Автор Тема: Проверка входа пользователя  (Прочитано 5981 раз)

ctopmbi4

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Проверка входа пользователя
« : 17 Апрель 2019, 11:01:18 »
Добрый день.
Хотелось бы проверять вновь созданного  пользователя и задавать ему атрибут pwdReset для принудительной смены пароля при первом входе.
Не нашел операционного атрибута о входе пользователя. 
Как можно этот момент реализовать?

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Проверка входа пользователя
« Ответ #1 : 17 Апрель 2019, 12:43:10 »
Здравствуйте. Специального атрибута для фиксации факта/количества попыток входа пользователя нет. Как вариант, можно создавать учётную запись с уже установленным атрибутом pwdReset или pwdMustChange, тогда, согласно пункту 8.1.2.2 документа draft-behera-ldap-password-policy-09.txt, сервер должен вернуть ответ bindResponse  с элементом управления passwordPolicyResponse и  соответствующим уведомлением "changeAfterReset specified". Другое дело, сможет ли пользовательский клиент обработать такой ответ и сообщить пользователю о необходимости сменить пароль, например, если в качестве клиента будет какой-нибудь аутентификационный модуль squid, apache и т.п. Скорее всего, нет.

В любом случае, это моё предположение, нужно проверять на макете.

Егор

ctopmbi4

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Проверка входа пользователя
« Ответ #2 : 17 Апрель 2019, 15:25:21 »
Егор может быть как то еще можно определить, что УЗ пользователя только что создана?
То есть атрибут pwdReset хочу добавлять именно через скрипт который должен определить, что пользователь еще не логинился в систему.
Может быть можно прикрутить какой то доп. модуль?

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Проверка входа пользователя
« Ответ #3 : 18 Апрель 2019, 00:48:52 »
Как я понял, ситуация складывается так, что учётки заводит один человек, а атрибуты наложения ppolicy должен назначать другой. Лучшим вариантом, наверное, было бы, если бы это делалось одновременно при заведении учётки.

Для записи в каталоге OpenLDAP предусмотрено несколько операционных атрибутов с отметками времени: createTimestamp, modifyTimestamp, entryCSN, можно попытаться привязаться к ним, но это не даст 100% гарантии в определении того, заходил ли уже пользователь в систему.

Из наложений для определения входа пользователя в систему, на мой взгляд, подошло бы accesslog, на собранных данных можно построить какой-то анализ.

Егор