我们正在安装使用shadowAccount属性的OpenLDAP版本2.4。 我想启用ppolicy覆盖。
我已经完成了OpenLDAP提供的步骤和教程 。 我已经对slapd.conf进行了更改并导入了密码策略。
在重新启动OpenLDAP工作正常,我可以看到密码的政策,当我做一个LDAPsearch。 用户对象如下所示。
# extended LDIF # # LDAPv3 # base <dc=xxxxx,dc=in> with scope subtree # filter: uid=testuser # requesting: ALL # # testuser, People, xxxxxx.in dn: uid=testuser,ou=People,dc=xxxxx,dc=in uid: testuser cn: testuser objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount shadowMax: 90 shadowWarning: 7 loginShell: /bin/bash uidNumber: 569 gidNumber: 1005 homeDirectory: /data/testuser userPassword:: xxxxxxxxxxxxx shadowLastChange: 15079 密码策略如下。
# default, policies, xxxxxx.in dn: cn=default,ou=policies,dc=xxxxxx,dc=in objectClass: top objectClass: device objectClass: pwdPolicy cn: default pwdAttribute: userPassword pwdMaxAge: 7776002 pwdExpireWarning: 432000 pwdInHistory: 0 pwdCheckQuality: 1 pwdMinLength: 8 pwdMaxFailure: 5 pwdLockout: TRUE pwdLockoutDuration: 900 pwdGraceAuthNLimit: 0 pwdFailureCountInterval: 0 pwdMustChange: TRUE pwdAllowUserChange: TRUE pwdSafeModify: FALSE
在这之后我不该做什么。 如何将shadowAccount属性replace为密码策略。
shadowAccount属性与密码策略无关。 密码策略(它们本身基于RFC草案,可能会在明天改变或完全死亡)在服务器上进行pipe理。 影子的东西是由LDAP客户端pipe理的。 例如,密码策略允许服务器在服务器端强制执行密码历史logging和质量,但是客户端必须处理shadowAccount东西。