Форум проекта Pro-LDAP.ru
Общие вопросы по LDAP => Работа с LDAP-клиентами => Тема начата: ZenMaster от 17 Октябрь 2019, 12:03:54
-
Доброго дня
samba 4.9.3
+laptop с конфигурированным PAM-LDAP
для нужного пользователя делаю на ldap expired password (shadowLastChange=0)
на laptop делаю коннект под этим пользоватлем
pam_ldap.so - нормалтно все понимает
но потом вызывает ldap_passwd_s из openldap,
которая генерит extended operation 1.3.6.1.4.1.4203.1.11.1 для samba-ы
а вот сервер = отвечает
nslcd: [3ab105] <pwmod="testuser5"> ldap_passwd_s() with old password failed: Protocol error: Extended Operation(1.3.6.1.4.1.4203.1.11.1) not supported
ну ответ то понятный - хотя по коду samba смотрел - нет там таких резких ограничений
все под ssl
плюс smb.conf - что уже и не писал - все равно отказ
pam password change = yes
client plaintext auth = yes
client lanman auth = yes
Может есть все же решение?
-
Здравствуйте! AD никогда не поддерживал расширенную операцию LDAP Password Modify (RFC3062, тот самй OID 1.3.6.1.4.1.4203.1.11.1), samba4 также её не поддерживает. Nslcd, скорее всего, умеет менять пароли только с помощью этой операции.
По идее, sssd умеет при привязке к AD менять там пароли пользователей, поищите в интернете на предмет параметра chpass_provider=ad в sssd.conf, так что и с samba4 тоже должно работать. Но нужно будет менять nslcd на sssd.
У меня сейчас нет стенда с samba4, так что придётся экспериментировать самому.
Егор
-
Да, Егор
Покапался в исходниках samba
кроме start_tls - она ничего не поддерживает
https://github.com/samba-team/samba/blob/0afd655e80262ea8505a2e6d0dd9cc453fbdfd8c/source4/ldap_server/ldap_extended.c#L154
ниже в ldapsrv_ExtendedRequest идет reject
а PAM или SSSD используют протокол openldap
так что можно делать тока черех samba-tool