我试图了解 389-DS 中的“密码策略”与 OpenLDAP 2.4 相比如何工作:
在 OpenLDAP 2.4 中,我可以定义多个“命名”密码策略条目,并将它们分配给用户条目。例如,我有一个策略“交互式用户”(个性化)和一个策略“系统用户”(共享帐户),两者都具有不同的设置。
在 389-DS 中(尽管整个概念看起来很不一样)我只能有两个选择:
- 定义一个全球的适用于每个用户的政策
- 定义每个用户个人属性
因此,当我想验证用户是否有特定策略时,这项工作会非常繁重。更新策略时也是如此。
那么我的理解正确吗?即使在 389-DS 中,我也想定义和使用“命名”密码策略。
答案1
似乎你不能真正拥有“命名”密码策略,但似乎有一种机制可以虚拟地添加属性,如Netscape 目录服务器部署指南:”服务类别 (CoS) 允许您以应用程序不可见的方式在条目之间共享属性。使用 CoS,某些属性值可能不会与条目本身一起存储。相反,它们是由服务类别逻辑在条目发送到客户端应用程序时生成的。“
(这个答案仍然不完整;一旦我确认一切按预期进行,我就会更新它)
第 4 章 配置基于时间的账户锁定策略在管理访问控制(Redhat Directory Server 12)描述了步骤(创建 CoS 模板、创建 CoS 定义条目),但没有描述背后的概念(例如cosSuperDefinition,cosPointerDefinition)。因此,应用该模式确实很困难。