Tengo una pregunta sobre Openldap. Estoy usando una solución (PingFederate) que recibe errores de openldap para hacer cosas diferentes según el filtro. Por ejemplo, puedo decir: detecta el error de DN no válido y cuando lo recibas haz algo.
Configuré olcPPolicyUseLockout en verdadero en ppolicy para obtener más información cuando hay credenciales no válidas; para que Pingfederate lo captara. Pero no funciona
Cuando uso ldapwhoami con -e ppolicy obtengo lo siguiente: ldap_bind: Credenciales no válidas (49); La contraseña expiró ldap_bind: Credenciales no válidas (49); Cuenta bloqueada
Entonces mi pregunta es la siguiente: ¿Qué significa el punto y coma en Openldap? ¿Se tiene en cuenta el mensaje que sigue al punto y coma? ¿Openldap comunica todo el error a las otras soluciones con las que está integrado?
Respuesta1
En primer lugar, tenga en cuenta que las herramientas de línea de comandos de OpenLDAP generan una representación textual del código de resultado y el mensaje de diagnóstico que no es la codificación exacta del protocolo en el cable.
Las PDU LDAP son mensajes codificados ASN.1. Para comprender la estructura de respuesta, puede consultarRFC 4511 sección 4.1.9. Para observar las PDU LDAP realmente enviadas por los componentes LDAP, el disector LDAP en Wireshark es muy útil.
Principalmente la superposición de OpenLDAPpolítica de slapoimplementosborrador-behera-ldap-política-de-contraseña-09. Este borrador de Internet especifica los llamados controles extendidos, tanto para solicitudes como para respuestas, que amplían la semántica del protocolo de la operación de vinculación.
Esto significa que cada cliente LDAP compatible con políticas tiene que 1. enviar elcontrol de solicitud de política de contraseñasy 2. decodificar e interpretar elcontrol de respuesta.
Ver tambiéncódigo de demostración python-ldapcomo ejemplo.