LDAP에서 루트 비밀번호 변경 방지 - debian

tag-icon tag-icon root pam ldap
LDAP에서 루트 비밀번호 변경 방지 - debian

Debian에서 pam을 사용하여 LDAP 인증을 설정한 후 모든 것이 잘 작동합니다. 현재 사용자의 LDAP 비밀번호를 변경하려면 passwd 명령을 사용하십시오.

문제는 내 LDAP가 "관리자" 계정과 관리자 권한이 있는 "루트" 계정으로 설정되었다는 것입니다. 역사적인 이유로 이를 변경할 수 없습니다.

LDAP 비밀번호가 아닌 루트의 로컬 비밀번호만 변경하도록 passwd에 어떻게 알릴 수 있습니까?

Pam 구성은 다음과 같습니다.

account sufficient pam_ldap.so
account sufficient pam_unix.so try_first_pass
account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so
account [success=1 default=ignore]      pam_ldap.so
account requisite                       pam_deny.so
account required                        pam_permit.so
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure try_first_pass

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_ldap.so use_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass
password        [success=2 default=ignore]      pam_unix.so obscure sha512
password        [success=1 user_unknown=ignore default=die]     pam_ldap.so use_authtok try_first_pass
password        requisite                       pam_deny.so
password        required                        pam_permit.so

session [default=1]                     pam_permit.so
session requisite                       pam_deny.so
session required                        pam_permit.so
session required        pam_unix.so
session optional                        pam_ldap.so
session optional                        pam_ck_connector.so nox11
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

session [default=1]                     pam_permit.so
session requisite                       pam_deny.so
session required                        pam_permit.so
session required        pam_unix.so
session optional                        pam_ldap.so

답변1

더 좋은 방법이 있을 수 있지만 임시방편으로 언제든지 파일을 편집할 수 있습니다 /etc/shadow(루트로). :첫 번째와 두 번째 사이의 부분을 암호화된 새 비밀번호로 바꾸세요 .

  1. 를 사용하여 passwd원하는 새 루트 비밀번호로 자신의 비밀번호를 설정하세요(이렇게 하면 LDAP 비밀번호도 설정되며 마지막에 다시 설정하게 됩니다).

  2. sudo -s -H, 변경 사항이 확인될 때까지 이 터미널을 열어두세요!

  3. 백업 /etc/shadow대상:/etc/shadow.org

  4. 루트로 편집하고 /etc/shadow계정 이름의 두 번째 "필드"(그 사이)를 루트 필드에 복사합니다.:

  5. 새 비밀번호를 사용하여 루트로 로그인할 수 있는지 테스트합니다. 문제가 해결되지 않으면 /etc/shadow.org로그인한 터미널에 다시 복사하세요.root

  6. 테스트 후 삭제 /etc/shadow.org및 로그아웃 만 가능

  7. 자신의 비밀번호를 원래 비밀번호로 복구하세요.passwd

답변2

글쎄, 약간의 로비 후에 루트 계정을 수정했습니다.

dn: uid=root,ou=people,dc=nope,dc=com
changetype: modrdn
newrdn: uid=administrator
deleteoldrdn: 1

이제 더 이상 문제가 없습니다.

관련 정보