<div dir="ltr">Hi All<div>I am trying to change the password using passwd, please see the below :</div><div><br></div><div><div>[xyz@server ~]$ passwd</div><div>Changing password for user xyz.</div><div>Enter login(LDAP) password:</div>

<div>New UNIX password:</div><div>Retype new UNIX password:</div><div><b>LDAP password information update failed: Confidentiality required</b></div><div><b>Operation requires a secure connection.</b></div><div><br></div>
<div>
The error log shows </div><div><div>Nov 13 11:47:17 HA-Dev-Nymgo-100-45 passwd: pam_unix(passwd:chauthtok): user &quot;xyz&quot; does not exist in /etc/passwd</div></div><div><br></div><div>Pam config follows :</div><div>

<br></div><div>/etc/pam.d/passwd</div><div><div>#%PAM-1.0</div><div>auth       include      system-auth</div><div>account    include      system-auth</div><div>password   include      system-auth</div><div>~</div></div><div>

<br></div><div>/etc/pam.d/system-auth</div><div><br></div><div><div>#/etc/pam.d/system-auth</div><div>#%PAM-1.0</div><div><br></div><div>auth            required          pam_env.so</div><div>auth            sufficient      pam_unix.so</div>

<div>auth            sufficient      pam_ldap.so  use_first_pass</div><div>auth            required          pam_deny.so</div><div><br></div><div>account  sufficient     pam_unix.so</div><div>account  sufficient     pam_ldap.so use_first_pass</div>

<div>account  required         pam_deny.so</div><div><br></div><div>password    requisite     pam_cracklib.so try_first_pass retry=3</div><div>password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok</div>

<div>password    sufficient    pam_ldap.so use_authtok</div><div>password    required      pam_deny.so</div><div><br></div><div><br></div><div>#password        required        pam_cracklib.so retry=3 minlen=2  dcredit=0  ucredit=0</div>

<div>#password        sufficient      pam_unix.so nullok use_authtok md5 shadow</div><div>#password        sufficient      pam_ldap.so</div><div>#password        required          pam_deny.so</div><div><br></div><div>session  optional         pam_mkhomedir.so skel=/etc/skel/ umask=0022</div>

<div>session  required         pam_limits.so</div><div>session  required         pam_unix.so</div><div>session  optional         pam_ldap.so</div><div>~</div><div>~</div></div><div><br></div><div><br></div><br><div class="gmail_quote">

On Tue, Nov 13, 2012 at 11:15 AM, Arpit Tolani <span dir="ltr">&lt;<a href="mailto:arpittolani@gmail.com" target="_blank">arpittolani@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hello<br>
<div class="im"><br>
<br>
<br>
On Tue, Nov 13, 2012 at 1:10 PM, Ali Jawad &lt;<a href="mailto:ali.jawad@splendor.net">ali.jawad@splendor.net</a>&gt; wrote:<br>
&gt; Hi Arpit<br>
&gt; Actually I was attempting to change the password using command line<br>
&gt;<br>
&gt; passwd<br>
&gt;<br>
&gt; I.e. each user changes his own password, is passwd the right choice here ?<br>
&gt;<br>
<br>
</div>Yes, passwd is right choice, considering you have pam_ldap.so properly<br>
configured &amp; yes passwd dont need ssl/tls to be configured.<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
&gt; Regards<br>
&gt;<br>
&gt; On Mon, Nov 12, 2012 at 11:27 PM, Arpit Tolani &lt;<a href="mailto:arpittolani@gmail.com">arpittolani@gmail.com</a>&gt;<br>
&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; Hello<br>
&gt;&gt;<br>
&gt;&gt; On Tue, Nov 13, 2012 at 12:33 AM, Ali Jawad &lt;<a href="mailto:ali.jawad@splendor.net">ali.jawad@splendor.net</a>&gt;<br>
&gt;&gt; wrote:<br>
&gt;&gt; &gt; In that case I have a major overhaul that I need to complete, change<br>
&gt;&gt; &gt; password is not working for me, my assumption is that it only works with<br>
&gt;&gt; &gt; TLS<br>
&gt;&gt; &gt; enabled between the client and the server, I have tried to get TLS to<br>
&gt;&gt; &gt; run a<br>
&gt;&gt; &gt; few times but could not get it to run so far. Am I right about the<br>
&gt;&gt; &gt; assumption that I need encryption between the server and the clients for<br>
&gt;&gt; &gt; password change to work ?<br>
&gt;&gt; &gt; Regards<br>
&gt;&gt; &gt;<br>
&gt;&gt;<br>
&gt;&gt; When using ldappasswd command, Yes ssl/tls is mandatory, Try changing<br>
&gt;&gt; password using ldapmodify, it doesnt required ssl/tls connection.<br>
&gt;&gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; On Mon, Nov 12, 2012 at 8:56 PM, Mark Reynolds &lt;<a href="mailto:mareynol@redhat.com">mareynol@redhat.com</a>&gt;<br>
&gt;&gt; &gt; wrote:<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; Only &quot;crypt&quot; uses the first 8 characters, so any other scheme would be<br>
&gt;&gt; &gt;&gt; fine.  After you change the scheme you will need to force all the users<br>
&gt;&gt; &gt;&gt; to<br>
&gt;&gt; &gt;&gt; change their passwords - otherwise their crypt passwords will still be<br>
&gt;&gt; &gt;&gt; present.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; On 11/12/2012 01:52 PM, Ali Jawad wrote:<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; Hi All<br>
&gt;&gt; &gt;&gt; This is an all Linux environment with 389 being used as the sole<br>
&gt;&gt; &gt;&gt; authentication mechanism, I do believe I am using crypt, I am out of<br>
&gt;&gt; &gt;&gt; office<br>
&gt;&gt; &gt;&gt; right now, what should I use instead of crypt to match more characters<br>
&gt;&gt; &gt;&gt; ?<br>
&gt;&gt; &gt;&gt; Regards<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; On Mon, Nov 12, 2012 at 7:02 PM, Mark Reynolds &lt;<a href="mailto:mareynol@redhat.com">mareynol@redhat.com</a>&gt;<br>
&gt;&gt; &gt;&gt; wrote:<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; Also what password storage scheme are you using?  For example &quot;crypt&quot;<br>
&gt;&gt; &gt;&gt;&gt; only checks the first 8 characters of a password.<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; On 11/12/2012 11:18 AM, Dan Lavu wrote:<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; In regards to a password policy? Just 389 or are you using winsync<br>
&gt;&gt; &gt;&gt;&gt; with<br>
&gt;&gt; &gt;&gt;&gt; AD? Because the password policy from AD does not transfer over. Also<br>
&gt;&gt; &gt;&gt;&gt; they<br>
&gt;&gt; &gt;&gt;&gt; are some extra steps if you want to setup an OU based password policy<br>
&gt;&gt; &gt;&gt;&gt; but if<br>
&gt;&gt; &gt;&gt;&gt; you just do it for the entire directory through ‘configuration’ it<br>
&gt;&gt; &gt;&gt;&gt; works<br>
&gt;&gt; &gt;&gt;&gt; with no issues.<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; Dan<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; From: Ali Jawad &lt;<a href="mailto:ali.jawad@splendor.net">ali.jawad@splendor.net</a>&gt;<br>
&gt;&gt; &gt;&gt;&gt; Sent: November 12, 2012 6:00 AM<br>
&gt;&gt; &gt;&gt;&gt; To: General discussion list for the 389 Directory server project.<br>
&gt;&gt; &gt;&gt;&gt; Subject: [389-users] Password + anything works ?<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; Hi<br>
&gt;&gt; &gt;&gt;&gt; I just noticed that you can use the password+ANYLetters and it will<br>
&gt;&gt; &gt;&gt;&gt; work,<br>
&gt;&gt; &gt;&gt;&gt; I.e. if the password is xyz xyz99 or xyzABC will work as well, is this<br>
&gt;&gt; &gt;&gt;&gt; a<br>
&gt;&gt; &gt;&gt;&gt; misconfiguration on my part or a bug ?<br>
&gt;&gt; &gt;&gt;&gt; Regards<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; Regards<br>
&gt;&gt; Arpit Tolani<br>
&gt;&gt; --<br>
&gt;&gt; 389 users mailing list<br>
&gt;&gt; <a href="mailto:389-users@lists.fedoraproject.org">389-users@lists.fedoraproject.org</a><br>
&gt;&gt; <a href="https://admin.fedoraproject.org/mailman/listinfo/389-users" target="_blank">https://admin.fedoraproject.org/mailman/listinfo/389-users</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; Ali Jawad<br>
&gt; Information Systems Manager<br>
&gt; CISSP - PMP - ITIL V3 - RHCE - VCP - C|EH - CCNA - MCSA<br>
&gt; Splendor Telecom (<a href="http://www.splendor.net" target="_blank">www.splendor.net</a>)<br>
&gt; Beirut, Lebanon<br>
&gt; Phone: +9611373725/ext 116<br>
&gt; FAX: +9611375554<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; 389 users mailing list<br>
&gt; <a href="mailto:389-users@lists.fedoraproject.org">389-users@lists.fedoraproject.org</a><br>
&gt; <a href="https://admin.fedoraproject.org/mailman/listinfo/389-users" target="_blank">https://admin.fedoraproject.org/mailman/listinfo/389-users</a><br>
<br>
--<br>
Regards<br>
Arpit Tolani<br>
--<br>
389 users mailing list<br>
<a href="mailto:389-users@lists.fedoraproject.org">389-users@lists.fedoraproject.org</a><br>
<a href="https://admin.fedoraproject.org/mailman/listinfo/389-users" target="_blank">https://admin.fedoraproject.org/mailman/listinfo/389-users</a></div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>

<div dir="ltr"><font><font color="#888888"><b>Ali Jawad    <br></b></font></font><div><div><font><font color="#888888"><b>Information Systems Manager<br><font size="1">CISSP - PMP - ITIL V3 - RHCE - VCP - C|EH - CCNA - MCSA</font><br>

</b></font></font></div><div><font><font color="#888888"><b>Splendor Telecom <span style="background-color:rgb(255,255,255)">(</span><span style="background-color:rgb(51,51,255);color:rgb(51,102,255)"><a href="http://www.splendor.net/" target="_blank"><span style="background-color:rgb(255,255,255)"><font color="#3366ff">www.splendor.net</font></span></a></span><span style="background-color:rgb(255,255,255)">)</span><br>


Beirut, Lebanon<br>Phone: +9611373725/ext 116<br>FAX: +9611375554<br><br></b></font></font><div><div></div></div></div></div></div><br>
</div></div>