到目前为止,我发现“密码最小长度当 OpenLDAP 使用 SHA 或 crypt 选项作为密码修改技术时,密码策略中的属性不起作用。尽管如此,它确实可以使用明文。这真的很糟糕,因为作为系统管理员,我们不能要求用户修改其密码明文选项。
是否有人有其他替代方案可以使此密码策略即使使用“密码最小长度“ 属性?
答案1
属性pwdMinLength能强制执行,但前提是用户使用 LDAPv3 密码修改 (RFC 3062) 扩展操作来设置其密码,即该工具的作用ldappasswd。这样,服务器将在使用选择的任何散列方案将其存储为加密值之前看到明文密码。
通过在策略对象中设置pwdCheckQuality属性,2服务器将拒绝任何它无法验证的值,从而阻止用户将属性更新为哈希值。