我有一个有效的LDAP服务器。下一步为LDAP服务器添加了密码策略。我的密码ldif看起来像这样:
pam configuration
Server side configuration
pam.d/common-auth
auth [success=1 default=ignore] pam_ldap.so nullok_secure try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
pam.d/common-account
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
account requisite pam_deny.so
account required pam_permit.so
pam.d/common-password
password [success=1 default=ignore] pam_unix.so obscure sha512 minlen=8
password requisite pam_deny.so
password required pam_permit.so
Client side configuration
pam.d/common-auth
auth [success=2 default=ignore] pam_unix.so null_secure try_first_pass
auth [success=1 default=ignore] pam_ldap.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
pam.d/common-account
account [success=2 new_authtok_reqd=done default=ignore] pam_ldap.so
account [success=1 default=ignore] pam_unix.so
account needs pam_deny.so
account required pam_permit.so
pam.d/common-password
password [success=2 default=ignore] pam_unix.so obscure sha512
password [success=1 user_unknown=ignore default=die] pam_ldap.so try_first_pass
password requisite pam_deny.so
password required pam_permit.so
ldap.conf
pam_lookup_policy yes
它已成功添加到我的LDAP服务器。但只有锁定和锁定持续时间才有效。密码最小长度不起作用。
<style name="DialogTheme" parent="Theme.AppCompat.Light.Dialog">
<item name="colorAccent">@color/yourColor</item>
</style>
你能告诉我出错的地方吗?
答案 0 :(得分:1)
pwdLockout: TRUE
pwdLockoutDuration: 300
这些属性用于锁定帐户的失败绑定尝试
pwdMinLength: 7
仅当用户(管理员DN除外)对其userPassword
属性执行修改密码操作时,才会检查此属性。它不会锁定已经创建的不满足此规则的帐户。
编辑:
考虑到您的不同评论,请尝试修改文件/etc/ldap.conf
中的行:
来自:
pam_password crypt
致:
pam_password exop
它将使用扩展操作modifypassword修改密码,因此应触发密码策略。
答案 1 :(得分:0)
如果您使用的是OpenLDAP,则ManagerDN会完全绕过密码策略覆盖。您不应该自己使用它:它仅适用于OpenLDAP服务器本身。您需要使用另一个权限较低但权限较低的LDAP帐户来执行密码修改:最好是用户自己的帐户。