ldap forza l'utente a cambiare la password

Sto utilizzando CentOS-ds (basato su Redhat-DS e 389 directory server).

Ho la configuration di LDAP e sto lavorando per autenticare gli utenti (e Sudo, che è una funzionalità utile!). anche passwd funziona bene per cambiare le password memorizzate in Ldap. Tuttavia, ho un piccolo problema. Come posso forzare tutti i miei account utente per creare una nuova password dopo l'accesso al server? il modo normale che faccio questo:

chage -d 0 username 

non sembra essere 'ldap-ified'. Come posso forzare la gente a creare nuove password nel loro login successivo (ssh)? Ho bisogno di creare account utente e non voglio veramente che le persone mantengano le password che ho impostato per loro.

* edit – Ho impostato il server LDAP per forzare una modifica della password quando la password viene resettata. Tuttavia, non riesco a trovare un modo per "reimpostare" la password nel modo corretto per triggersrlo. (tutto quello che posso trovare è solo la logging come Directory Manager e la modifica della password) * edit2. Dal momento che stiamo andando molte macchine a LDAP una volta che questa parte è stata capita, ho scritto uno script per eseguire come root per impostare l'authentication LDAP. Forse mi manca qualcosa qui? (server edited edited.)

 #!/bin/sh # authconfig --enableldap --enableldapauth --enablemkhomedir --ldapserver=<server1>,<server2> --ldapbasedn="<basedn>" --update echo 'sudoers: files ldap' >> /etc/nsswitch.conf echo 'base <basedn> timelimit 120 bind_policy soft bind_timelimit 120 idle_timelimit 3600 uri ldap://<server1>/ uri ldap://<server2>/ ssl no tls_cacertdir /etc/openldap/cacerts pam_password md5 sudoers_base ou=SUDOers,<basedn> ' > /etc/ldap.conf 

  • Dovrebbe pam_mkhomedir andare in /etc/pam.d/login, sshd o auth-sistema?
  • Forza SHA quando l'utente modifica la password LDAP usando il passwd
  • Come get il pieno controllo di umask / PAM / permessi?
  • Cache di configuration del client OpenLDAP in FreeBSD
  • Limitare gli utenti LDAP all'authentication senza una shell valida
  • Ricarica /etc/security/limits.conf
  • Come negare l'accesso a account AD disabilitati tramite kerberos in pam_krb5?
  • "Token di authentication" scaduto per utente con password eliminata
  • 3 Solutions collect form web for “ldap forza l'utente a cambiare la password”

    Ho trovato una soluzione: nella voce LDAP degli utenti, impostare ShadowLastChange = 0 Questo obbligherà l'utente a reimpostare la propria password LDAP. Tuttavia, c'è anche un altro errore, quindi è necessario modificare le autorizzazioni (ACL) sul server LDAP (ho avuto l'impostazione predefinita di Allow Self entry modification in OU = Persone) per consentire loro anche di modificare il target ShadownLastChange .

    In caso contrario, non possono modificare il valore e rimangono allo zero, costringendoli a ripetere la propria password each volta che si eseguono il login.

    Prova l'attributo passwordMustChange

    Quando è attivo, questo attributo richiede agli utenti di cambiare le proprie password quando si accede prima alla directory o dopo la reimpostazione della password da parte della Gestione directory. L'utente è tenuto a modificare la propria password anche se le password definite dall'utente sono disabilitate. Se questo attributo è impostato su off, le password assegnate dal gestore directory non dovrebbero seguire nessuna convenzione ovvia e dovrebbero essere difficili da scoprire. Questo attributo è distriggersto per impostazione predefinita.

    Fare riferimento: – http://www.centos.org/docs/5/html/CDS/ag/8.0/User_Account_Management-Managing_the_Password_Policy.html

    @Brian che cambia la shadowlastchange = 0 è in realtà una ctriggers idea. La maggior parte del client LDAP non è progettata per modificare il valore del valore shadowlastchange. Quindi cadrai in un ciclo infinito per cambiare la password each volta che accedi.

    un certo cliente ldap

    nss-pam-ldapd – Questa funzionalità è stata recentemente aggiunta nel log del progetto upstream di nss-pam-ldapd: cercare di aggiornare l'attributo shadowLastChange di un utente sulla modifica della password (l'aggiornamento viene provato solo se l'attributo è presente per iniziare) http: //lists.arthurdejong.org/nss-pam-ldapd-commits/2010/msg00302.html

    sssd –
    Ancora un RFE https://bugzilla.redhat.com/show_bug.cgi?id=739312

    samba-ldap-tools – rifiutato

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.