1
Конфигурация через cn=config / Re: Не применяется политика паролей ldap 2.4 cn=config
« : 17 Апрель 2015, 14:12:28 »
Большое спасибо Егор, вы правы, теперь всё работает как надо.
Мне стыдно
Мне стыдно
Просмотр сообщений
В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.
Страницы: [1]
2
Конфигурация через cn=config / Re: Не применяется политика паролей ldap 2.4 cn=config
« : 17 Апрель 2015, 08:52:42 »
Спасибо за ответ, проделал предложенную вами процедуру, политика однозначно не работает.
Пароль изменился без проблем.
[test@test-client ~]$ ldappasswd -H ldap://test-ldap -x -D 'cn=test,ou=people,dc=mycompany,dc=ru' -w 1 -a 1 -s 2
отработало молча, пароль изменен.
В режиме дебага обнаружил следующую запись в журнале работы при запуске slapd:
loaded module ppolicy
module ppolicy: null module registered
К сожалению гугление не смогло добавить ясности что это значит.
Настроил репликацию, проверить наличие похожей записи, имеем те же записи касаемо syncprov
loaded module syncprov
module syncprov: null module registered
При этом репликация работает.
Видимо не связано.
Спросите меня ещё что нибудь, всё покажу и расскажу, не представляю уже куда копать.
CentOS Linux release 7.1.1503 (Core)
openldap-2.4.39
Selinux отключен, так же отключен IPv6(с ним не стартует corosync)
Пароль изменился без проблем.
[test@test-client ~]$ ldappasswd -H ldap://test-ldap -x -D 'cn=test,ou=people,dc=mycompany,dc=ru' -w 1 -a 1 -s 2
отработало молча, пароль изменен.
В режиме дебага обнаружил следующую запись в журнале работы при запуске slapd:
loaded module ppolicy
module ppolicy: null module registered
К сожалению гугление не смогло добавить ясности что это значит.
Настроил репликацию, проверить наличие похожей записи, имеем те же записи касаемо syncprov
loaded module syncprov
module syncprov: null module registered
При этом репликация работает.
Видимо не связано.
Спросите меня ещё что нибудь, всё покажу и расскажу, не представляю уже куда копать.
CentOS Linux release 7.1.1503 (Core)
openldap-2.4.39
Selinux отключен, так же отключен IPv6(с ним не стартует corosync)
3
Конфигурация через cn=config / Не применяется политика паролей ldap 2.4 cn=config
« : 15 Апрель 2015, 14:00:50 »
Доброго времени суток.
По шагам, что сделано:
Подключена схема ppolicy
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif
Подключен модуль ppolicy
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: ppolicy
Добавлена OU
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: ou=policies,dc=mycompany,dc=ru
objectClass: organizationalUnit
objectClass: top
ou: policies
EOF
Добавлена политика паролей
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: cn=default,ou=policies,dc=mycompany,dc=ru
objectClass: pwdPolicy
objectClass: person
objectClass: top
cn: default
pwdMaxAge: 2592000
pwdExpireWarning: 3600
#pwdInHistory: 0
#pwdCheckQuality: 0
pwdMaxFailure: 5
pwdLockout: TRUE
#pwdLockoutDuration: 0
#pwdGraceAuthNLimit: 0
#pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdMinLength: 6
#pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
pwdAttribute: 2.5.4.35
sn: dummy value
EOF
Включен оверлей
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: olcOverlay=ppolicy,olcDatabase={2}hdb,cn=config
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=default,ou=policies,dc=mycompany,dc=ru
EOF
Дополнительно прикручена к пользователю, для успокоения совести
ldapmodify -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: cn=test,ou=people,dc=mycompany,dc=ru
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=default,ou=policies,dc=mycompany,dc=ru
EOF
Клиентская машина(другая рабочая станция) настроена на работу с данным каталогом(sssd), пользователь test успешно проходит аутентификацию.
Но при этом может изменить пароль на любую комбинацию, в том числе не удовлетворяющую требованиям политики.
В журналах работы ldap видно подключение, запрос на смену пароля, и успешное его выполнение.
В чем может быть причина?
По шагам, что сделано:
Подключена схема ppolicy
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif
Подключен модуль ppolicy
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: ppolicy
Добавлена OU
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: ou=policies,dc=mycompany,dc=ru
objectClass: organizationalUnit
objectClass: top
ou: policies
EOF
Добавлена политика паролей
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: cn=default,ou=policies,dc=mycompany,dc=ru
objectClass: pwdPolicy
objectClass: person
objectClass: top
cn: default
pwdMaxAge: 2592000
pwdExpireWarning: 3600
#pwdInHistory: 0
#pwdCheckQuality: 0
pwdMaxFailure: 5
pwdLockout: TRUE
#pwdLockoutDuration: 0
#pwdGraceAuthNLimit: 0
#pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdMinLength: 6
#pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
pwdAttribute: 2.5.4.35
sn: dummy value
EOF
Включен оверлей
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: olcOverlay=ppolicy,olcDatabase={2}hdb,cn=config
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=default,ou=policies,dc=mycompany,dc=ru
EOF
Дополнительно прикручена к пользователю, для успокоения совести
ldapmodify -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: cn=test,ou=people,dc=mycompany,dc=ru
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=default,ou=policies,dc=mycompany,dc=ru
EOF
Клиентская машина(другая рабочая станция) настроена на работу с данным каталогом(sssd), пользователь test успешно проходит аутентификацию.
Но при этом может изменить пароль на любую комбинацию, в том числе не удовлетворяющую требованиям политики.
В журналах работы ldap видно подключение, запрос на смену пароля, и успешное его выполнение.
В чем может быть причина?
Страницы: [1]