- A felhasználóink be tudnak jelentkezni LDAP-hitelesítés használatával.
- Megoldottuk, hogy tudjanak jelszót változtatni.
- Telepítettük az OpenLDAP ppolicy overlay-ét
- Munkára is fogtuk: vizsgál minimális jelszóhosszt, elteszi az utolsó három jelszót, és nem engedi, hogy azokat írjuk be új jelszóként. Három rontott kísérlet után zárolja a felhasználói fiókot, és a zárolást 300 másodperc elteltével feloldja. Bele tudjuk írni, ha a felhasználónak meg kell változtatni a jelszavát. Kezeli a lejáró jelszavakat.
- Megoldottuk, hogy az Ubuntu 12.04 kliens szóljon a lejáró, illetve azonnal megváltoztatandó jelszóról a felhasználónak.
- Telepítettünk az LDAP mellé Samba-szervert is.
- Megoldottuk, hogy az smbkrb5pwd overlay szinkronban tartsa a Linuxos és a Windows-os jelszavakat.
- MIT-Kerberos-t is telepítettünk. A Linux klineseken a bejelentkezés az MIT-Kerberos használatával történik, de jelszóváltoztatáskor az LDAP-jelszó változik, ugyanis:
- Az smbkrb5pwd overlay már nem csak a Samba, hanem az MIT-Kerberos jelszavát is szinkronizálja.
A probléma a következő. Nézzünk egy jelszóváltoztatást:
suser1@ubuclient:~$ passwd Enter login(LDAP) password: New password: Password too short New password: Re-enter new password: LDAP password information update failed: Constraint violation Password fails quality checking policy passwd: Engedély megtagadva passwd: password unchangedA piros félkövér sorban megadjuk a jelenlegi jelszavunkat. Oké. A narancssárgánál megadjuk az új jelszót, ami most hat karakternél rövidebb. A PAM alapértelmezés szerint ezt nem szereti. A jelszóváltoztatás el sem jut az LDAP-ig. A kék félkövér sorban hat karakteres jelszót adunk meg. A PAM szerint ez oké, mehet az LDAP-nak, ahol a ppolicy-val a minimális jelszóhosszt nyolc karakterben állapítottuk meg. Az LDAP szól is, hogy a megszorításokat megsértjük, és nem fogadja el a jelszóváltoztatást. Akkor mi a baj?
Nézzük meg a syslog-ot. Fogunk benne ilyet találni:
smbkrb5pwd conn=1040 op=9 : changed password for user suser1@ITTHON.CUCCNa ez a baj. Ha most suser1 nevében kiadunk egy
kdestroy kinit suser1párost, akkor az új, hat karakteres jelszót fogadja el a Kerberos-rendszerünk. Állítsuk vissza a jelszót egy
ldappasswd -D cn=admin,dc=itthon,dc=cucc -w titok -s ujjelszo uid=suser1,ou=People,dc=itthon,dc=cucckiadásával. Lépjünk be egy Windows-os gépbe, és változtassunk ott jelszót. Minthogy a Samba olyan felhasználóval változtat jelszót az LDAP-ban, aki ott vagy admin, vagy az összes szükséges attribútumot írni-olvasni tudja, a jelszó simán megváltozik bármilyenre. A Windows XP alapból legalább öt karakteres jelszót kér, de ennél hosszabbat - LDAP-házirend ide vagy oda - nem kell megadnunk. Na ez a másik baj.
Akkor még egyszer:
- A Linux kliensekről indított exop jelszóváltoztatás beindítja egyszer a ppolicy, másszor az smbkrb5pwd overlay működését. Az első esetleg nem engedi a Linux jelszó (userPassword LDAP-atribútum) megváltoztatását, de a második végigfut, és a többi jelszót cseréli.
- A Windows-kliensekről indított jelszóváltoztatást a Samba nem az aktuális felhasználó nevében érvényesíti. Márpedig a ppolicy overlay csak akkor működik, ha a saját jelszavamat akarom változtatni.
Ezen a két cuki problémán kell még segítenünk.
Nincsenek megjegyzések:
Megjegyzés küldése