Como obtenho a política de senhas openldap para trabalhar em 12.04 ou 14.04?

Navegue suas respostas
2

Instalei a sobreposição, configurei uma política padrão, vejo em syslog que a política está sendo referenciada, mas não parece ser aplicada.

Especificamente, testei pwdMinLength de 10. No entanto, posso alterar a senha para qualquer coisa de 6 caracteres ou mais. Eu mexi com o slapd config, pam , ldap.conf ... Eu não consigo descobrir.

Aqui está meu /etc/pam.d/common-passwd : 

password        [success=2 default=ignore]      pam_unix.so obscure sha512
password        [success=1 user_unknown=ignore default=die]     pam_ldap.so
password        requisite                       pam_deny.so
password        required                        pam_permit.so

Aqui está minha sobreposição: 

root@ldap:/etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb# cat olcOverlay\=\{0\}ppolicy.ldif
# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 e13ac822
dn: olcOverlay={0}ppolicy
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: {0}ppolicy
olcPPolicyDefault: cn=default,ou=policies,dc=mydomain,dc=local
olcPPolicyUseLockout: FALSE
olcPPolicyForwardUpdates: FALSE
structuralObjectClass: olcPPolicyConfig
entryUUID: 73ace97c-bd97-1033-89a7-83eeab8cfd47
creatorsName: cn=config
createTimestamp: 20140821155626Z
olcPPolicyHashCleartext: TRUE
entryCSN: 20140822194949.226250Z#000000#000#000000
modifiersName: cn=admin,cn=config
modifyTimestamp: 20140822194949Z

root@ldap:/etc/ldap/slapd.d/cn=config# grep -r pol *
cn=module{0}.ldif:olcModuleLoad: {1}ppolicy
cn=schema/cn={4}ppolicy.ldif:dn: cn={4}ppolicy
cn=schema/cn={4}ppolicy.ldif:cn: {4}ppolicy
cn=schema.ldif: w policy state updates to be forwarded via updateref' SYNTAX OMsBoolean SINGL
olcDatabase={1}hdb/olcOverlay={0}ppolicy.ldif:dn: olcOverlay={0}ppolicy
olcDatabase={1}hdb/olcOverlay={0}ppolicy.ldif:olcOverlay: {0}ppolicy
olcDatabase={1}hdb/olcOverlay={0}ppolicy.ldif:olcPPolicyDefault: cn=default,ou=policies,dc=mydomain,dc=local

Here is the policy:
dn: ou=policies,dc=mydomain,dc=local
objectClass: organizationalUnit
objectClass: top
ou: policies
structuralObjectClass: organizationalUnit
entryUUID: 02bd96f4-b6ac-1033-8430-5db15c0b2efc
creatorsName: cn=admin,dc=mydomain,dc=local
createTimestamp: 20140812203558Z
entryCSN: 20140812203558.385280Z#000000#000#000000
modifiersName: cn=admin,dc=mydomain,dc=local
modifyTimestamp: 20140812203558Z

dn: cn=default,ou=policies,dc=mydomain,dc=local
objectClass: pwdPolicy
objectClass: device
objectClass: top
pwdAttribute: userPassword
pwdMaxAge: 3024000
pwdExpireWarning: 1814400
pwdInHistory: 3
pwdMaxFailure: 3
pwdLockout: TRUE
pwdLockoutDuration: 600
pwdGraceAuthNLimit: 0
pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
structuralObjectClass: device
entryUUID: 29977c86-b74c-1033-8432-5db15c0b2efc
creatorsName: cn=admin,dc=mydomain,dc=local
createTimestamp: 20140813154223Z
pwdMinLength: 10
cn: default
pwdCheckQuality: 2
pwdSafeModify: TRUE
entryCSN: 20140822193458.399642Z#000000#000#000000
modifiersName: cn=admin,dc=mydomain,dc=local
modifyTimestamp: 20140822193458Z

Eu tenho andado por aí com isso. Qualquer ajuda seria apreciada

    
por ltarc3 22.08.2014 / 22:47

1 resposta

-2

Minha configuração do ppolicy é semelhante à sua configuração e funciona para mim. Acho que tudo depende de como você testa sua política de senha.

Eu testei usando:

(a senha do usuário11 está sendo alterada):

  1. ldappasswd -x -h ubuntu-vostro -D "cn = usuário11, ou = Usuários, dc = seudominio, dc = net" -W -S "cn = usuário11, ou = Usuários, dc = seudominio, dc = net " (note -D "cn = user11 ...")

  2. phpLdapAdmin, logado como user11, limpa o cache, altera a senha

  3. auto-serviço-senha (o script php que está sendo executado no servidor apache2), logado como user11. Certifique-se de que no arquivo config.inc.php você tenha $ who_change_password="user"; (não "gerente").

    Parece que o rootdn (manager / admin) ignora todas as políticas de senhas, portanto, se você usar a conta rootdn (% ADMIN%) para alterar a senha do usuário, não verá a política pwdMinLength aplicada.

Você pode ativar o monitoramento openLDAP e executar esse comando para garantir que sua sobreposição de ppolicy seja carregada corretamente: ldapsearch -x -Dc = yourdomain, dc = net -w -b 'cn = Sobreposições, cn = Monitor' -s base '(objectClass = )' '' '+

    
por lk7777 12.10.2014 / 23:00
Encriptação inicial [duplicada] O Ubuntu é determinista? Por que não?