我已为 OpenLDAP 配置了 ppolicy 覆盖以启用密码策略。这些功能有效:
- 密码尝试失败次数过多导致锁定
- 一旦将 pwdReset=TRUE 添加到用户条目,就需要更改密码
- 密码过期
如果帐户由于入侵尝试(过多次错误密码)或时间(超过过期时间)而被锁定,则必须由管理员重置该帐户。
但是,当管理员在配置文件中设置 pwdReset=TRUE 时,这似乎也会覆盖过期策略。因此,管理员发出的密码(应该是临时密码)最终将永久有效。
OpenLDAP 中是否有一种方法可以设置必须更改的密码,但也必须过期?
答案1
我不明白临时密码为何会过期?如果用户从未登录,则密码不应过期,因为用户需要选择新密码才能知道。
根据此规定,当用户第一次访问记录时,用户必须在第一次身份验证时更改它 http://linux.die.net/man/5/slapo-ppolicy
您是说用户可以在第一次登录时忽略更改吗?
答案2
我意识到这个帖子已经很老了,但还没有人回答。我没有使用过 OpenLDAP,但 OpenDJ 有一个ds-cfg-最大密码重置期限属性设置用户重置密码后可以更改密码的最长时间。
希望这可以帮助。
答案3
您可以设置pwdMustChange=true为 ppolicy 并添加pwdReset=true到用户,
用户将能够成功绑定,但会收到提示:“必须更改密码”。
答案4
看起来您可能需要添加 pwdMustChange:TRUE 以在下次登录时强制更改。还可能需要预先设置密码过期时间并禁用宽限登录。
禁用宽限登录将给密码过期的用户带来问题,因此您可能需要增加密码过期警告时间。