Modification d'un attribut technique dans OpenLDAP

[Ernesto_X]

Bonjour,

Je dispose d'un annuaire LDAP géré par OpenLDAP. Dans ce dernier je range des personnes (classe organizationalPerson). Dans cette classe il y a un attribut technique nommé pwdChangedTime.

Cet attribut est mis à jour automatiquement par OpenLDAP à la date du jour lorsqu'on change le mot de passe de l'utilisateur.

Mon programme Java utilise l'attribut pwdChangedTime afin de déterminer si le mot de passe est expiré ou non (selon une durée déterminée dans l'application).



Or, pour effectuer des tests de recette je dois créer des scenarii où des utilisateur ont une date de pwdChangedTime loin dans le passé ... je dois donc pouvoir changer cette date manuellement pour créer des cas de test.

Le problème est que si je tente de modifier manuellement cet attribut, j'ai l'erreur suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
replace pwdChangedTime:
        20110101000000Z
modifying entry "cn=PE001185,ou=personnes,o=ges"
ldap_modify: Constraint violation (19)
        additional info: pwdChangedTime: no user modification allowed

J'ai utilisé la commande suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ldapmodify -v -D cn=manager,o=ges -w secret -f pwdct.txt

- cn=manager,o=ges est le superutilisateur de mon annuaire
- pwdct.txt est le fichier contenant la donnée à modifier ...


Auriez-vous une idée sur comment modifier cet attribut ??
Merci à vous

[Mygale1978]

Hello,

Pourrais-tu nous montrer les valeurs des options rootdn, updatedn(s'il existe) ainsi que les options access de ton slapd.conf?

[Ernesto_X]

Bonjour,

Oui, voici les options utilisées dans mon slapd.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
database	bdb
suffix 		"o=ges"
checkpoint	1024 15
rootdn 		"cn=manager,o=ges"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
access to dn.base=""
	by * read
 
access to dn.base="cn=Subschema"
	by * read
 
access to attrs=userPassword
	  by self write
	  by anonymous auth
	  by * none

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
access to dn.subtree="ou=techniques,o=ges" filter="objectclass=inetOrgPerson)"
	by anonymous auth
	by * none
access to dn.subtree="ou=techniques,o=ges"
	by dn.base="cn=lecture,ou=users,ou=techniques,o=ges" read
	by * none
 
access to dn.one="ou=personnes,o=ges" attrs=userPassword
	by self write
	by dn.base="cn=ecriture,ou=users,ou=techniques,o=ges" write
	by dn.base="cn=lecture,ou=users,ou=techniques,o=ges" read
	by anonymous auth
	by * none
 
access to dn.subtree="o=ges"
	by dn.base="cn=ecriture,ou=users,ou=techniques,o=ges" write
	by dn.base="cn=lecture,ou=users,ou=techniques,o=ges" read
	by * none

Peut-être dois-je rajouter une option autorisant le cn=manager à tout modifier ?

[Mygale1978]

Re,

Effectivement, je ne vois aucune acl autorisant le "superuser" a écrire.

Normallement si c'est le superutilisateur, il devrait avoir un accès full à tous les objets de l'annuaire.

Maintenant si tu veux juste lui donner le droit de modifier le username/password,
Tu peux ajouter la ligne suivante à ton acl qui gère attribut userPassword:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
access to attrs=userPassword
	  by self write
	  by anonymous auth
          by "cn=manager,o=ges" write
	  by * none

Ensuite redémarrer le service ldap et tester

[Ernesto_X]

J'ai testé ces lignes dans mon slapd.conf ...

Mais je ne peux toujours pas modifier l'attribut pwdChangedTime de la classe organizationalPerson.

Pourtant je me connecte avec le rootdn, il devrait pouvoir tout lire et tout écrire normalement (bizarre).

J'ai testé ceci mais sans succès :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
access to attrs=pwdChangedTime
	  by self write
	  by anonymous auth
          by "cn=manager,o=ges" write
	  by * none

Là je sèche complétement ...