我正在尝试在OpenLDAP中实施密码策略。
到目前为止,这是我的LDIF的样子:
dn: cn=module{0},cn=config
changeType: modify
add: olcModuleLoad
olcModuleLoad: ppolicy
dn: olcOverlay=ppolicy,olcDatabase={1}hdb,cn=config
objectClass: olcPpolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=ppolicy,dc=ldaptuto,dc=net
olcPPolicyUseLockout: FALSE
olcPPolicyHashCleartext: TRUE
dn: cn=ppolicy,dc=ldaptuto,dc=net
objectClass: device
objectClass: pwdPolicyChecker
objectClass: pwdPolicy
cn: ppolicy
pwdAllowUserChange: TRUE
pwdAttribute: userPassword
pwdMinLength: 10
pwdCheckQuality: 1
pwdInHistory: 5
pwdMustChange: TRUE
pwdMaxAge: 7776000
pwdMaxFailure: 10
pwdLockout: TRUE
pwdLockoutDuration: 1800
我需要确保当用户更改密码时,新密码与旧密码至少有2个不同的位置。
我在LDAP Wiki中找不到任何策略设置。我也尝试过在网上搜索,但没有结果。
我认为我可以编写自己的密码检查器,类似this,但是,我看不到检查过程中使用的旧密码。
如何实施一项政策,以确保新密码与OpenLDAP中的旧密码至少有2个位置不同?
答案 0 :(得分:1)
您必须
pwdSafeModify: TRUE 然后,您自己的pwdChecker模块在处理扩展操作请求时也会收到旧密码。