Eu implementei a sobreposição de política de senha no OpenLDAP 2.4.23. Eu também estou usando check_password.so para o passwordCheckModule . Está funcionando bem para o usuário único, mas o fato é que cn=admin,dc=example,dc=com é capaz de alterar a senha de qualquer usuário sem verificar o check_password.so. O administrador pode definir qualquer senha.
Qualquer pessoa está tendo alguma idéia sobre isso, então compartilhe ... Será muito apreciado.
Isso é por design e não pode ser alterado.
Citando slapo-ppolicy(5) :
Note that some of the policies do not take effect when the operation is
performed with the rootdn identity; all the operations, when performed
with any other identity, may be subjected to constraints, like access
control.
SvenW está correto em sua resposta, mas há mais do que isso.
Módulos que realizam qualquer tipo de validação ou manipulação de senhas quando a senha é alterada geralmente só funcionam quando se usa a senha modify EXOP. Quando uma senha de modificação EXOP (operação estendida) é executada, a senha de texto sem formatação é fornecida ao OpenLDAP e o OpenLDAP é responsável pelo hashing / criptografia e pelo armazenamento desse valor criptografado. Assim, o OpenLDAP sabe o que a senha realmente é.
Agora, quando o administrador vai e altera a senha, não está usando uma senha de modificar o EXOP, sua configuração provável é o valor criptografado diretamente. Portanto, o OpenLDAP nunca sabe o que é a senha não criptografada e, portanto, não pode executar nenhum tipo de verificação.