我已经在rhel7.2中成功configuration了OpenLDAP服务器。我也按照URL https://access.redhat.com/solutions/2710021实现了密码策略。
LDAP客户端服务器身份validation正常工作。
我希望每当LDAP用户login到LDAP客户端时,它应该显示在密码到期之前还剩多less天(就像我们通常在用户login到计算机时一样)
同样,我已经通过“ldapmodify”命令将“lwapExpireWarning”的ldap密码策略修改为24天。
当用户login到LDAP客户端时,ldap用户只需在login提示符下login,不需要任何消息。
码:
[root@LDAP Server]# ldapsearch -x -b cn=default,ou=policies,dc=domain,dc=com -H ldap://LDAP Server.domain.com # extended LDIF # # LDAPv3 # base <cn=default,ou=policies,dc=domain,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # default, policies, domain.com dn: cn=default,ou=policies,dc=domain,dc=com cn: default objectClass: pwdPolicy objectClass: device objectClass: top pwdAttribute: userPassword pwdMaxAge: 2592000 pwdInHistory: 4 pwdMinLength: 14 pwdMaxFailure: 3 pwdLockout: TRUE pwdGraceAuthNLimit: 0 pwdFailureCountInterval: 0 pwdMustChange: TRUE pwdAllowUserChange: TRUE pwdSafeModify: FALSE pwdLockoutDuration: 1800 pwdExpireWarning: 2073600 pwdCheckQuality: 2 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 当我loginLDAP客户端时:
[LDAP client]# su - ldapusr1 Last login: <Date> pts/0 [LDAP client]$
请build议。
这很可能是因为当非LDAP用户login时,它是/etc/shadow文件中控制密码过期的阴影属性,而对于LDAP用户,ppolicy叠加层不提供相同的属性。
您可以将shadowAccount对象类应用于每个用户,然后提供与正常的/etc/shadow文件中相同的属性,但是您必须手动维护这些属性,而不会通过ppolicy覆盖更新。