Автор Тема: Extended Operation(1.3.6.1.4.1.4203.1.11.1) not supported  (Прочитано 164 раз)

ZenMaster

  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Extended Operation(1.3.6.1.4.1.4203.1.11.1) not supported
« : 17 Октябрь 2019, 12:03:54 »
Доброго дня
samba 4.9.3
+laptop с конфигурированным PAM-LDAP
для нужного пользователя делаю на ldap expired password (shadowLastChange=0)
на laptop делаю коннект под этим пользоватлем
pam_ldap.so - нормалтно все понимает
но потом вызывает ldap_passwd_s из openldap,
которая генерит extended operation 1.3.6.1.4.1.4203.1.11.1 для samba-ы

а вот сервер = отвечает
nslcd: [3ab105] <pwmod="testuser5"> ldap_passwd_s() with old password failed: Protocol error: Extended Operation(1.3.6.1.4.1.4203.1.11.1) not supported
ну ответ то понятный - хотя по коду samba смотрел - нет там таких резких ограничений

все под ssl

плюс smb.conf - что уже и не писал - все равно отказ
        pam password change = yes
   client plaintext auth = yes
   client lanman auth = yes      

Может есть все же решение?

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 434
    • Просмотр профиля
Re: Extended Operation(1.3.6.1.4.1.4203.1.11.1) not supported
« Ответ #1 : 18 Октябрь 2019, 02:28:34 »
Здравствуйте! AD никогда не поддерживал расширенную операцию LDAP Password Modify (RFC3062, тот самй OID 1.3.6.1.4.1.4203.1.11.1), samba4 также её не поддерживает. Nslcd, скорее всего, умеет менять пароли только с помощью этой операции.

По идее, sssd умеет при привязке к AD менять там пароли пользователей, поищите в интернете на предмет параметра chpass_provider=ad в sssd.conf, так что и с samba4 тоже должно работать. Но нужно будет менять nslcd на sssd.

У меня сейчас нет стенда с samba4, так что придётся экспериментировать самому.

Егор

ZenMaster

  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Extended Operation(1.3.6.1.4.1.4203.1.11.1) not supported
« Ответ #2 : 20 Октябрь 2019, 15:09:52 »
Да, Егор
Покапался в исходниках samba

кроме start_tls - она ничего не поддерживает
https://github.com/samba-team/samba/blob/0afd655e80262ea8505a2e6d0dd9cc453fbdfd8c/source4/ldap_server/ldap_extended.c#L154
ниже в ldapsrv_ExtendedRequest идет reject


а PAM или SSSD используют протокол openldap
так что можно делать тока черех samba-tool