OpenLDAP 服务端配置(二): 允许用户自行修改密码
默认配置下, 用户无法自行修改密码, 需另行配置
注意:下面操作中 “cn=admin,dc=domain,dc=com” 需要替换为自己的root/admin dn
1. 修改slapd.conf文件(默认安装在/etc/openldap下)
#找到下面几条,去掉前面的井号 modulepath /usr/lib/openldap modulepath /usr/lib64/openldap modeleloda ppolicy.la
2.slapd.conf文件在database config前面加上两个字段
access to attrs=userPassword by self write by anonymous auth by dn="cn=admin,dc=domain,dc=com" write # dn值改为自己的dn值 by * none access to * by self write by dn="cn=admin,dc=domain,dc=com" write # dn值改为自己的dn值
by * none
3. slapd.conf配置文件末尾添加:
overlay ppolicy ppolicy_default cn=admin,dc=domain,dc=com # dn值改为自己的dn值
4. 然后重新生成数据库配置文件(提前备份一下)
rm -rf /etc/openldap/slapd.d/* [root@ll ~]$ slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d config file testing succeeded
5.增加 acl 规则
在配置文件 /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif 中最后增加acl规则:
olcAccess: {0}to attrs=userPassword by self write by dn.base="cn=admin,dc=domain,dc=com" write by anonymous auth by * none #dn值改为自己的dn值
olcAccess: {1}to * by dn.base="cn=admin,dc=domain,dc=com" write by self write by * read #dn值改为自己的dn值
6.修改文件校验值
上述文件内容改了, 文件校验值就会发生变化, 需要修改文件中第二行的校验值
# 安装工具包 yum install -y perl-Archive-Zip # 截取除了文件前两行以外的内容 tail -n +3 /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif \ > /tmp/temp.ldif # 计算校验值 crc32 /tmp/temp.ldif # 将crc32 输出的校验值更新到原ldif 文件(/etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif)的第2行中(虽然是被#号注释的)
7. 修改权限, 并重启服务
chown -R ldap:ldap /etc/openldap/* chown -R ldap:ldap /var/lib/ldap /etc/init.d/slapd restart
参考:
