LTB Self Service Password - saját jelszót megváltozatatása

UNIX haladó

Sziasztok,
Az LTB Self Service Password-del (0.9) szerettem volna a felhasználóknak lehetőséget adni arra, hogy megváltoztassák webes felületről a jelszvaikat.

Jelenleg ott tartok, hogy saját CA által kiállított certtel LDAPS megy a Samba (samba 2:4.1.6+dfsg-1ubuntu2.14.04.9) serveren (Ubuntu 14.04 64bit). Beállítottam a config állományt, látszólag az user adatai lekérhetők, ldapsearch-csel is megy, de a jelszó nem változtatható meg:

Az Apache error logban ez jelenik meg:
[Fri Feb 05 14:39:42.366403 2016] [:error] [pid 1352] [client x.x.x.x:63112] PHP Warning: ldap_mod_replace(): Modify: Insufficient access in /usr/share/self-service-password/lib/functions.inc.php on line 322, referer: http://x.x.x.x/
[Fri Feb 05 14:39:42.366887 2016] [:error] [pid 1352] [client x.x.x.x:63112] LDAP - Modify password error 50 (Insufficient access), referer: http://x.x.x.x/

A config állomány így néz ki:
# LDAP
$ldap_url = "ldaps://y.y.y.y";
$ldap_starttls = false;
$ldap_binddn = "CN=_self_sp,OU=Technical Users,OU=bpkozut users,DC=blabla,DC=bar";
$ldap_bindpw = "password";
$ldap_base = "OU=bpkozut users,DC=blabla,DC=bar";
$ldap_login_attribute = "sAMAccountName";
$ldap_fullname_attribute = "name";
$ldap_filter = "(&(objectClass=user)(sAMAccountName={login})(!(userAccountControl:1.2.840.113556.1.4.803:=2)))";

# Active Directory mode
# true: use unicodePwd as password field
# false: LDAPv3 standard behavior
$ad_mode = false;
# Force account unlock when password is changed
$ad_options['force_unlock'] = false;
# Force user change password at next login
$ad_options['force_pwd_change'] = false;
# Allow user with expired password to change password
$ad_options['change_expired_password'] = false;

# Samba mode
# true: update sambaNTpassword and sambaPwdLastSet attributes too
# false: just update the password
$samba_mode = true;
# Set password min/max age in Samba attributes
$samba_options['min_age'] = 5;
$samba_options['max_age'] = 40;

Tudnátok segíteni?

Köszönöm!

KAMI

  • 2333 megtekintés

( SzBlackY | 2016. 02. 05., p – 15:43 )

AD vagy NT domain?

Partszélről bekiabálás, mert fogalmam sincs, mi az az LTB, de PHP-ből és Java-ból nálam működik az, hogy Samba AD-hez LDAPS felett csatlakozom és az UnicodePwd-t írom felül [ha jól rémlik UTF-16LE, idézőjelben], ha jól látom nálad nem ez van: 


# Active Directory mode
# true: use unicodePwd as password field
# false: LDAPv3 standard behavior
$ad_mode = false;

Ez true-val?

Ill. AFAIK samba AD alatt nincs a sémában sambaNTpassword és sambaPwdLastSet, csak pwdLastSet, de azt meg az UnicodePw állítása átlövi.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Szia, igaz igaz, ez AD módban van. Így viszont ez a hiba: 


Use of undefined constant LDAP_MODIFY_BATCH_REMOVE - assumed 'LDAP_MODIFY_BATCH_REMOVE'
Use of undefined constant LDAP_MODIFY_BATCH_ADD - assumed 'LDAP_MODIFY_BATCH_ADD'
PHP Fatal error:  Call to undefined function ldap_modify_batch()

Ez a ldap_modify_batch melyik modulban van? A php5-ldap fent van, látszik a phpinfoban is.
PHP 5.5.9-1ubuntu4.14.

http://php.net/manual/en/function.ldap-modify-batch.php

KAMI | 神
Firefox OS: https://is.gd/fxoshu Linux Mint: https://linuxmint.hu LibreOffice: http://libreoffice.hu SeaMonkey : http://is.gd/smhun
Legyél Te is Mozilla és Linux Mint önkéntes

( golgota | 2016. 02. 05., p – 15:58 )

Modify: Insufficient access

Ez nekem azt mondja, hogy az adott attributum nem irhato annak a felhasznalonak, aki eppen szeretne megmodositani. En megneznem az ACL-eket a fan. Milyen LDAP-ot hasznalsz?
Egy "userpasswd, shadowlastchange mod for self" mindenkeppen kellene ha nincs. Persze se az attrib nevet nem tudom, se hogy hogyan allithatoak az ACL-ek addig amig nem tudjuk milyen ldap sezrevert hasznalsz.

Szia,
A Samba-ba épített LDAP-ot használom. Más appok authentikálnak is vele jól, csak ez a jelszóváltás dolog nem megy. Most átváltottam ad modba ezt a toolt, de az alábbi hibát dobja:

http://hup.hu/node/145506#comment-1956849

KAMI | 神
Firefox OS: https://is.gd/fxoshu Linux Mint: https://linuxmint.hu LibreOffice: http://libreoffice.hu SeaMonkey : http://is.gd/smhun
Legyél Te is Mozilla és Linux Mint önkéntes