我使用OpenLDAP 2.4.40,并尝试设置密码策略。我想为系统帐户以外的所有用户设置默认策略。对于系统帐户,我想创建其他策略。
我使用CentOS 6.7。
我使用了this guide。
我已经有 /etc/openldap/schema/ppolicy.ldif 文件。
我执行了以下命令:
ldapmodify -D "dc=manager,dc=company" -Y EXTERNAL -H ldapi:/// -W -a -f ppolicymodule.ldif
ldapmodify -D "dc=manager,dc=company" -Y EXTERNAL -H ldapi:/// -W -a -f ppolicyoverlay.ldif
ppolicyoverlay.ldif :
dn: olcOverlay=ppolicy,olcDatabase={1}bdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=passwordDefault,ou=Policies,dc=company
olcPPolicyHashCleartext: FALSE
olcPPolicyUseLockout: FALSE
olcPPolicyForwardUpdates: FALSE
我添加了:
dn: ou=Policies,dc=company
ou: Policies
objectClass: organizationalUnit
dn: cn=passwordDefault,ou=Policies,dc=company
objectClass: pwdPolicy
objectClass: person
cn: default
sn: passwordDefault
pwdAttribute: userPassword
pwdMaxAge: 900
pwdExpireWarning: 300
pwdMaxFailure: 5
pwdLockout: TRUE
pwdMustChange: TRUE
pwdMinLength: 6
pwdSafeModify: FALSE
dn: cn=system_user,ou=Policies,dc=apt,dc=fs,dc=fujitsu,dc=com
objectClass: person
objectClass: pwdPolicy
cn: user
sn: system_user
pwdAttribute: userPassword
pwdMaxAge: 0
pwdInHistory: 3
pwdMaxFailure: 3
pwdLockout: TRUE
pwdMustChange: TRUE
pwdMinLength: 0
pwdSafeModify: TRUE
对于系统帐户,我执行ldapmodify:
dn: uid=sysuser,ou=Users,dc=company
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=system_user,ou=Policies,dc=company
我重新开始拍打。
问题是密码照旧起作用,它们在900秒后仍未过期。我应该使用一些其他设置或命令吗?
更新-我的解决方案
要启用ppolicy覆盖,我使用了以下 ppolicymodule.ldif :
dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModuleLoad: ppolicy.la
我将 ppolicy.la 更改为 ppolicy ,并且开始工作。