Запретить изменение пароля root в ldap – debian

После настройки ldap-аутентификации с помощью pam в debian, все работает отлично. С помощью команды passwd измените пароль ldap текущего пользователя.

Проблема заключается в том, что мой ldap настроен с учетной записью «admin» и «root» с правами администратора. По историческим причинам я не могу это изменить.

Как заставить passwd изменять только локальный пароль для root, а не ldap?

Вот конфигурация pam:

account sufficient pam_ldap.so account sufficient pam_unix.so try_first_pass account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so account [success=1 default=ignore] pam_ldap.so account requisite pam_deny.so account required pam_permit.so auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure try_first_pass auth [success=2 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_ldap.so use_first_pass auth requisite pam_deny.so auth required pam_permit.so password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass password [success=2 default=ignore] pam_unix.so obscure sha512 password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass password requisite pam_deny.so password required pam_permit.so session [default=1] pam_permit.so session requisite pam_deny.so session required pam_permit.so session required pam_unix.so session optional pam_ldap.so session optional pam_ck_connector.so nox11 session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 session [default=1] pam_permit.so session requisite pam_deny.so session required pam_permit.so session required pam_unix.so session optional pam_ldap.so 

  • 2 Аутентификация фактора в SSH с использованием открытого ключа и PAM
  • Force OpenSSH / pam / pam_ldapd для выполнения pam_ldapd (sshd: auth) с аутентификацией с открытым ключом
  • 2 Аутентификация фактора в SSH с использованием открытого ключа и юбикея
  • разрешить только определенным пользователям входить в систему через sshd, но отказывать в подключении к пользователям, не включенным в список
  • Как добиться условной аутентификации PAM?
  • Проблема аутентификации в KDE - su, sudo, разблокировка экрана
  • Почему я могу войти в систему через SSH (PAM Auth), в то время как `shutdown -k` активен?
  • Почему pam_exec.so работает с sudo, а не с su?
  • 2 Solutions collect form web for “Запретить изменение пароля root в ldap – debian”

    Есть, вероятно, лучшие способы, но в качестве остановки вы всегда можете редактировать файл /etc/shadow (с правами root). Просто замените часть между первым и вторым : с новым, зашифрованным паролем:

    1. используя passwd , установите свой собственный пароль для нового корневого пароля, который вы хотите иметь (это также устанавливает ваш пароль ldap, вы собираетесь установить его в конце)

    2. sudo -s -H , держите этот терминал открытым, пока не будет проверено изменение!

    3. сделать резервную копию /etc/shadow в /etc/shadow.org

    4. отредактируйте /etc/shadow как root и скопируйте второе поле (между : от имени вашей учетной записи до имени для root

    5. проверьте, можете ли вы войти в систему с правами администратора с новым паролем. Если что-то не работает, скопируйте /etc/shadow.org обратно в терминал, вы вошли в систему как root

    6. только после тестирования удалите /etc/shadow.org и /etc/shadow.org из системы

    7. верните свой собственный пароль к оригиналу с помощью passwd

    Итак, после некоторого лоббирования я изменил учетную запись root:

     dn: uid=root,ou=people,dc=nope,dc=com changetype: modrdn newrdn: uid=administrator deleteoldrdn: 1 

    Теперь у меня больше нет проблем.

    Linux и Unix - лучшая ОС в мире.