如何激活密码策略以在OpenLDAP / windows中使用扩展操作进行密码重置

时间:2015-03-24 12:30:21

标签: openldap password-policy

我已按照OpenLDAP提及的程序创建了密码策略 但是当我通过扩展操作更改用户密码时,我没有观察到它的效果。我得到了响应控件,但它只有警告而不是错误。

所以问题是我身边缺少什么? 如何强制使用密码策略来使用扩展操作重置密码? 一旦我定义了密码策略,它是否适用于OpenLDAP服务器中的所有现有用户?或者它仅适用于新用户?

1 个答案:

答案 0 :(得分:0)

您不得自行使用ManagerDN帐户任何。它绕过所有叠加层,让您无限制地访问DIT,这是您不想要的。

您的应用程序应作为具有DIT条目的用户运行,这些条目在配置中具有适当的权限。

我为此定义了管理,所有应用程序和人工管理员都是其中的一部分,这使得配置更简单(以及稍后添加/更改管理员或应用程序 < / em>更简单)。我使用slapd.conf语法进行类似的操作:将其转换为slapd.d在线语法留给读者练习。请注意,您必须更改基本DN等以适合您自己的DIT,也可以更改组类和属性名称。

access to attrs=userPassword
    by dn.exact="cn=Manager,dc=XXX,dc=com" write
    by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
    by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
    by anonymous auth
    by self write
    by * none

access to *
    by self write
    by dn="cn=Replicator,dc=XXX,dc=com,c=us" write
    by dn.exact="cn=Manager,dc=XXX,dc=com" write
    by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
    by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
    by users read
    by anonymous search
    by * none

请注意,此设置还允许用户更改自己的密码,因此您现在可以在执行此操作时将绑定为用户