Temos uma instalação funcional do OpenLDAP versão 2.4 que está usando os atributos shadowAccount. Quero ativar as sobreposições de ppolicy.
Eu passei pelas etapas fornecidas em OpenLDAP e no how ppolicy . Eu fiz as alterações no slapd.conf e importei a política de senha.
Na reinicialização, o OpenLDAP está funcionando bem e consigo ver a política de senhas quando faço uma ldapsearch. O objeto de usuário é semelhante ao mostrado abaixo.
# extended LDIF
#
# LDAPv3
# base <dc=xxxxx,dc=in> with scope subtree
# filter: uid=testuser
# requesting: ALL
#
# testuser, People, xxxxxx.in
dn: uid=testuser,ou=People,dc=xxxxx,dc=in
uid: testuser
cn: testuser
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
shadowMax: 90
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 569
gidNumber: 1005
homeDirectory: /data/testuser
userPassword:: xxxxxxxxxxxxx
shadowLastChange: 15079
A política de senha é fornecida abaixo.
# default, policies, xxxxxx.in
dn: cn=default,ou=policies,dc=xxxxxx,dc=in
objectClass: top
objectClass: device
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdMaxAge: 7776002
pwdExpireWarning: 432000
pwdInHistory: 0
pwdCheckQuality: 1
pwdMinLength: 8
pwdMaxFailure: 5
pwdLockout: TRUE
pwdLockoutDuration: 900
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
Eu não faço o que deve ser feito depois disso. Como os atributos shadowAccount podem ser substituídos pela política de senha?
shadowAccount não têm nada a ver com as políticas de senha. Políticas de senha (que são baseadas em um rascunho de RFC e podem mudar amanhã ou morrer completamente) são gerenciadas pelo servidor. O material de sombra é gerenciado por clientes LDAP. Por exemplo, as políticas de senha permitem que o servidor imponha o histórico e a qualidade da senha no lado do servidor, mas os clientes devem manipular o shadowAccount stuff.
Tags authentication ldap openldap linux