![389 LDAP 클라이언트 인증 문제 [CENTOS 7]](https://linux55.com/image/116507/389%20LDAP%20%ED%81%B4%EB%9D%BC%EC%9D%B4%EC%96%B8%ED%8A%B8%20%EC%9D%B8%EC%A6%9D%20%EB%AC%B8%EC%A0%9C%20%5BCENTOS%207%5D.png)
posix 그룹과 posix 계정을 만들었고 클라이언트를 성공적으로 인증할 수 있지만 클라이언트가 비밀번호를 변경할 수 없습니다. 오류는 입니다 password change failed: Confidentiality required``passwd: Authentication token manipulation error.
/var/로그/보안
8월 23일 05:08:13 RHELQA 비밀번호: pam_ldap(passwd:chauthtok): 비밀번호 변경 실패: 비밀번호 변경 실패: 기밀 유지 필요; user=johanp
8월 23일 05:08:34 RHELQA 비밀번호: pam_unix(passwd:chauthtok ): 사용자 " johanp"가 /etc/passwd에 존재하지 않습니다.
Aug 23 05:09:11 RHELQA 비밀번호: pam_unix(passwd:chauthtok): 사용자 "johanp"가 /etc/passwd에 존재하지 않습니다.
Aug 23 05: 09:11 RHELQA 비밀번호: pam_ldap (passwd:chauthtok): 비밀번호 변경 실패: 비밀번호 변경 실패: 기밀 유지가 필요합니다. user=johanp 8
월 23일 05:10:29 RHELQA 비밀번호: pam_unix(passwd:chauthtok): 사용자 "johanp"가 /etc/passwd에 없습니다.
23 05:10:40 RHELQA 비밀번호: pam_unix(passwd:chauthtok): 사용자 "johanp"가 /etc/passwd에 존재하지 않습니다.
Aug 23 05:10:40 RHELQA 비밀번호: pam_ldap(passwd:chauthtok): 비밀번호 변경 실패: 비밀번호 실패한 변경 : user = johanp 8 월 23
일 06:28:28 rhelqa sshd [3224] : XXXX 포트 5466 SSH2 : RSA SHA256에서 EC2 사용자의 공개 키 수락
sshd[322 4]: pam_unix(sshd:session): (uid=0)
Aug 23 06:28:30 사용자 ec2-user에 대한 RHELQA 세션 열기 sudo: ec2-user : TTY=pts/2; ec2-user; user=root; COMMAND=/bin/bash
8월 23일 06:29:07 RHELQA sshd[3257]: pam_unix( sshd:auth): 인증 실패; = rhost=xxxx user=johanp
8월 23일 06:29:07 RHELQA sshd[3257]: xxxx 포트 5474 ssh2에서 johanp 비밀번호 수락
8월 23일 06:29:07 RHELQA sshd[3257]: pam_unix(sshd:session): 세션 작성자 (uid=0)
Aug 23 06:29:12 RHELQA johanp 사용자에 대한 RHELQA 열기 비밀번호: pam_unix(passwd:chauthtok): 사용자 "johanp"가 /etc/ passwd에 존재하지 않습니다.
Aug 23 06:29:23 RHELQA 비밀번호: pam_unix (passwd:chauthtok): 사용자 "johanp"가 /etc/passwd에 없습니다.
Aug 23 06:29:23 RHELQA passwd: pam_ldap(passwd:chauthtok): 비밀번호 변경 실패: 비밀번호 변경 실패: 기밀 유지 user=johanp
/etc/pam.d/system-auth
#%PAM-1.0
# 이 파일은 자동으로 생성됩니다.
# 사용자 변경 사항은 다음에 authconfig가 실행될 때 삭제됩니다.
인증 필요 pam_env.so
인증 필요 pam_faildelay.so 지연 = 2000000
인증 충분 pam_unix.so nullok try_first_pass
인증 필요 pam_succeed_if.so uid >= 1000 Quiet_success
인증 충분 pam_ldap.so use_first_pass
인증 필요 pam_deny.so
계정 필요 pam_unix.sobroken_shadow
계정 충분 pam_localuser.so
계정 충분 pam_succeed_if.so uid < 1000 자동
계정 [기본값=잘못된 성공=ok user_unknown=ignore] pam_ldap.so 계정 필요
pam_permit.so
비밀번호 필요 pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
비밀번호 충분 pam_unix.so sha512 섀도우 nullok try_first_pass use_authtok
비밀번호 충분 pam_ldap.so use_authtok
비밀번호 필요 pam_deny.so
세션 선택 pam_keyinit.so 실행 취소
세션 필요 pam_limits.so
-session 선택 pam_systemd.so
세션 [success=1 기본값=무시] pam_succeed_if.so crond의 서비스 조용 use_uid
세션 필요 pam_unix.so 세션 선택
pam_ldap.so
/etc/pam.d/비밀번호 확인
#%PAM-1.0
# 이 파일은 자동으로 생성됩니다.
# 사용자 변경 사항은 다음에 authconfig가 실행될 때 삭제됩니다.
인증 필요 pam_env.so
인증 필요 pam_faildelay.so 지연 = 2000000
인증 충분 pam_unix.so nullok try_first_pass
인증 필요 pam_succeed_if.so uid >= 1000 Quiet_success
인증 충분 pam_ldap.so use_first_pass
인증 필요 pam_deny.so
계정 필요 pam_unix.sobroken_shadow
계정 충분 pam_localuser.so
계정 충분 pam_succeed_if.so uid < 1000 자동
계정 [기본값=잘못된 성공=ok user_unknown=ignore] pam_ldap.so 계정 필요
pam_permit.so
비밀번호가 필요함 pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
비밀번호가 충분함 pam_unix.so sha512 Shadow nullok try_first_pass use_authtok
비밀번호가 충분함 pam_ldap.so use_authtok
비밀번호 pam_deny.so 필요
세션 선택 pam_keyinit.so 실행 취소
세션 필요 pam_limits.so
-session 선택 pam_systemd.so
세션 [success=1 기본값=무시] pam_succeed_if.so crond의 서비스 조용 use_uid
세션 필요 pam_unix.so 세션 선택
pam_ldap.so
/etc/openldap/ldap.conf
#
# LDAP 기본값
#
# 자세한 내용은 ldap.conf(5)를 참조하세요.
# 이 파일은 누구나 읽을 수 있어야 하지만 쓰기는 불가능해야 합니다.
#BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF 절대 안 함
TLS_CACERTDIR /etc/openldap/cacerts
# 이 기능을 끄면 URI ldap://backup.abc.xyz.local/
BASE dc=abc,dc=xyz,dc=local 에서 rdns = false SASL_NOCANON인 경우 krb5와 함께 사용되는 GSSAPI가 중단됩니다.