Запретить изменение пароля root в ldap – debian

После настройки ldap-аутентификации с помощью pam в debian, все работает отлично. С помощью команды passwd измените пароль ldap текущего пользователя.

Проблема заключается в том, что мой ldap настроен с учетной записью «admin» и «root» с правами администратора. По историческим причинам я не могу это изменить.

Как заставить passwd изменять только локальный пароль для root, а не ldap?

Вот конфигурация pam:

account sufficient pam_ldap.so account sufficient pam_unix.so try_first_pass account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so account [success=1 default=ignore] pam_ldap.so account requisite pam_deny.so account required pam_permit.so auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure try_first_pass auth [success=2 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_ldap.so use_first_pass auth requisite pam_deny.so auth required pam_permit.so password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass password [success=2 default=ignore] pam_unix.so obscure sha512 password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass password requisite pam_deny.so password required pam_permit.so session [default=1] pam_permit.so session requisite pam_deny.so session required pam_permit.so session required pam_unix.so session optional pam_ldap.so session optional pam_ck_connector.so nox11 session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 session [default=1] pam_permit.so session requisite pam_deny.so session required pam_permit.so session required pam_unix.so session optional pam_ldap.so 

2 Solutions collect form web for “Запретить изменение пароля root в ldap – debian”

Есть, вероятно, лучшие способы, но в качестве остановки вы всегда можете редактировать файл /etc/shadow (с правами root). Просто замените часть между первым и вторым : с новым, зашифрованным паролем:

  1. используя passwd , установите свой собственный пароль для нового корневого пароля, который вы хотите иметь (это также устанавливает ваш пароль ldap, вы собираетесь установить его в конце)

  2. sudo -s -H , держите этот терминал открытым, пока не будет проверено изменение!

  3. сделать резервную копию /etc/shadow в /etc/shadow.org

  4. отредактируйте /etc/shadow как root и скопируйте второе поле (между : от имени вашей учетной записи до имени для root

  5. проверьте, можете ли вы войти в систему с правами администратора с новым паролем. Если что-то не работает, скопируйте /etc/shadow.org обратно в терминал, вы вошли в систему как root

  6. только после тестирования удалите /etc/shadow.org и /etc/shadow.org из системы

  7. верните свой собственный пароль к оригиналу с помощью passwd

Итак, после некоторого лоббирования я изменил учетную запись root:

 dn: uid=root,ou=people,dc=nope,dc=com changetype: modrdn newrdn: uid=administrator deleteoldrdn: 1 

Теперь у меня больше нет проблем.

  • Экспедирование Kerberos в SSSD
  • Почему sudo -i не устанавливает XDG_RUNTIME_DIR для целевого пользователя?
  • /etc/pam.d/* Как отладить вывод pam_ldap?
  • Не удалось войти в сервер Cockpit - не удалось установить ограничение для «nofile»,
  • Каково точное определение для входа в систему,
  • порядок чтения строки в обычной учетной записи
  • Как автоматически ввести льготный период sudo при входе в CLI?
  • Как получить статус проверки подлинности с последнего запуска модуля PAM
  • Перезагрузить правила входа без перезагрузки
  • Автоматическая установка зашифрованной домашней папки при входе в систему
  • hard vs - in limits.conf
  • Как заставить pam_exec запускать скрипт в качестве текущего пользователя?
  • Linux и Unix - лучшая ОС в мире.