我们已安装使用 shadowAccount 属性的 OpenLDAP 2.4 版。我想启用 ppolicy 覆盖。
我已经完成了OpenLDAP 和 ppolicy 指南。我已经对 slapd.conf 进行了更改并导入了密码策略。
重新启动后,OpenLDAP 工作正常,当我执行 ldapsearch 时,我可以看到密码策略。用户对象如下所示。
# extended LDIF
#
# LDAPv3
# base <dc=xxxxx,dc=in> with scope subtree
# filter: uid=testuser
# requesting: ALL
#
# testuser, People, xxxxxx.in
dn: uid=testuser,ou=People,dc=xxxxx,dc=in
uid: testuser
cn: testuser
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
shadowMax: 90
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 569
gidNumber: 1005
homeDirectory: /data/testuser
userPassword:: xxxxxxxxxxxxx
shadowLastChange: 15079
密码策略如下所示。
# default, policies, xxxxxx.in
dn: cn=default,ou=policies,dc=xxxxxx,dc=in
objectClass: top
objectClass: device
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdMaxAge: 7776002
pwdExpireWarning: 432000
pwdInHistory: 0
pwdCheckQuality: 1
pwdMinLength: 8
pwdMaxFailure: 5
pwdLockout: TRUE
pwdLockoutDuration: 900
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
我不知道这之后该做什么。影子账户属性将被密码策略替换。
答案1
shadowAccount属性与密码策略无关。密码策略(本身基于 RFC 草案,明天可能会更改或完全失效)由服务器管理。影子内容由 LDAP 客户端管理。例如,密码策略允许服务器在服务器端强制执行密码历史和质量,但客户端必须处理这些shadowAccount内容。