Сообщения

1

Вопросы безопасности / Re: Проблема с атрибутом pwdHistory политики паролей.

« : 20 Сентябрь 2012, 11:44:17 »

Egor, Спасибо, действительно прояснилось. Все ок. Пароль отслеживается. Однако, судя по логам, приложением меняет его другой какой-то командой. Буду с программерами разбираться...

2

Вопросы безопасности / Re: Проблема с атрибутом pwdHistory политики паролей.

« : 07 Сентябрь 2012, 16:26:15 »

Ан, нет. Похоже сам не разберусь.
Если в политике паролей установлен параметр pwdInHistory, то LDAP должен проверять новые пароли на соответствие хранимым старым. И если они совпадают, не давать заводить новый (генерировать ошибку).
У меня, по пока непонятной причине эта сверка не происходит. При этом история заполняется, если нужно, одинаковыми паролями.
Вопрос старый - где можно "копать"?

3

Вопросы безопасности / Re: Проблема с атрибутом pwdHistory политики паролей.

« : 06 Сентябрь 2012, 17:05:10 »

Попробуйте запросить его явно:

Спасибо за команды, действительно прояснилось. По крайней мере, видно, что история есть и изменяется.
Проблема была, скорее всего, вот в чем:
Когда я настраивал первый раз в жизни политику, случайно два раза создал ldif с оверлеем полисей (файлы olcOverlay={0}ppolicy.ldif и olcOverlay={1}ppolicy.ldif). Внутри они были абсолютно одинаковые. И после удаления второго и перезагрузки сервера пароли стали меняться и история пополняться.
Правда, почему-то можно вводить и старые пароли, но это я уже буду выяснять на месте, под какой ролью и как делаютсф запросы (если работать под admin-ом, политика игнорируется)...

4

Вопросы безопасности / Проблема с атрибутом pwdHistory политики паролей.

« : 05 Сентябрь 2012, 15:25:40 »

Доброе время суток.
Извиняюсь, если пишу не в нужную ветку.
С LDAP начал работать недавно, многого не знаю. Поэтому будет полезна любая информация.
На машине с ubuntu установлен OpenLDAP с cn=config. Настроена политика паролей. Все работает, кроме одного момента. Если атрибут pwdInHistory установлен в 0, то пользователь может свободно менять свой пароль. Однако истории паролей нет, и можно вводить любой.
Если установить у атрибута любое число, то при попытке смены пароля выдается сообщение
RESULT tag=103 err=20 text=modify/add: pwdHistory: value #0 already exists
Ранее пароль не  менялся, в учетной записи атрибуты pwdHistory отсутствуют.
Минус в том, что инициацию смены паролей программировал не я, поэтому сложно сказать, что при этом происходит.
Дайте какую-нибудь идею, где "копать".