Openldap configurando o olcOverlay: ppolicy

Question

Openldap configurando o olcOverlay: ppolicy

#1 resposta do (1 votos)

2

Pergunta: Por que não estou adicionando a classe de objeto pwdPolicy a cn = PasswordDefaults?

Informações básicas

Eu sou novo no LDAP e estou tropeçando em vários tutoriais e outras dicas on-line para criar um diretório que manipulará as informações do usuário para mim. Estou tentando criar um servidor LDAP que contenha informações do usuário e imponha uma política de senha. Para conseguir isso, acredito que preciso adicionar a classe de objeto pwdPolicy para ou = Policies no meu servidor LDAP executando 2.4.40. Eu estou vagamente seguindo estes tutoriais:

{
  Password Policy tutorial: https://tobrunet.ch/articles/openldap-password-policy-overlay/, 
  Getting started with OpenLDAP and CentOS7: https://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=1, 
  Default and User Specific Password Policy: http://www.zytrax.com/books/ldap/ch6/ppolicy.html
}

Eu tenho um diretório assim:

-> Root stuff
  -> dc=example,dc=com
    -> cn=Manager (The olcRootDN)
    -> ou=User
       -> *Several entries with objectClasses {posixAccount, shadowAccount, inetOrgPerson}*
    -> ou=Policies (Not sure if this is here because not visible in Apache Directory Studio)
       -> cn=passwordDefault

Aqui está o que eu fiz para tentar usar o ppolicy.

Os passos 1-3 seguem livremente os comandos do OpenLDAP com o OLC seção sobreposição de política de senha do OpenLDAP

Etapa 1: Carregue o esquema ppolicy no OLC com este comando:

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif

Entendimento da Etapa 1: adiciona cn = {5} ppolicy.ldif a /.../ slap.d / cn = config / cn = schema

Etapa 2: Carregue o módulo com este comando:

ldapadd -D "cn=config" -W -f addPpolicyOverlay.ldif

conteúdo de addPpolicyOverlay.ldif

dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModuleLoad: ppolicy.la

Entendimento da Etapa 2: adiciona cn = module {0} .ldif a /.../ slapd.d / cn = config.

Etapa 3: Configure a sobreposição do ppolicy com este comando:

ldapadd -D "cn=config" -W -f configurePpolicyOverlay.ldif

conteúdo de configurePpolicyOverlay.ldif

dn: olcOverlay=ppolicy,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=passwordDefault,ou=Policies,dc=example,dc=com
olcPPolicyHashCleartest: FALSE
olcPPolicyUseLockout: FALSE
olcPPolicyForwardUpdates: FALSE

Entendimento da Etapa 3: cria um banco de dados e usa sobreposição de ppolicy. Faz ou = Políticas no meu domínio dc = example, dc = com. Eu sou incapaz de explorar ou = Políticas no Apache Directory Studio, embora eu acredite que existe em dc = example, dc = com

Perguntas sobre a Etapa 3: tenho agora uma política de senha padrão de trabalho?

Etapa 4: Falha ao adicionar a classe de objeto pwdPolicy ao olcOverlay = {0} ppolicy com este comando:

ldapmodify -a -D "cn=config" -W -f configureDefaultPpolicy.ldif

Erro: ldapmodify: invalid format (line 5) entry: "olcOverlay={0}ppolicy,cn=olcDatabase={2}hdb,cn=config"

conteúdo de configureDefaultPpolicy.ldif

dn: olcOverlay={0}ppolicy,cn=oldDatabase={2}hdb,cn=config]
changetype: modify
olcObjectClasses: pwdPolicy
cn=passwordDefault,ou=Policies,dc=example,dc=com
pwdAttribute: userPassword
pwdAllowUserChange: TRUE
pwdInHistory: 50
pwdMaxFailure: 3
pwdMinLength: 8

Perguntas sobre a Etapa 4: link (Não confiável o suficiente para incorporar fotos :()

openldap centos7 password-policy

por hededo 02.05.2017 / 17:37

1 resposta

Tags openldap centos7 password-policy

Valores padrão em configurações de procfs e sysctl ausentes operações gluster trava quando um nó falha

score 1 · Accepted Answer

Understanding of Step 3: Makes a database and uses ppolicy overlay. Makes ou=Policies in my domain dc=example,dc=com. I am unable to explore ou=Policies in Apache Directory Studio even though I believe it is exists in dc=example,dc=com

Ele não cria nada no banco de dados dc=example,dc=com , apenas define algumas configurações para a sobreposição de ppolicy usada por este banco de dados.

Questions about Step 3: Do I now have a working default password policy?

Não, de acordo com o seu tutorial, você precisa criar essas ramificações no banco de dados dc=example,dc=com para poder colocar um ppolicy:

Não é para ser colocado no cn=config mas no banco de dados dc=example,dc=com

dn: ou=Policies,dc=example,dc=com
ou: Policies
objectClass: organizationalUnit

dn: cn=passwordDefault,ou=Policies,dc=example,dc=com
objectClass: pwdPolicy
objectClass: person
objectClass: top
cn: passwordDefault
sn: passwordDefault
pwdAttribute: userPassword
pwdCheckQuality: 0
pwdMinAge: 0
pwdMaxAge: 0
pwdMinLength: 8
pwdInHistory: 5
pwdMaxFailure: 3
pwdFailureCountInterval: 0
pwdLockout: TRUE
pwdLockoutDuration: 0
pwdAllowUserChange: TRUE
pwdExpireWarning: 0
pwdGraceAuthNLimit: 0
pwdMustChange: FALSE
pwdSafeModify: FALSE

Para a pergunta sobre o passo 4, não consigo ver imagens imgur por trás do meu proxy profissional, mas o fato de você tentar importar o ppolicy para o cn = config deve ser o principal problema.