389 LDAP クライアント認証の問題 [CENTOS 7]

posixグループとposixアカウントを作成し、クライアントを正常に認証できますが、クライアントはパスワードを変更できません。エラーはですpassword change failed: Confidentiality required``passwd: Authentication token manipulation error。

/var/ログ/セキュリティ

8月23日05:08:13 RHELQAパスワード：pam_ldap（passwd：chauthtok）：パスワード変更に失敗しました：パスワード変更に失敗しました：機密保持が必要です。 user=johanp
8月23日 05:08:34 RHELQA パスワード: pam_unix(passwd:chauthtok ): ユーザー "johanp" が /etc/passwd に存在しません。
Aug 23 05:09:11 RHELQA パスワード: pam_unix(passwd:chauthtok): ユーザー "johanp" が /etc/passwd に存在しません。
Aug 23 05: 09:11 RHELQA パスワード: pam_ldap (passwd:chauthtok): パスワード変更失敗: パスワード変更失敗: 機密保持が必要です。 user=johanp 8
月23日 05:10:29 RHELQA パスワード: pam_unix(passwd:chauthtok): ユーザー "johanp" が /etc/passwd にありません。
23 05:10:40 RHELQA パスワード: pam_unix(passwd:chauthtok): ユーザー "johanp" が /etc/passwd に存在しません。
Aug 23 05:10:40 RHELQA パスワード: pam_ldap(passwd:chauthtok): パスワード変更失敗: パスワード失敗した変更: user = johanp 8 月 23
日 06:28:28 rhelqa sshd [3224]: XXXX ポート 2で EC2 ユーザーの公開鍵を受け入れる
sshd[322 4]: pam_unix(sshd:session): (uid=0)
Aug 23 06:28:30 ユーザー ec2-user の RHELQA セッションを開く sudo: ec2-user : TTY=pts / 2; ec2-user; user = root; COMMAND=/bin/bash
8月23日 06:29:07 RHELQA sshd[3257]: pam_unix( sshd:auth): 認証に失敗しました。 = rhost=xxxx user=johanp
8月23日 06:29:07 RHELQA sshd[3257]: xxxx ポート 5474 ssh2 で johanp パスワードを受け入れる
8 月 23 日 06:29:07 RHELQA sshd[3257]: pam ): セッション作成者 (uid=0)
Aug 23 06:29:12 RHELQA johanp ユーザーの RHELQA を開く パスワード: pam_unix(passwd:chauthtok): ユーザー "johanp" が /etc/ passwd に存在しません。
Aug 23 06:29:23 RHELQA パスワード: pam_unix (passwd:chauthtok): ユーザー "johanp" が /etc/passwd にありません。
Aug 23 06:29:23 RHELQA passwd: pam_ldap(passwd:chauthtok): パスワード変更失敗: パスワード変更失敗: 機密保持 user=johanp

/etc/pam.d/system-auth

＃％PAM-1.0
＃このファイルは自動的に生成されます。
＃ユーザーの変更は、次回authconfigが実行されると削除されます。
認証が必要 pam_env.so 認証が必要
pam_faildelay.so 遅延 = 2000000 認証
十分 pam_unix.so nullok try_first_pass
認証が必要 pam_succeed_if.so uid >= 1000 Quiet_success
認証十分
pam_ldap.so use_fir

アカウントが必要 pam_unix.sobroken_shadow アカウントが
十分 pam_localuser.so アカウントが十分
pam_succeed_if.so uid < 1000 自動
アカウント [デフォルト = 無効な成功 = ok user_unknown = ignore] pam_ldap.so アカウントが必要
pam_permit.so

パスワードが必要 pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
パスワード十分 pam_unix.so sha512 シャドウ nullok try_first_pass use_authtok パスワード十分 pam_ldap.so
use

セッションの選択 pam_keyinit.so UNDO セッションが
必要 pam_limits.so
-session 選択 pam_systemd.so
セッション [success=1 デフォルト = 無視] pam_succeed_if.so crond のサービス 静かな use_uid
セッションが必要 pam_unix.so セッションを選択
pam_ldap.so

/etc/pam.d/パスワードの確認

＃％PAM-1.0
＃このファイルは自動的に生成されます。
＃ユーザーの変更は、次回authconfigが実行されると削除されます。
認証が必要 pam_env.so 認証が必要
pam_faildelay.so 遅延 = 2000000 認証
十分 pam_unix.so nullok try_first_pass
認証が必要 pam_succeed_if.so uid >= 1000 Quiet_success
認証十分
pam_ldap.so use_fir

アカウントが必要 pam_unix.sobroken_shadow アカウントが
十分 pam_localuser.so アカウントが十分
pam_succeed_if.so uid < 1000 自動
アカウント [デフォルト = 無効な成功 = ok user_unknown = ignore] pam_ldap.so アカウントが必要
pam_permit.so

パスワードが必要です pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
パスワードが十分です pam_unix.so sha512 Shadow nullok try_first_pass use_authtok
パスワードが十分です pam_ldap

パスワード pam_deny.so が必要

セッションの選択 pam_keyinit.so UNDO セッションが
必要 pam_limits.so
-session 選択 pam_systemd.so
セッション [success=1 デフォルト = 無視] pam_succeed_if.so crond のサービス 静かな use_uid
セッションが必要 pam_unix.so セッションを選択
pam_ldap.so

/etc/openldap/ldap.conf

##
LDAPデフォルト
#

＃詳細についてはldap.conf（5）を参照してください。
＃このファイルは誰でも読むことができるはずですが、書き込みはできません。

#BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF 絶対にしない

TLS_CACERTDIR /etc/openldap/cacerts

# この機能をオフにすると、URI ldap://backup.abc.xyz.local/
BASE dc=abc,dc=xyz,dc=local で rdns = false SASL_NOCANON の場合、krb5 で使用される GSSAPI が中断されます。