Tenemos una instalación funcional de OpenLDAP versión 2.4 que utiliza atributos de shadowAccount. Quiero habilitar las superposiciones de políticas.
He seguido los pasos proporcionados enCómo abrir LDAP y ppolicy. Hice los cambios en slapd.conf e importé la política de contraseñas.
Al reiniciar, OpenLDAP funciona bien y puedo ver la política de contraseñas cuando hago una búsqueda de ldap. El objeto de usuario se parece a lo que se muestra a continuación.
# extended LDIF
#
# LDAPv3
# base <dc=xxxxx,dc=in> with scope subtree
# filter: uid=testuser
# requesting: ALL
#
# testuser, People, xxxxxx.in
dn: uid=testuser,ou=People,dc=xxxxx,dc=in
uid: testuser
cn: testuser
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
shadowMax: 90
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 569
gidNumber: 1005
homeDirectory: /data/testuser
userPassword:: xxxxxxxxxxxxx
shadowLastChange: 15079
La política de contraseñas se detalla a continuación.
# default, policies, xxxxxx.in
dn: cn=default,ou=policies,dc=xxxxxx,dc=in
objectClass: top
objectClass: device
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdMaxAge: 7776002
pwdExpireWarning: 432000
pwdInHistory: 0
pwdCheckQuality: 1
pwdMinLength: 8
pwdMaxFailure: 5
pwdLockout: TRUE
pwdLockoutDuration: 900
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
No sé qué se debe hacer después de esto. ¿Cómo puede elcuentasombraLos atributos se reemplazarán con la política de contraseña.
Respuesta1
shadowAccountLos atributos no tienen nada que ver con las políticas de contraseña. Las políticas de contraseñas (que a su vez se basan en un borrador RFC y podrían cambiar mañana o desaparecer por completo) se administran en el servidor. El material oculto lo gestionan los clientes LDAP. Por ejemplo, las políticas de contraseñas permiten que el servidor aplique el historial y la calidad de las contraseñas en el lado del servidor, pero los clientes deben encargarse de shadowAccountello.