我试图find如何更改OpenLDAP中的一些密码策略设置(在系统级而不是在每个用户级别),使所有 LDAP帐户用户(即现有用户和新用户)的密码在90天。
我知道控制这个主参数是maxPasswdAge参数,但我不知道如何设置。 我已经尝试了不同的ldapmodify选项,但是失败了:
ldapmodify -W -x -D "cn=Manager,dc=mydomain,dc=local" -f test.ldif dn: cn=pwdpolicyentry,cn=common,cn=products,cn=OracleContext,o=my_company,dc=com changetype: modify replace: pwdMaxAge pwdMaxAge: 7776000
错误消息是..
modifying entry "cn=pwdpoilicyentry,cn=common,cn=products,cn=Oraclecontext,dc=mydomain,dc=com" ldapmodify :no such object(32) matched DN: dc=mydomain,dc=com
我的问题是
有没有其他办法可以做到这一点,例如:只需在某个configuration文件的某处手动更改设置,然后重新启动LDAP服务器。
一旦完成,是否有任何服务需要反弹?
看起来您可能会缺less树条目中的条目。
您将需要加载slapo-ppolicy覆盖。 该模块的手册页指定您需要设置的内容。 我发现Ztrax文档也很有用。
实现你所需要的工具是ppolicy 。
这是一个多步骤的任务,涉及:
在步骤4中定义的条目中,您可以修改pwdMaxAge属性。
您在LDAP目录中的“用户”条目需要有2个属性:
passwordExp: on passwordMaxAge: 8640000
8640000 = 100天。