У нас есть рабочая установка OpenLDAP версии 2.4, которая использует атрибуты shadowAccount. Я хочу включить наложения ppolicy.
Я выполнил шаги, указанные вOpenLDAP и ppolicy как это сделатьЯ внес изменения в slapd.conf и импортировал политику паролей.
При перезапуске OpenLDAP работает нормально, и я могу видеть политику паролей, когда делаю ldapsearch. Объект пользователя выглядит так, как показано ниже.
# extended LDIF
#
# LDAPv3
# base <dc=xxxxx,dc=in> with scope subtree
# filter: uid=testuser
# requesting: ALL
#
# testuser, People, xxxxxx.in
dn: uid=testuser,ou=People,dc=xxxxx,dc=in
uid: testuser
cn: testuser
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
shadowMax: 90
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 569
gidNumber: 1005
homeDirectory: /data/testuser
userPassword:: xxxxxxxxxxxxx
shadowLastChange: 15079
Политика паролей приведена ниже.
# default, policies, xxxxxx.in
dn: cn=default,ou=policies,dc=xxxxxx,dc=in
objectClass: top
objectClass: device
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdMaxAge: 7776002
pwdExpireWarning: 432000
pwdInHistory: 0
pwdCheckQuality: 1
pwdMinLength: 8
pwdMaxFailure: 5
pwdLockout: TRUE
pwdLockoutDuration: 900
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
Я не знаю, что делать после этого. Как можетshadowAccountатрибуты следует заменить политикой паролей.
решение1
shadowAccountАтрибуты не имеют ничего общего с политикой паролей. Политики паролей (которые сами по себе основаны на черновике RFC и могут измениться завтра или полностью исчезнуть) управляются сервером. Теневой материал управляется клиентами LDAP. Например, политики паролей позволяют серверу принудительно применять историю и качество паролей на стороне сервера, но клиенты должны обрабатывать материал shadowAccount.