Extended Operation(1.3.6.1.4.1.4203.1.11.1) not supported

[ZenMaster]

Доброго дня
samba 4.9.3
+laptop с конфигурированным PAM-LDAP
для нужного пользователя делаю на ldap expired password (shadowLastChange=0)
на laptop делаю коннект под этим пользоватлем
pam_ldap.so - нормалтно все понимает
но потом вызывает ldap_passwd_s из openldap,
которая генерит extended operation 1.3.6.1.4.1.4203.1.11.1 для samba-ы

а вот сервер = отвечает
nslcd: [3ab105] <pwmod="testuser5"> ldap_passwd_s() with old password failed: Protocol error: Extended Operation(1.3.6.1.4.1.4203.1.11.1) not supported
ну ответ то понятный - хотя по коду samba смотрел - нет там таких резких ограничений

все под ssl

плюс smb.conf - что уже и не писал - все равно отказ
        pam password change = yes
   client plaintext auth = yes
   client lanman auth = yes      

Может есть все же решение?

[egor]

Здравствуйте! AD никогда не поддерживал расширенную операцию LDAP Password Modify (RFC3062, тот самй OID 1.3.6.1.4.1.4203.1.11.1), samba4 также её не поддерживает. Nslcd, скорее всего, умеет менять пароли только с помощью этой операции.

По идее, sssd умеет при привязке к AD менять там пароли пользователей, поищите в интернете на предмет параметра chpass_provider=ad в sssd.conf, так что и с samba4 тоже должно работать. Но нужно будет менять nslcd на sssd.

У меня сейчас нет стенда с samba4, так что придётся экспериментировать самому.

Егор

[ZenMaster]

Да, Егор
Покапался в исходниках samba

кроме start_tls - она ничего не поддерживает
https://github.com/samba-team/samba/blob/0afd655e80262ea8505a2e6d0dd9cc453fbdfd8c/source4/ldap_server/ldap_extended.c#L154
ниже в ldapsrv_ExtendedRequest идет reject


а PAM или SSSD используют протокол openldap
так что можно делать тока черех samba-tool