? - Linux en overige clients

maandag 25 januari 2010 15:05

Acties:

0 Henk 'm!

Topicstarter

Ik heb op 4 servers Solaris 10 U8 x64 geinstalleerd. Op twee hiervan is DSEE 7.0 geinstalleerd en als multi-master geconfigureerd. Op de andere twee is de ldapclient gebruikt om authorisatie te centraliseren.
Ik kan aanloggen, en als ldap-admin onderandere users aanmaken, verwijderen en wijzigen.
Alleen als ik als testuser (1 van de gebruikers die ik heb aangemaakt in de ldap) mijn wachtwoord wil wijzigen gaat dit niet.

code:

1
2
3

$ passwd
passwd: Changing password for failuser
Permission denied

Omdat je ook nog kan aangeven dat je specifiek ldap wil gebruiken het volgende geprobeert:

code:

$ passwd -r ldap
passwd: Changing password for testuser
passwd: User unknown: testuser
Permission denied

Als ik het met de ldapadmin probeer krijg ik een uitgebreidere foutmelding.

code:

1	LDAP error! Insufficient Rights: Insufficient 'write' privilege to the 'userPassword' attribute of entry 'uid=testuser,ou=people,dc....'

Ik zie geen foutmeldingen in mijn errorlog en wel succesvolle pogingen als ik aanlog in mijn accesslog.

Er zijn een paar aci's gedefinieerd. Waarvan ik de laatste als oplossende poging heb geimplementeerd.

code:

dn:
objectClass: top
aci: (targetattr != "aci") (targetscope = "base") (version 3.0;  aci "Enable r
 ead access to rootdse for anonymous users";  allow(read,search,compare) user
 dn="ldap:///anyone"; )
aci: (targetattr = "*") (version 3.0;  acl "Enable full access for Administrat
 ors group";  allow (all)(groupdn = "ldap:///cn=Administrators,cn=config"); )
aci: (targetattr = "userPassword") ( version 3.0; acl "allow userpassword self
  modification";  allow (write) userdn = "ldap:///self";)

Dit stukje komt uit de dse.ldif.

Heeft iemand een idee wat mij in de juiste richting kan sturen? Door de melding uit de ldapadmin ben ik gaan denken aan de aci's, maar die zijn zo beperkt dat ik daar eigenlijk niet echt een fout inzie.

maandag 25 januari 2010 17:46

Acties:

0 Henk 'm!

Rainmaker

RHCDS

teigetjuh schreef op maandag 25 januari 2010 @ 15:05:
Er zijn een paar aci's gedefinieerd. Waarvan ik de laatste als oplossende poging heb geimplementeerd.
code:
1
2
3
4
5
6
7
8
9
dn:
objectClass: top
aci: (targetattr != "aci") (targetscope = "base") (version 3.0;  aci "Enable r
 ead access to rootdse for anonymous users";  allow(read,search,compare) user
 dn="ldap:///anyone"; )
aci: (targetattr = "*") (version 3.0;  acl "Enable full access for Administrat
 ors group";  allow (all)(groupdn = "ldap:///cn=Administrators,cn=config"); )
aci: (targetattr = "userPassword") ( version 3.0; acl "allow userpassword self
  modification";  allow (write) userdn = "ldap:///self";)
Dit stukje komt uit de dse.ldif.

Heeft iemand een idee wat mij in de juiste richting kan sturen? Door de melding uit de ldapadmin ben ik gaan denken aan de aci's, maar die zijn zo beperkt dat ik daar eigenlijk niet echt een fout inzie.

Het zijn, zoals de foutmelding al aangeeft je ACL's.

De ACL's die ik heb op OpenLDAP

code:

access to attrs=userPassword
        by dn="cn=Admin,dc=xx,dc=local" write
        by dn="cn=binddn,dc=xx,dc=local" read
        by self write
        by anonymous auth
        by * none

Geen idee of dit je helpt, maar ik heb geen ervaring met DSEE.

*edit:

$ passwd -r ldap
passwd: Changing password for testuser
passwd: User unknown: testuser
Permission denied

Lijkt erop alsof je de binddn user geen rechten hebt gegeven om genoeg velden uit te lezen (cn, uid, UserPassword)

[ Voor 8% gewijzigd door Rainmaker op 25-01-2010 17:48 ]

We are pentium of borg. Division is futile. You will be approximated.

Reageer