У нас есть ферма серверов Linux и несколько компьютеров с Windows, и я наконец перевел нас с двух параллельных систем аутентификации (с использованием Fedora Directory Services и Active Directory) в одну - просто Active Directory. Я настроил LDAPS, и все работает, кроме одного.
Перед развертыванием я проверил, могу ли я изменить свой пароль, и я все еще могу. Но я админ. (На самом деле, я инженер, играющий админа по телевизору, но это уже история для другого раза.)
Ни один из моих пользователей не может изменить свои пароли (используя passwd в командной строке Linux). Они получают ошибку
LDAP password information update failed: Can't contact LDAP server00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
Работа с Google не дает очевидных ответов, но очевидно, что существует некоторая проблема с пользователями, имеющими права изменять свои пароли через LDAPS, когда администраторы могут это сделать. (Я проверил, конечно, у пользователей есть право менять свой пароль.)
Любые идеи?
Вздох. Починил это. Эта ссылка глубоко в нем закопано необходимое исправление: стандарт pam_password md5 в ldap.conf необходимо изменить на pam_password ad.