我已经为OpenLDAPconfigurationppolicy覆盖以启用密码策略。 这些东西工作:
如果由于入侵企图(太多错误密码)或时间(到期时间命中)而导致帐户被locking,则该帐户必须由pipe理员重置。
但是,当pipe理员在configuration文件中设置pwdReset = TRUE时,这似乎也覆盖了过期策略。 所以,pipe理员发出的密码(应该是临时密码)永久有效。
OpenLDAP中有没有办法让密码必须改变,但也必须过期?
我不明白为什么临时密码应该过期? 如果用户从不login,那么它不应该过期,因为用户需要select新的,以便他/她知道。
根据用户对logging的第一次访问,用户将不得不在第一次authentication时更改它http://linux.die.net/man/5/slapo-ppolicy
你是说用户在第一次login时可以忽略改变吗?
我意识到这篇文章是相当古老的,但还没有得到答复。 我对OpenLDAP没有任何经验,但是在OpenDJ中,有一个ds-cfg-max-password-reset-age属性,它设置用户在重置后更改密码的最长时间。
希望这可以帮助。
您可以将pwdMustChange=true设置为ppolicy,并将pwdReset=true添加到用户,
用户将能够成功绑定,但会得到一个提示:“密码必须更改”。
看起来您可能需要添加pwdMustChange:TRUE以在下次login时强制进行更改。 预先过期的密码,并禁用宽限login可能也需要。
禁用宽限login将导致密码过期的用户出现问题,因此您可能需要增encryption码过期警告时间。