使用 Openldap 锁定帐户

使用 Openldap 锁定帐户

在 openldap 中实现帐户锁定的最佳方法是什么?我有一个 openldap 服务器,Ubuntu 桌面客户端连接到它进行身份验证。我希望在 5 次身份验证失败后锁定帐户

我已经在 slapd.conf 中启用了 ppolicy 布局。

overlay ppolicy
ppolicy_default “cn=default,ou=policies,dc=example,dc=in”
ppolicy_use_lockout

我还导入了下面给出的策略。这是 ldapsearch 的输出

# policies, example.in
dn: ou=policies,dc=example,dc=in
ou: policies
objectClass: top
objectClass: organizationalUnit

# default, policies, pramata.in
dn: cn=default,ou=policies,dc=example,dc=in
objectClass: top
objectClass: device
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdMaxAge: 7776002
pwdExpireWarning: 432000
pwdInHistory: 0
pwdCheckQuality: 1
pwdMinLength: 8
pwdMaxFailure: 5
pwdLockout: TRUE
pwdLockoutDuration: 900
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE

在客户端(Ubuntu 桌面)中我添加了以下行 /etc/ldap.conf

pam_lookup_policy yes

仍然无法正常工作。请告诉我我做错了什么。

答案1

使用OpenLDAP 密码策略覆盖。它为您提供了许多高级密码规则,其中之一是

通过在多次验证失败后锁定密码一段指定时间,防止密码猜测

请参阅我为您链接的文档,如果无法使其工作,请返回。

相关内容