Автор Тема: Не применяется политика паролей ldap 2.4 cn=config  (Прочитано 17444 раз)

Vladimir8212

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Доброго времени суток.

По шагам, что сделано:
Подключена схема ppolicy
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif

Подключен модуль ppolicy
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: ppolicy

Добавлена OU
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: ou=policies,dc=mycompany,dc=ru
objectClass: organizationalUnit
objectClass: top
ou: policies
EOF

Добавлена политика паролей
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: cn=default,ou=policies,dc=mycompany,dc=ru
objectClass: pwdPolicy
objectClass: person
objectClass: top
cn: default
pwdMaxAge: 2592000
pwdExpireWarning: 3600
#pwdInHistory: 0
#pwdCheckQuality: 0
pwdMaxFailure: 5
pwdLockout: TRUE
#pwdLockoutDuration: 0
#pwdGraceAuthNLimit: 0
#pwdFailureCountInterval: 0
pwdMustChange: TRUE
pwdMinLength: 6
#pwdAllowUserChange: TRUE
pwdSafeModify: FALSE
pwdAttribute: 2.5.4.35
sn: dummy value
EOF

Включен оверлей
ldapadd -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: olcOverlay=ppolicy,olcDatabase={2}hdb,cn=config
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=default,ou=policies,dc=mycompany,dc=ru
EOF

Дополнительно прикручена к пользователю, для успокоения совести
ldapmodify -Q -Y EXTERNAL -H ldapi:/// <<EOF
dn: cn=test,ou=people,dc=mycompany,dc=ru
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=default,ou=policies,dc=mycompany,dc=ru
EOF

Клиентская машина(другая рабочая станция) настроена на работу с данным каталогом(sssd), пользователь test успешно проходит аутентификацию.
Но при этом может изменить пароль на любую комбинацию, в том числе не удовлетворяющую требованиям политики.
В журналах работы ldap видно подключение, запрос на смену пароля, и успешное его выполнение.
В чем может быть причина?

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Не применяется политика паролей ldap 2.4 cn=config
« Ответ #1 : 17 Апрель 2015, 05:37:07 »
Здравствуйте, Владимир! Простите, что не сразу ответил -- два дня не заходил на форум.

Политики паролей применяются, только если пароли изменяются с помощью расширенной LDAP-операции Password Modify (RFC3062). Если содержимое атрибута пароля меняется с помощью обычной операции modify, то политики не действуют. Как в этом плане работает sssd я не знаю. Проверить, работают ли политики вообще,  можно, поменяв пароль с помощью утилиты ldappasswd, она как раз выполняет эту самую расширенную операцию.

Егор

Vladimir8212

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: Не применяется политика паролей ldap 2.4 cn=config
« Ответ #2 : 17 Апрель 2015, 08:52:42 »
Спасибо за ответ, проделал предложенную вами процедуру, политика однозначно не работает.
Пароль изменился без проблем.
[test@test-client ~]$ ldappasswd -H ldap://test-ldap -x -D 'cn=test,ou=people,dc=mycompany,dc=ru' -w 1 -a 1 -s 2
отработало молча, пароль изменен.

В режиме дебага обнаружил следующую запись в журнале работы при запуске slapd:

loaded module ppolicy
module ppolicy: null module registered

К сожалению гугление не смогло добавить ясности что это значит.

Настроил репликацию, проверить наличие похожей записи, имеем те же записи касаемо syncprov

loaded module syncprov
module syncprov: null module registered

При этом репликация работает.
Видимо не связано.

Спросите меня ещё что нибудь, всё покажу и расскажу, не представляю уже куда копать.
CentOS Linux release 7.1.1503 (Core)
openldap-2.4.39
Selinux отключен, так же отключен IPv6(с ним не стартует corosync)

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Не применяется политика паролей ldap 2.4 cn=config
« Ответ #3 : 17 Апрель 2015, 13:20:14 »
Перечитал man-страницу slapo-ppolicy, и там написано, что для работы ограничения pwdMinLength требуется, чтобы pwdCheckQuality был отличен от нуля. Попробуйте.

Егор
« Последнее редактирование: 02 Июнь 2015, 11:49:11 от egor »

Vladimir8212

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: Не применяется политика паролей ldap 2.4 cn=config
« Ответ #4 : 17 Апрель 2015, 14:12:28 »
Большое спасибо Егор, вы правы, теперь всё работает как надо.
Мне стыдно :-[