Folosind OpenLDAP ppolicy overlay nu putem schimba parolele utilizatorului când NU folosim RootDN (rezultatul 53 trebuie să furnizeze o parolă veche pentru a schimba cu una nouă)

Am văzut problema ridicată, dar nu s-a răspuns, avem o configurație OpenLDAP (Symas Gold 2.4.59-3) funcțională, care va permite utilizatorilor administratori non-RootDN să resetați parolele utilizatorilor. Dorim să activăm blocarea utilizând ppolicy, dar cu suprapunerea ppolicy încărcată, obținem codul de rezultat 53, trebuie să furnizăm o parolă veche corectă pentru a o schimba cu una nouă". În calitate de utilizator administrator, pot șterge atributul userPassword și îl pot crea din nou pentru a schimba eficient. parola, dar sistemul nostru de furnizare a utilizatorilor din amonte nu poate gestiona asta. Încep să mă întreb dacă aceasta este o „funcție” a OpenLDAP/ppolicy. A implementat cineva acest lucru cu succes?

Orice perspectivă va fi foarte apreciată!

Următorul este un fragment de configurare:

dn: cn=schema,cn=config
objectClass: olcSchemaConfig
cn: schema

includ: file:///opt/symas/etc/openldap/schema/core.ldif
includ: file:///opt/symas/etc/openldap/schema/cosine.ldif
includ: file:///opt/symas/etc/openldap/schema/inetorgperson.ldif
includ: file:///opt/symas/etc/openldap/schema/openam.ldif
includ: file:///opt/symas/etc/openldap/schema/ppolicy.ldif

dn: cn=modul{0},cn=config
objectClass: olcModuleList
cn: modul{0}
olcModulepath: /opt/symas/lib64/openldap
olcModuleload: {0}back_mdb
olcModuleLoad: {1}back_monitor.la
olcModuleLoad: {2}lastbind.la
olcModuleLoad: {3}ppolicy.la
olcModuleLoad: {4}syncprov.la

dn: olcDatabase={1}mdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {1}mdb
olcMonitoring: TRUE
olcDbDirectory: /ldap/db/myssoldap
olcSuffix: dc=viasat,dc=com
olcRootDN: cn=manager,dc=viasat,dc=com
olcRootPW: XXXX
olcDbMaxSize: 8192000000
olcDbCheckpoint: 8192 15
olcDbNoSync: TRUE
olcLastMod: TRUE
olcDbIndex: implicit pres,eq
olcDbIndex: uid
olcDbIndex: entryUUID
olcDbIndex: cn,sn pres,eq,sub
olcDbIndex: objectClass eq
olcAccess: to attrs=userPassword
   prin autoscriere
   prin autorizare anonimă
   de dn.exact="uid=admin,ou=administrators,dc=viasat,dc=com" gestionați
   de * niciunul
olcAccess: la *
   de dn.exact="uid=admin,ou=administrators,dc=viasat,dc=com" gestionați
   prin * citit
dn: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyHashCleartext: TRUE
olcPPolicyDefault: cn=passwordDefault,ou=politici,dc=viasat,dc=com
olcPPolicyUseLockout: FALSE
dn: ou=Politici, dc=viasat,dc=com
objectClass: top
objectClass: unitate organizațională
ou: Oameni

dn: cn=passwordDefault,ou=politici,dc=viasat,dc=com
objectClass: pwdPolicy
objectClass: persoană
objectClass: top
cn: parola implicită
sn: parola implicită
pwdAttribute: userPassword
pwdCheckQuality: 1
pwdMinAge: 0
pwdMaxAge: 0
pwdMinLength: 6
pwdInHistory: 0
pwdMaxFailure: 6
pwdFailureCountInterval: 900
pwdLockout: ADEVĂRAT
pwdLockoutDuration: 900
pwdAllowUserChange: TRUE
pwdExpireWarning: 37324800000
pwdGraceAuthNLimit: 0
pwdMustChange: FALSE
pwdSafeModify: FALSE