问题1:
我正在尝试了解使用OpenLDAP进行用户身份验证的正确方法(例如,通过基于表单的身份验证)
初步了解。
1.为OpenLDAP设置管理员用户
2.在OpenLDAP(LDIF)上创建用户ID ClientA / PWDA
3.使用基于表单的身份验证ClientA使用该凭证登录
4. Web组件将使用admin用户登录OpenLDAP并验证ClientA凭证
以上意味着ClientA永远不会登录OpenLDAP。管理员用户正在登录,然后在OpenLDAP中验证ClientA凭证。
这似乎更符合逻辑。如果通过实际登录OpenLDAP来验证ClientA凭证,实质上这意味着ClientA本身被视为开发人员。当然ClientA访问可以通过ACL进行控制,但这不是重点。
那么哪个应该是在OpenLDAP上验证客户端的正确方法
1.使用admin用户登录OpenLDAP,然后验证ClientA凭证或
2.使用ClientA凭证测试凭证是否可以登录。
如果答案是2)那么这将导致问题2。
问题2:
不应该允许ClientA登录,因为shadowexpire属性将它设置为昨天日期?
任何帮助都会很棒 感谢。
答案 0 :(得分:2)
答案是(2),但shadowexpire只是一个对象属性。 OpenLDAP本身并不关心你对它做了什么。如果您想要OpenLDAP强制执行的操作,请参阅ppolicy叠加层。