Linux
OpenLDAP ACL 允許使用者更改密碼
應該添加什麼 ACL slapd.conf 以允許使用者更改他們的密碼。我們現在擁有預設 ACL,僅允許 rootdn 修改權限,同時允許包括匿名在內的所有人閱讀。
嘗試以下方式:
access to attrs=userPassword by self write by anonymous auth by users none access to * by * read
(請注意,出於安全原因,您不希望每個人都能讀取該
UserPassword
屬性——這將允許人們瀏覽您的影子/加密密碼並輕鬆執行破解程序。)
access to attrs=userPassword
編輯以添加上述ACL的請求解釋
by self write
登錄的使用者可以編寫(更改)他們自己的 userPassword 屬性——這就是讓您更改密碼的原因。
by anonymous auth
匿名使用者(匿名綁定到目錄的使用者 - 即不指定 DN 和密碼)可以訪問 userPassword 以進行身份驗證(他們無權訪問它以用於任何其他目的,例如搜尋或瀏覽)。
by users none
這會拒絕登錄使用者訪問其他任何人的 userPassword 屬性。理論上這也可以
auth
,但通常(至少在我的環境中)登錄使用者不需要作為另一個使用者進行身份驗證/綁定。