Запретить изменение пароля root в ldap – debian

После настройки ldap-аутентификации с помощью pam в debian, все работает отлично. С помощью команды passwd измените пароль ldap текущего пользователя.

Проблема заключается в том, что мой ldap настроен с учетной записью «admin» и «root» с правами администратора. По историческим причинам я не могу это изменить.

Как заставить passwd изменять только локальный пароль для root, а не ldap?

Вот конфигурация pam:

account sufficient pam_ldap.so account sufficient pam_unix.so try_first_pass account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so account [success=1 default=ignore] pam_ldap.so account requisite pam_deny.so account required pam_permit.so auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure try_first_pass auth [success=2 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_ldap.so use_first_pass auth requisite pam_deny.so auth required pam_permit.so password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass password [success=2 default=ignore] pam_unix.so obscure sha512 password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass password requisite pam_deny.so password required pam_permit.so session [default=1] pam_permit.so session requisite pam_deny.so session required pam_permit.so session required pam_unix.so session optional pam_ldap.so session optional pam_ck_connector.so nox11 session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 session [default=1] pam_permit.so session requisite pam_deny.so session required pam_permit.so session required pam_unix.so session optional pam_ldap.so 

2 Solutions collect form web for “Запретить изменение пароля root в ldap – debian”

Есть, вероятно, лучшие способы, но в качестве остановки вы всегда можете редактировать файл /etc/shadow (с правами root). Просто замените часть между первым и вторым : с новым, зашифрованным паролем:

  1. используя passwd , установите свой собственный пароль для нового корневого пароля, который вы хотите иметь (это также устанавливает ваш пароль ldap, вы собираетесь установить его в конце)

  2. sudo -s -H , держите этот терминал открытым, пока не будет проверено изменение!

  3. сделать резервную копию /etc/shadow в /etc/shadow.org

  4. отредактируйте /etc/shadow как root и скопируйте второе поле (между : от имени вашей учетной записи до имени для root

  5. проверьте, можете ли вы войти в систему с правами администратора с новым паролем. Если что-то не работает, скопируйте /etc/shadow.org обратно в терминал, вы вошли в систему как root

  6. только после тестирования удалите /etc/shadow.org и /etc/shadow.org из системы

  7. верните свой собственный пароль к оригиналу с помощью passwd

Итак, после некоторого лоббирования я изменил учетную запись root:

 dn: uid=root,ou=people,dc=nope,dc=com changetype: modrdn newrdn: uid=administrator deleteoldrdn: 1 

Теперь у меня больше нет проблем.

  • Работает локальный пользователь VSFTP, но пользователи PAM разрешены
  • Блокировка учетной записи SSH показывает реальных пользователей
  • Каковы причины, по которым Slackware все еще отказывается включать PAM?
  • Не удалось определить ваше имя tty в Debian Wheezy на ARM
  • Установка пользовательских паролей хэширования пароля в PAM
  • pam-auth-update не отображает экран подсказки или не регистрирует никаких сбоев
  • Поток аутентификации Linux (NSS -> PAM -> AD)
  • Не удается выполнить root после редактирования PAM-консолидации на ящике Rackspace Linux
  • Что предотвращает использование опции «nullok» по умолчанию для PH-конфигурации RHEL7 для пустых паролей?
  • Что определяет хеширование паролей pam?
  • что действительно делает pam_env.so?
  • Interesting Posts
    Linux и Unix - лучшая ОС в мире.