酷!學園

技術討論區 => LDAP 討論區 => 主題作者是: linul 於 2005-03-16 11:28

主題: LDAP+Openwebmail==>無法由openwebmail端來更改使用者密碼?
作者: linul 於 2005-03-16 11:28

目前小弟有架設兩台主機，一台稱A，一台稱為B

A主機上運作OpenLDAP，同時管理所有的帳號。

B主機上運作Openwebmail，使用auth_pam.pl進行認証

目前Openwebmail可以透過LDAP Server新增的使用者登入，可以正常使用

但是有個問題，我可以從任何主機的console端來變更這個使用者的密碼，但是就是無法由Openwebmail端來變更使用者密碼?這有點麻煩。

我現在用的環境是FC3(兩台都是)，OWM是2.5.1-1，在OpenLDAP伺服器上所

做的acl如下(參考LDAP系統管理一書)：

access to attrs=userPassword
    by self write
    by * read
    by * auth

access to *
    by * read

(如果第一區塊的by * read拿掉，Owm就無法登入了)

而安裝Openwebmail及LDAP Server的/etc/pam.d/openwebmail都設定如下：

#%PAM-1.0
   auth       required     /lib/security/pam_unix.so
   auth       sufficient   /lib/security/pam_ldap.so
   account    required     /lib/security/pam_unix.so
   account    sufficient   /lib/security/pam_ldap.so

(原來是以為要設定在Openldap這台上，可是好像也是一樣?)

而opwebmail主機上的/var/www/cgi-bin/openwebmail/etc/auth_pam.conf中的設定如下(參考官方網站)

servicename      openwebmail
passwdfile_plaintext      /etc/passwd

重新初始化後，可以正常登入owm。

但是在owm中換密碼時，就無法成功，而openwebmail上的錯誤訊息出現如下所示：

change password error auth_pam.pl, ret -4, pam_authtok() err 20, Authentication token manipulation error

請問這到底是怎麼一回事?

主題: LDAP+Openwebmail==>無法由openwebmail端來更改使用者密碼?
作者: twu2 於 2005-03-16 13:34

/etc/pam.d/openwebmail 沒有 password 的設定.
加上看看

password   sufficient  pam_ldap.so
password   required    pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass

主題: LDAP+Openwebmail==>無法由openwebmail端來更改使用者密碼?
作者: linul 於 2005-03-16 14:18

哇!!可以了，感謝您....

我要開始把這幾天的實作整理出來，實在是太亂了....

主題: LDAP+Openwebmail==>無法由openwebmail端來更改使用者密碼?
作者: tino 於 2005-03-29 09:32

引述: "twu2"

/etc/pam.d/openwebmail 沒有 password 的設定.
加上看看

password   sufficient  pam_ldap.so
password   required    pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass

Hi twu2 大大您好：這是我的 ldap 架構： ldap+dns--->postfix+openwebmail
我造您所說的在mail server 那台的/etc/pam.d/openwebmail 中加入下面的東西，但在openwebmail user account 還是不能變更密碼耶！是否是因為 ldap 和 openwebmail 為不同台的問題阿？請問有辨法解決這個問題嗎？謝謝~~

代碼: [選擇]

auth       sufficient   /lib/security/pam_ldap.so
auth       required     pam_stack.so service=system-auth
account    sufficient   /lib/security/pam_ldap.so
password   required     pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass
account    required     pam_stack.so service=system-auth

代碼: [選擇]

/var/log/openwebmail.log 的錯誤訊息
change password error - auth_pam.pl, ret -4, pam_authtok() err 20, Authentication token manipulation error

主題: LDAP+Openwebmail==>無法由openwebmail端來更改使用者密碼?
作者: twu2 於 2005-03-29 10:52

不同台應該沒關係. 先確定那台機器用 passwd 可以改密碼再說吧.
然後把 passwd 的 pam 設定複製給 openwebmail 使用. openwebmail 設定使用 pam 認證.