我已经在 rhel7.2 中成功配置了 OpenLDAP 服务器。我还根据 URL 实施了密码策略https://access.redhat.com/solutions/2710021。
LDAP 客户端服务器身份验证工作正常。
我希望每当任何 LDAP 用户登录到 LDAP 客户端时,它都应该显示密码过期前还剩多少天(就像我们通常在用户登录机器时得到的那样)
为此,我通过“ldapmodify”命令将我的 ldap 密码策略与“pwdExpireWarning”修改为 24 天。
当用户登录到 LDAP 客户端时,ldap 用户只需登录即可,登录提示时不会出现任何消息。
代码:
[root@LDAP Server]# ldapsearch -x -b cn=default,ou=policies,dc=domain,dc=com -H ldap://LDAP Server.domain.com
# extended LDIF
#
# LDAPv3
# base <cn=default,ou=policies,dc=domain,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# default, policies, domain.com
dn: cn=default,ou=policies,dc=domain,dc=com
cn: default
objectClass: pwdPolicy
objectClass: device
objectClass: top
pwdAttribute: userPassword
pwdMaxAge: 2592000
pwdInHistory: 4
pwdMinLength: 14
pwdMaxFailure: 3
pwdLockout: TRUE
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
pwdLockoutDuration: 1800
pwdExpireWarning: 2073600
pwdCheckQuality: 2
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
当我登录 LDAP 客户端时:
[LDAP client]# su - ldapusr1
Last login: <Date> pts/0
[LDAP client]$
请提出建议。
答案1
这可能是因为,当非 LDAP 用户登录时,文件中的影子属性会/etc/shadow控制密码过期,而对于 LDAP 用户,ppolicy 覆盖不提供相同的属性。
你能将shadowAccount对象类应用于每个用户,然后提供与普通文件中相同的属性,/etc/shadow但是您必须手动维护这些属性,它们不会被策略覆盖更新。