Linux: “A redefinição de senha pelo root não é suportada”… então, como redefinir senhas?


3

Eu sou um administrador de sistema de "backup" para uma equipe pequena e o administrador de sistemas primário não está disponível. A configuração do laboratório é um pouco nova para mim, e ainda não estou familiarizada com tudo sobre como ela está configurada (e minhas habilidades com administrador de sistemas Linux provavelmente estão um pouco desatualizadas). Me pediram para redefinir uma senha para um usuário e pensei "ótimo, isso é apenas passwd -e nome de usuário". Infelizmente, isso me dá:

# /usr/bin/passwd jdoe
Changing password for user jdoe.
Password reset by root is not supported.
passwd: Authentication token manipulation error

No começo, pensei que só precisava usar ldappasswd, mas aparentemente ele não está usando LDAP ( /usr/bin/ldappasswdnão existe e o comando não é encontrado no sistema). Finalmente, verifiquei /etc/nsswitch.confe vi o seguinte:

passwd:     files sss
shadow:     files sss
group:      files sss

Informações adicionais: Este sistema (e a maior parte da minha rede de laboratórios) está sendo executado no CentOS, versão 6.6.

Ok, acho que minhas habilidades no Linux são um pouco inadequadas ou enferrujadas. O que é "sss"? E como faço para redefinir uma senha simples neste sistema?

Informações atualizadas: Estou tentando redefinir a senha como usuário root (sim, não é a melhor configuração de segurança que temos o login root ativado e não o sudo para os administradores do laboratório, mas sou apenas o responsável pelo backup ... só posso tente influenciar). Quais são as linhas relevantes de /etc/sssd/sssd.conf(melhor suposição, como eu disse, estou enferrujado em algumas coisas, como IPA):

ipa_domain = sub.domain.mycompany.com
id_provider = ipa
auth_provider = ipa
ldap_autofs_entry_object_class = automount
access_provider = ipa
ipa_hostname = node6.sub.domain.mycompany.com
chpass_provider = ipa
ldap_autofs_entry_key = automountKey
ipa_server = ipa1.sub.domain.mycompany.com, ipa2.sub.domain.mycompany.com

Seu nome de usuário recebeu direitos sudo?
Ramhound 15/05

Forneça-nos o conteúdo de nslcd.conf
Ramhound 15/05

Você tentou man sssd? Você tem um sssd.confarquivo em algum lugar /etc?
David Schwartz

Não consigo encontrar um arquivo nslcd.conf, mas publiquei o que parecia ser o conteúdo relevante do arquivo /etc/sssd/sssd.conf. O servidor ipa1tem todos os comandos LDAP esperados instalados e talvez eu consiga descobrir a partir daqui. Mas permitirei que um de vocês publique uma resposta para reivindicar crédito, se desejar.
Ogre Psalm33

Respostas:


2

As dicas começam com o conhecimento de que o /etc/nsswitch.confarquivo no sistema é usado para configurar o recurso do Name Service Switch no Linux. Da wikipedia:

O NSS (Name Service Switch) é um recurso em sistemas operacionais do tipo Unix que fornece uma variedade de fontes para bancos de dados de configuração comuns e mecanismos de resolução de nomes. Essas fontes incluem arquivos do sistema operacional local (como / etc / passwd, / etc / group e / etc / hosts), o sistema de nomes de domínio (DNS), o serviço de informações de rede (NIS) e LDAP.

Essa linha do /etc/nsswitch.confarquivo nos informa que o "System Security Services" (sss) do Linux é o provedor de senhas de usuários e funções relacionadas.

passwd:     files sss

A próxima pista vem do conteúdo de /etc/sssd/sssd.conf. A página de manual deste arquivo de configuração nos fala sobre a chpass_providerentrada e, para mim, é ipa:

chpass_provider = ipa

E essa linha nos permite saber quais servidores são responsáveis ​​pela execução dos serviços ipa:

ipa_server = ipa1.sub.domain.mycompany.com, ipa2.sub.domain.mycompany.com

Finalmente, eu apenas tive que fazer logon ipa1.sub.domain.mycompany.com, onde vejo que ele ipaestá realmente instalado, assim como o LDAP. Algumas pesquisas criteriosas na Internet me levaram a esta página da Redhat referente ao gerenciamento de senhas via IPA , que me deu estas etapas úteis:

$ kinit admin
$ ipa user-mod jsmith --password

Voila, pronto! Lição aprendida: Meu sistema de laboratório é uma espécie de confusão de servidores configurados (talvez) de maneira não-padrão, mas algumas pessoas com conhecimento podem fornecer algumas dicas para apontar na direção certa e seguir as migalhas de pão e fazer algumas pesquisas na Internet esperançosamente revelará a resposta.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.