ldap密码策略最小长度不起作用

时间:2017-09-11 09:24:52

标签: ldap openldap password-policy

我有一个有效的LDAP服务器。下一步为LDAP服务器添加了密码策略。我的密码ldif看起来像这样:

   pam configuration
Server side configuration

pam.d/common-auth
auth [success=1 default=ignore]  pam_ldap.so nullok_secure try_first_pass
auth requisite pam_deny.so
auth required  pam_permit.so

pam.d/common-account
account [success=1 new_authtok_reqd=done default=ignore]  pam_unix.so
account requisite    pam_deny.so
account required     pam_permit.so

pam.d/common-password
password [success=1 default=ignore]  pam_unix.so obscure sha512 minlen=8
password requisite  pam_deny.so
password required  pam_permit.so


Client side configuration

pam.d/common-auth
auth [success=2 default=ignore]  pam_unix.so null_secure try_first_pass
auth [success=1 default=ignore]  pam_ldap.so use_first_pass
auth  requisite   pam_deny.so
auth  required    pam_permit.so

pam.d/common-account
account [success=2 new_authtok_reqd=done default=ignore]  pam_ldap.so 
account [success=1 default=ignore]  pam_unix.so 
account needs pam_deny.so
account required pam_permit.so

pam.d/common-password
password  [success=2 default=ignore] pam_unix.so obscure sha512
password  [success=1 user_unknown=ignore default=die] pam_ldap.so try_first_pass
password  requisite  pam_deny.so
password  required   pam_permit.so

ldap.conf
pam_lookup_policy yes

它已成功添加到我的LDAP服务器。但只有锁定和锁定持续时间才有效。密码最小长度不起作用。

<style name="DialogTheme" parent="Theme.AppCompat.Light.Dialog">
    <item name="colorAccent">@color/yourColor</item>
</style>
你能告诉我出错的地方吗?

2 个答案:

答案 0 :(得分:1)

pwdLockout: TRUE
pwdLockoutDuration: 300

这些属性用于锁定帐户的失败绑定尝试

pwdMinLength: 7

仅当用户(管理员DN除外)对其userPassword属性执行修改密码操作时,才会检查此属性。它不会锁定已经创建的不满足此规则的帐户。

编辑:

考虑到您的不同评论,请尝试修改文件/etc/ldap.conf中的行:

来自:

pam_password crypt

致:

pam_password exop

它将使用扩展操作modifypassword修改密码,因此应触发密码策略。

答案 1 :(得分:0)

如果您使用的是OpenLDAP,则ManagerDN会完全绕过密码策略覆盖。您不应该自己使用它:它仅适用于OpenLDAP服务器本身。您需要使用另一个权限较低但权限较低的LDAP帐户来执行密码修改:最好是用户自己的帐户。