OpanLdap Passwort-Richtlinien
Installiert ich habe die openldap-version 2.4.23 auf windows xp und die Verwendung der apache DS als client.Ich kann die Authentifizierung der Benutzer ein client-server habe ich eingerichtet, zum testen.
Mein Nächster Schritt ist, um auf eine Passwort-policy. Dies ist, wo die Dinge bekommen haben ein bisschen verschwommen für mich und ich hoffe jemand kann mir helfen.
ich habe eine Kennwort-Richtlinie verwenden Sie die folgende Befehl
ldapadd -x -c -f -D "cn=Manager,dc=maxcrc,dc=com" -w secret
aber nach Zugabe von Passwort-Richtlinien, wie mache ich Sie in Wirkung.
Openldap-Dokumentation sagt das der Passwort-policy-Modul konfiguriert werden sollten Sie den DN des Standard-Richtlinie.
habe ich noch die folgenden Zeilen in slapd.conf-Datei
# invokes password policies for this DIT only
overlay ppolicy
# Default ppolicy
ppolicy_default "cn=passwordDefault,ou=policies,dc=maxcrc,dc=com"
aber irgendwie ist es nicht immer geladen , ich habe bereits verbrachte mehr viel Zeit auf dieser, aber ich bin nicht immer der richtige Maßstab für die gleichen.
Kann jemand etwas Licht in diese Schuppen in schlichten, einfachen Worten?
Vielen Dank im Voraus.
Meine ldif-Datei ist wie folgt.
dn: cn=passwordDefault,ou=policies,dc=localdomain,dc=com
objectClass: pwdPolicy
objectClass: person
objectClass: top
cn: passwordDefault
sn: passwordDefault
pwdAttribute: userPassword
pwdCheckQuality: 1
pwdMinAge: 1
pwdMaxAge: 90
pwdMinLength: 6
pwdInHistory: 4
pwdMaxFailure: 3
pwdFailureCountInterval: 0
pwdLockout: TRUE
pwdLockoutDuration: 0
pwdAllowUserChange: TRUE
pwdExpireWarning: 604800
pwdGraceAuthNLimit: 3
pwdMustChange: TRUE
pwdSafeModify: TRUE
nach dem hinzufügen dieser Richtlinie und den server neu starten ich habe versucht das Passwort zu ändern von bestehenden als auch neu hinzugefügte Benutzer.
Der server mir erlaubt, das Passwort zu ändern, um einen string mit einer Länge von weniger als 6
wobei ich erwähnt haben pwdMinLength: 6 im ldif.
sowie ich versucht das Passwort zu ändern, mehr als einmal , aber es erlaubt mir, um das Passwort zu ändern, um kürzlich verwendete Passwort, in der Erwägung, dass die pwdInHistory: 4 im ldif.
- Ihre
ldapadd
Befehl nicht richtig freuen,-f
nimmt einen Dateinamen (in der Regel von einer LDIF-Datei). - Es würde auch helfen, um uns zu zeigen, was in der LDIF-Datei, und welche Beweise haben Sie, dass die Richtlinie nicht in Kraft ist.
- ich vermisste die mit dem Namen hier , das komplette ldapadd Befehl ldapadd -c -f passwordpolicy.ldif -D "cn=Manager,dc=maxcrc,dc=com" -x -w secret
Du musst angemeldet sein, um einen Kommentar abzugeben.
Die Passwort-Politik funktioniert nicht, wenn Sie das rootDN zum ausführen der updates. Sie müssen einen vorhandenen admin-Konto, oder das eigene Konto des Benutzers.
Es ist nicht klar, wie Sie das Passwort beim testen, aber ich würde wenn übergeben Sie das Passwort in das richtige format, was bedeutet, dass der server muss das Kennwort in Klartext. Einige Kunden würden hash-Wert vor dem senden der Wert der OpenLDAP-server, in dem Fall wäre es unmöglich für den OpenLDAP-server zu bestimmen, die Länge des Passwort. Die Kommunikation kann und sollte verschlüsselt werden, aber es sollte nicht sein pre-hashed. Hashing behandelt werden können, durch den server:
pwdCheckQuality
Wenn der Wert 1 ist und das angegebene Kennwort wird in Klartext dann ein Benutzer bereitgestellte Funktion (definiert mit dem pwdCheckModule - wenn definiert - wird aufgerufen, um das Passwort zu prüfen-Qualität. Wenn diese Funktion nicht verfügbar ist, dann wird das Passwort akzeptiert werden (vorausgesetzt, es geht allen anderen tests, die von den verschiedenen pwdPolicy Attribute).
Referenz: http://www.zytrax.com/books/ldap/ch6/ppolicy.html
https://www.openldap.org/lists/openldap-technical/201102/msg00262.html
Können Sie im Grunde genommen ein beliebiges Passwort (nicht leer, du) wenn Sie Kennwörter festlegen mit ldappasswd und verbindlich mit der rootdn.
Es ist eine etwas schwierige situation, da Sie nicht ändern können das Kennwort mit "passwd" - Befehl entweder für die Benutzer. In diesem Fall wird die Passwort-policy würde kick in.
Wenn Sie wissen, das rootdn-Passwort, umgehen kann man alles.