git.sur5r.net Git - openldap/blob - contrib/slapd-modules/smbk5pwd/slapo-smbk5pwd.5

   1 .TH SLAPO-SMBK5PWD 5 "RELEASEDATE" "OpenLDAP LDVERSION"
   2 .\" Copyright 2015-2017 The OpenLDAP Foundation All Rights Reserved.
   3 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
   4 .\" $OpenLDAP$
   5 .SH NAME
   6 slapo-smbk5pwd \- Samba & Kerberos password sync overlay to slapd
   7 .SH SYNOPSIS
   8 ETCDIR/slapd.conf
   9 .RS
  10 .LP
  11 include
  12 .B "<path to>/krb5-kdc.schema"
  13 .LP
  14 include
  15 .B "<path to>/samba.schema"
  16 .LP
  17 moduleload
  18 .B smbk5pwd.so
  19 .LP
  20  ...
  21 .LP
  22 database mdb
  23 .LP
  24  ...
  25 .LP
  26 overlay
  27 .B smbk5pwd
  28 .RE
  29
  30 .SH DESCRIPTION
  31 .LP
  32 The
  33 .B smbk5pwd
  34 overlay to
  35 .BR slapd (8)
  36 overloads the Password Modify Extended Operation (RFC 3062) to update
  37 Kerberos keys and Samba password hashes for an LDAP user, as well as
  38 updating password change related attributes for Kerberos, Samba and/or
  39 UNIX user accounts.
  40 .LP
  41 The Samba support is written using the Samba 3.0 LDAP schema;
  42 Kerberos support is written for Heimdal using its hdb-ldap backend.
  43 .LP
  44 Additionally, a new
  45 .B {K5KEY}
  46 password hash mechanism is provided.
  47 For
  48 .B krb5KDCEntry
  49 objects that have this scheme specifier in their
  50 .I userPassword
  51 attribute, Simple Binds will be checked against the Kerberos keys of the entry.
  52 No data is needed after the
  53 .B {K5KEY}
  54 scheme specifier in the
  55 .IR userPassword ,
  56 it is looked up from the entry directly.
  57
  58 .SH CONFIGURATION
  59 The
  60 .B smbk5pwd
  61 overlay supports the following
  62 .B slapd.conf
  63 configuration options, which should appear after the
  64 .B overlay
  65 directive:
  66 .TP
  67 .BI smbk5pwd-enable " <module>"
  68 can be used to enable only the desired modules.
  69 Legal values for
  70 .I <module>
  71 are
  72 .LP
  73 .RS
  74 .TP
  75 .B krb5
  76 If the user has the
  77 .B krb5KDCEntry
  78 objectclass, update the
  79 .B krb5Key
  80 and
  81 .B krb5KeyVersionNumber
  82 attributes using the new password in the Password Modify operation,
  83 provided the Kerberos account is not expired.
  84 Exiration is determined by evaluating the
  85 .B krb5ValidEnd
  86 attribute.
  87 .TP
  88 .B samba
  89 If the user is a
  90 .B sambaSamAccount
  91 object, synchronize the
  92 .B sambaLMPassword
  93 and
  94 .B sambaNTPassword
  95 to the password entered in the Password Modify operation, and update
  96 .B sambaPwdLastSet
  97 accordingly.
  98 .TP
  99 .B shadow
 100 Update the attribute
 101 .BR shadowLastChange ,
 102 if the entry has the objectclass
 103 .BR shadowAccount .
 104 .LP
 105 By default all modules compiled in are enabled.
 106 Setting the config statement restricts the enabled modules to the ones
 107 explicitly mentioned.
 108 .RE
 109 .TP
 110 .BI smbk5pwd-can-change " <seconds>"
 111 If the
 112 .B samba
 113 module is enabled and the user is a
 114 .BR sambaSamAccount ,
 115 update the attribute
 116 .B sambaPwdCanChange
 117 to point
 118 .I <seconds>
 119 into the future, essentially denying any Samba password change until then.
 120 A value of
 121 .B 0
 122 disables this feature.
 123 .TP
 124 .BI smbk5pwd-must-change " <seconds>"
 125 If the
 126 .B samba
 127 module is enabled and the user is a
 128 .BR sambaSamAccount ,
 129 update the attribute
 130 .B sambaPwdMustChange
 131 to point
 132 .I <seconds>
 133 into the future, essentially setting the Samba password expiration time.
 134 A value of
 135 .B 0
 136 disables this feature.
 137 .LP
 138 Alternatively, the overlay supports table-driven configuration,
 139 and thus can be run-time loaded and configured via back-config.
 140
 141 .SH EXAMPLE
 142 The layout of a slapd.d based, table-driven configuration entry looks like:
 143 .LP
 144 .EX
 145         # {0}smbk5pwd, {1}mdb, config
 146         dn: olcOverlay={0}smbk5pwd,olcDatabase={1}mdb,cn=config
 147         objectClass: olcOverlayConfig
 148         objectClass: olcSmbK5PwdConfig
 149         olcOverlay: {0}smbk5pwd
 150         olcSmbK5PwdEnable: krb5
 151         olcSmbK5PwdEnable: samba
 152         olcSmbK5PwdMustChange: 2592000
 153 .EE
 154 .LP
 155 which enables both
 156 .B krb5
 157 and
 158 .B samba
 159 modules with a Samba password expiration time of 30 days (=
 160 .B 2592000
 161 seconds).
 162
 163 .SH SEE ALSO
 164 .BR slapd.conf (5),
 165 .BR ldappasswd (1),
 166 .BR ldap (3),
 167 .LP
 168 "OpenLDAP Administrator's Guide" (http://www.OpenLDAP.org/doc/admin/)
 169 .LP
 170
 171 .SH ACKNOWLEDGEMENTS
 172 This manual page has been written by Peter Marschall based on the
 173 module's README file written by Howard Chu.
 174 .LP
 175 .B OpenLDAP
 176 is developed and maintained by The OpenLDAP Project (http://www.openldap.org/).
 177 .B OpenLDAP
 178 is derived from University of Michigan LDAP 3.3 Release.
 179