我們已經安裝了 OpenLDAP 2.4 版,它使用的是 ShadowAccount 屬性。我想啟用 ppolicy 覆蓋。
我已完成以下位置提供的步驟OpenLDAP 和策略指南。我已對 slapd.conf 進行了更改並導入了密碼原則。
重新啟動後,OpenLDAP 運作正常,並且在執行 ldapsearch 時可以看到密碼原則。使用者物件如下所示。
# extended LDIF
#
# LDAPv3
# base <dc=xxxxx,dc=in> with scope subtree
# filter: uid=testuser
# requesting: ALL
#
# testuser, People, xxxxxx.in
dn: uid=testuser,ou=People,dc=xxxxx,dc=in
uid: testuser
cn: testuser
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
shadowMax: 90
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 569
gidNumber: 1005
homeDirectory: /data/testuser
userPassword:: xxxxxxxxxxxxx
shadowLastChange: 15079
密碼策略如下。
# default, policies, xxxxxx.in
dn: cn=default,ou=policies,dc=xxxxxx,dc=in
objectClass: top
objectClass: device
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdMaxAge: 7776002
pwdExpireWarning: 432000
pwdInHistory: 0
pwdCheckQuality: 1
pwdMinLength: 8
pwdMaxFailure: 5
pwdLockout: TRUE
pwdLockoutDuration: 900
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
我不知道此後該做什麼。怎樣才能影子帳戶屬性被替換為密碼策略。
答案1
shadowAccount屬性與密碼策略無關。密碼策略(本身基於 RFC 草案,明天可能會更改或完全失效)由伺服器管理。影子內容由 LDAP 用戶端管理。例如,密碼策略允許伺服器在伺服器端強制執行密碼歷史記錄和質量,但客戶端必須處理這些shadowAccount內容。