我们的目标是管理来自 Keycloak 的 FreeIPA 用户密码,这在我们使用来自 FreeIPA 的管理员用户从 Keycloak 绑定时起作用,例如在 Keycloak > User Federation > LDAP > Bind DN: uid=admin,cn=users,cn=accounts ,dc=示例,dc=com
当使用仅具有管理密码权限的非特权用户时,我们可以同步用户,但从 keycloak 列出用户会返回错误:“发生意外的服务器错误”
如果我们将非特权用户添加到 LDAP 中的管理员组,它也可以工作
这些是我们用来添加管理密码权限的命令:
ipa role-add "Self Password Reset"
ipa role-add-member "Self Password Reset" --users="ldap-passwd-reset"
ipa role-add-privilege "Self Password Reset" --privileges="Modify Users and Reset passwords"
ipa role-add-privilege "Self Password Reset" --privileges="Password Policy Readers"
ipa role-add-privilege "Self Password Reset" --privileges="Kerberos Ticket Policy Readers"
ipa permission-mod "System: Change User password" --includedattrs="krbloginfailedcount"
我的问题是用户需要能够从 Keycloak 管理 LDAP 密码而不是管理组成员的最低权限是什么