ldappasswd が Invalide credentials (49) を返してくる

 タイトルの通りですが，LDAPのパスワードを変えようと ldappasswd を使うのだが， % ldappasswd -x -D "cn=Manager,dc=example,dc=com" -W "uid=student1,ou=Users,dc=example,dc=com" -S New password: Re-enter new password: Enter LDAP Password: ldap_bind: Invalid credentials (49)  

と返されうまくいかない．原因は

(1) 認証に利用しているrootdnが異なる

(2) 認証に利用しているパスワードが異なる，特に平文を使っている場合，それがハッシュ化される時のハッシュ値が実行条件によって変化する

(3) 認証に利用しているパスワードへのアクセス権がない

などがあげられるらしいが，(2) はMD5にしているし，(1)，(3) は他の ldap* コマンドは受け付けているので理由が全くわからなくて困ってしまった．

結局初期化はインスタンスごと作り直すことに．

#!/bin/perl # # perl script to generate .ldif # # usage: # perl gen_ldif.pl "username" "passwd" "sudo/normal" # -> "username".ldif # -> "username".sh # sudo "username".sh # my $username = $ARGV[0]; my $passwd = $ARGV[1]; my $uid = $ARGV[2]; my $sudo = $ARGV[3]; system("pwdhash -s MD5 $passwd > _tmp_"); open(PWD,"_tmp_") || die "cannot open _tmp_file, die\n"; $passwd = <PWD>; chomp($passwd); #open(LDIF,">${username}.ldif") || die "cannot open ${username}.ldif, die\n"; open(SH, ">${username}.sh") || die "cannot open ${username}.sh, die\n"; printf STDOUT <<EOF; dn: uid=${username},ou=Users,dc=example,dc=com changetype: add objectClass: top objectClass: person objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: posixAccount uid: ${username} cn: ${username} sn: ${username} uidNumber: ${uid} gidNumber: ${uid} homeDirectory: /home/${username} loginShell: /bin/bash userPassword: ${passwd} dn: cn=user,ou=Groups,dc=example,dc=com changetype: modify add: memberUid memberUid: ${username} dn: cn=${username},ou=Groups,dc=example,dc=com changetype: add objectClass: top objectClass: posixGroup cn: ${username} gidNumber: ${uid} EOF if(${sudo} =~ "sudo"){ printf STDOUT <<EOF; dn: cn=admin,ou=Groups,dc=example,dc=com changetype: modify add: memberUid memberUid: ${username} EOF } close(LDIF); #printf SH <<EOF; #ldapmodify -D cn=Manager -W -f ./${username}.ldif #EOF system("rm _tmp_");  

こんな感じの Perl スクリプトでユーザーを追加する .ldif を作成．

#!/bin/sh LDIF="users.ldif" # lab staff perl gen_ldif.pl professor1 pass1 10002 sudo > ${LDIF} # students perl gen_ldif.pl student1 pass2 20001 normal >> ${LDIF} perl gen_ldif.pl student2 pass2 20002 normal >> ${LDIF}  

シェルスクリプトで .ldif スクリプトを起動．

#!/bin/sh # # usage # sudo sudo_reset_ldap.sh # reset ldap db dsctl ds01 stop dsctl ds01 remove --do-it dscreate from-file /root/ds01.inf sudo dsctl ds01 restart sudo systemctl restart dirsrv@ds01 # systemctl status dirsrv@ds01 # read sssd.ldif ldapadd -D cn=Manager -W -f ./sssd.ldif # read other user.ldif ldapadd -D cn=Manager -W -f ./users.ldif  

その後，既存インスタンスの削除，インスタンス生成，LDAP オブジェクトの生成(基本+自分)，LDAP オブジェクトの生成( Perl で作った学生分)という感じ．