Re: LDAP: Neues Passwort erzwingen

To: debian-user-german@lists.debian.org
Cc: geffers@informatik.rwth-aachen.de
Subject: Re: LDAP: Neues Passwort erzwingen
From: Michael Biebl <biebl@teco.edu>
Date: Thu, 15 Apr 2004 20:44:49 -0400
Message-id: <[🔎] 407F2C81.5020001@teco.edu>
In-reply-to: <[🔎] 1081943779.15931.26.camel@lincoln.informatik.rwth-aachen.de>
References: <[🔎] 1081943779.15931.26.camel@lincoln.informatik.rwth-aachen.de>

Willi Geffers wrote:

Hallo zusammen,

unser LDAP-Server soll nach Ablauf von 90 Tagen beim Einloggen ein neues
Passwort verlangen. Dazu haben wir den Benutzern in der slapd.conf
Schreibzugriffe auf die Attribute userPassword und shadowLastChange
gegeben:

    access to attribute=userPassword,shadowLastChange
        by dn="cn=admin,dc=rbi,dc=informatik,dc=rwth-aachen,dc=de" write
        by anonymous auth
        by self write
        by * none

Damit kann jeder Benutzer sein Passwort und den Zaehler fuer die letzte
Aenderung veraendern. Leider sieht sich Linux jetzt aber nicht mehr dazu
genoetigt, nach Ablauf von 90 Tagen (-> shadowMax) ein neues Passwort zu
erfragen.

Nehme ich die Schreibrechte fuer shadowLastChange weg, fragt das System
nach 90 Tagen beim Einloggen nach einem neuen Passwort. Das wird dann
auch auf dem LDAP-Server eingetragen. Da der Benutzer aber keinen
Schreibzugriff auf shadowLastChange hat, gibt der Server eine
entsprechende Fehlermeldung aus und aktualisiert diesen Eintrag nicht.
Beim naechsten Einloggen wird dann folgerichtig wieder nach einem neuen
Passwort gefragt. Grrrr...

Hat jemand einen Tipp, wie ich Linux davon ueberzeugen kann, ein neues
Passwort zu verlangen und mit dem neuen Passwort auch den Zaehler fuer
die letzte Aenderung neu zu setzen?

Danke
Willi


Hallo Willi,

ich habe ein ähnliches Szenario wie du es schilderst.
Wenn ein User das Passwort ändert (mit passwd) wird userPassword und
shadowLastChange entsprechend geändert. Dazu war es bei mir nicht nötig
den Usern explizit Schreibrechte auf shadowLastChange zu geben.
Das System ist Woody mit Standard Packeten.

Wenn du als root mit "passwd username" das Passwort eines LDAP users
änderst, wirst du da nach dem Passwort gefragt?
Ist bei dir in /etc/ldap.secret das Password für
cn=admin,dc=rbi,dc=informatik,dc=rwth-aachen,dc=de gesetzt?
Wie sieht deine pam_ldap.conf und libnss-ldap.conf aus, hast du da unter
binddn/rootbinddn etwas eingetragen?
Da fällt mir noch ein: Verwendest du ldappasswd oder passwd?

Da passwd mit dem SUID bit läuft und wenn rootbinddn gesetzt ist (mitPasswort in ldap.secret) hat es glaube ich deshalb vollen Zugriff aufdas shadowLastChange Attribut.

Einfach mal ausprobieren.

Gruss,
Michael

--
------------------------------------------------------------
E-Mail: biebl@teco.edu
WWW: http://www.teco.edu/

TecO (Telecooperation Office) Vincenz-Priessnitz-Str.1
University of Karlsruhe 76131 Karlsruhe, Germany
------------------------------------------------------------

Reply to:

Follow-Ups:
- Re: LDAP: Neues Passwort erzwingen
  - From: Willi Geffers <geffers@informatik.rwth-aachen.de>

References:
- LDAP: Neues Passwort erzwingen
  - From: Willi Geffers <geffers@informatik.rwth-aachen.de>

Prev by Date: sshd: VerifyReverseMapping
Next by Date: Re: dns problem
Previous by thread: LDAP: Neues Passwort erzwingen
Next by thread: Re: LDAP: Neues Passwort erzwingen
Index(es):
- Date
- Thread