在openldap中实现帐户locking的最佳方式是什么? 我有一个Ubuntu桌面客户端连接到它进行身份validation的OpenLDAP服务器。 我想他的帐户被locking在说5失败的authentication尝试之后
我在slapd.conf中启用了ppolicy布局。
overlay ppolicy ppolicy_default “cn=default,ou=policies,dc=example,dc=in” ppolicy_use_lockout 我现在也input了一个政策。 这是ldapsearch的输出
# policies, example.in dn: ou=policies,dc=example,dc=in ou: policies objectClass: top objectClass: organizationalUnit # default, policies, pramata.in dn: cn=default,ou=policies,dc=example,dc=in objectClass: top objectClass: device objectClass: pwdPolicy cn: default pwdAttribute: userPassword pwdMaxAge: 7776002 pwdExpireWarning: 432000 pwdInHistory: 0 pwdCheckQuality: 1 pwdMinLength: 8 pwdMaxFailure: 5 pwdLockout: TRUE pwdLockoutDuration: 900 pwdGraceAuthNLimit: 0 pwdFailureCountInterval: 0 pwdMustChange: TRUE pwdAllowUserChange: TRUE pwdSafeModify: FALSE
在客户端(Ubuntu桌面),我添加了以下行/etc/ldap.conf
pam_lookup_policy yes
还是行不通。 请告诉我我做错了什么。
使用OpenLDAP密码策略覆盖 。 它提供了许多先进的密码规则,其中之一是
重复authentication失败后,通过locking密码达指定的时间来防止密码猜测
请参阅我为您链接的文档,如果无法使用,请回来。