ShadowAccount 속성을 사용하는 OpenLDAP 버전 2.4를 설치하는 작업이 진행 중입니다. ppolicy 오버레이를 활성화하고 싶습니다.
나는 다음에 제공된 단계를 거쳤습니다.OpenLDAP 및 정책 하우투. slapd.conf를 변경하고 비밀번호 정책을 가져왔습니다.
다시 시작하면 OpenLDAP가 제대로 작동하고 ldapsearch를 수행할 때 비밀번호 정책을 볼 수 있습니다. 사용자 개체는 아래와 같습니다.
# extended LDIF
#
# LDAPv3
# base <dc=xxxxx,dc=in> with scope subtree
# filter: uid=testuser
# requesting: ALL
#
# testuser, People, xxxxxx.in
dn: uid=testuser,ou=People,dc=xxxxx,dc=in
uid: testuser
cn: testuser
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
shadowMax: 90
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 569
gidNumber: 1005
homeDirectory: /data/testuser
userPassword:: xxxxxxxxxxxxx
shadowLastChange: 15079
비밀번호 정책은 아래와 같습니다.
# default, policies, xxxxxx.in
dn: cn=default,ou=policies,dc=xxxxxx,dc=in
objectClass: top
objectClass: device
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdMaxAge: 7776002
pwdExpireWarning: 432000
pwdInHistory: 0
pwdCheckQuality: 1
pwdMinLength: 8
pwdMaxFailure: 5
pwdLockout: TRUE
pwdLockoutDuration: 900
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
이 후에 해야 할 일은 하지 않습니다. 어떻게 할 수 있습니까?섀도우계정속성은 비밀번호 정책으로 대체됩니다.
답변1
shadowAccount속성은 비밀번호 정책과 아무 관련이 없습니다. 암호 정책(자체는 RFC 초안을 기반으로 하며 내일 변경되거나 완전히 사라질 수 있음)은 서버에서 관리됩니다. 섀도우 항목은 LDAP 클라이언트에 의해 관리됩니다. 예를 들어, 비밀번호 정책을 통해 서버는 서버 측에서 비밀번호 기록 및 품질을 시행할 수 있지만 클라이언트는 이를 처리해야 합니다 shadowAccount.