Как пользователю самостоятельно сменить пароль в openldap/slapd?

Question

[Ivan Podporin]

Добрый день. Есть ldap домен example.org. В нем создаются(через phpldapadmin/apache ds studio) новые пользователи. Как сделать чтобы пароль пользователь смог сам установить/сменить первоначальный пароль(как в MS AD) и чем(может уже есть готовое решение)?

Comments

[Slipeer]

Уточните - какими службами LDAP используется?
Обычно в той же службе, которой пользуется пользователь и реализовывают возможность смены пароля. Ну или делают простенький веб-интерфейс.

[Ivan Podporin]

В основном окружение для разработчиков jenkins и т.д. То есть хотелки: я создаю пользователя в лдап, а пользователю либо приходит пароль на почту(сгенерированый) и он каким-то образом его меняет на свой. либо устанавливается стандартный пароль и при первом заходе пользователь его меняет.

Answer 1

[Ivan Podporin]

Вариант с passwd помогает, но пришлось править /etc/pam.d/common-password:
было:

password	[success=1 user_unknown=ignore default=die]	pam_ldap.so use_authtok try_first_pass

стало:

password	[success=1 user_unknown=ignore default=die]	pam_ldap.so  try_first_pass

при этом также пришлось поправить slapd.conf:

# The admin dn has full write access, everyone else
# can read everything.
access to *
        by dn="@ADMIN@" write
        by * read

на:

# The admin dn has full write access, everyone else
# can read everything.
access to *
        by dn="@ADMIN@" write
        by self write
        by * read

чтобы пользователи сами могли себя править.

Хотелось бы чтобы пользователь мог менять пароль сам без доступа к ssh.

p.s. нашел решение смены пароля на PHP ,так же смотреть комментарий от hellracer. Тему закрываю

Answer 2

[Алексей Черемисин]

Если аккаунты для захода по shell, а ldap привязан через PAМ, то меняется обыкновенно через passwd, остальное все сделает система сама.
Если аккаунты как-то по другому используются, то можно через ldappasswd напрямую через ldap.