Hallo NG,

ich habe eine pass-through authentication eingerichtet, die so weit
auch fkt. Im userPasssword steht {SASL}user@REALM und das PW im
Kerberos wird auch von den Diensten, die (nur) gegen den ldap Authentifizieren
benutzt. Das PW kann ich auf dem Client auch mit "kpasswd" setzen.
Was aber nicht geht, dass ich das PW mit "passwd" setzen kann.
Es wird jedesmal das userPasssword mit einen gekrypteten PW überschrieben.
Also im Endeffekt wird ein normales LDAP-PW gesetzt und der ldapd leitet
das Setzen eines neuen PWs nicht an den Keberos weiter.



Hier die "/etc/pam.d/common-password" vom Client. Nehme ich den LDAP Eintrag raus, fkt es nicht, da er sich nicht an den LDAP binden kann.




password requisite pam_cracklib.so retry=3 minlen=8 difok=3 difok=3 reject_username minclass=3
password requisite pam_krb5.so minimum_uid=1000 try_first_pass use_authtok
password [success=2 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512 debug
password [success=1 default=ignore] pam_ldap.so try_first_pass debug
password requisite pam_deny.so
password required pam_permit.so


Oder muss ich auf dem Server in der
"/etc/pam_ldap.conf" unter den Punkt "pam_password" ändern?