我已按照OpenLDAP提及的程序创建了密码策略 但是当我通过扩展操作更改用户密码时,我没有观察到它的效果。我得到了响应控件,但它只有警告而不是错误。
所以问题是我身边缺少什么? 如何强制使用密码策略来使用扩展操作重置密码? 一旦我定义了密码策略,它是否适用于OpenLDAP服务器中的所有现有用户?或者它仅适用于新用户?
答案 0 :(得分:0)
您不得自行使用ManagerDN帐户任何。它绕过所有叠加层,让您无限制地访问DIT,这是您不想要的。
您的应用程序应作为具有DIT条目的用户运行,这些条目在配置中具有适当的权限。
我为此定义了管理组,所有应用程序和人工管理员都是其中的一部分,这使得配置更简单(以及稍后添加/更改管理员或应用程序 < / em>更简单)。我使用slapd.conf
语法进行类似的操作:将其转换为slapd.d
在线语法留给读者练习。请注意,您必须更改基本DN等以适合您自己的DIT,也可以更改组类和属性名称。
access to attrs=userPassword
by dn.exact="cn=Manager,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
by anonymous auth
by self write
by * none
access to *
by self write
by dn="cn=Replicator,dc=XXX,dc=com,c=us" write
by dn.exact="cn=Manager,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
by users read
by anonymous search
by * none
请注意,此设置还允许用户更改自己的密码,因此您现在可以在执行此操作时将绑定为用户。