OpenLDAP и политика паролей (а также MDS)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 21519
Статус: nulla salus bello
ОС: Debian GNU/Linux

OpenLDAP и политика паролей

Сообщение Bizdelnick »

Люди добрые, помогите разобраться, как функционируют политики паролей в openldap. Сразу предупреждаю, что вообще в LDAP я не силён.
Начну с начала. Имеется MDS с подключённым плагином ppolicy. Через веб-морду создаю политику, назначаю её юзеру. Политика не работает. В принципе для MMC, особенно неумолчальных плагинов, это нормально, надо дебажить. Но как - не очень понятно. Вычитал здесь, что политика должна быть у юзера в атрибуте pwdPolicySubentry, но я его не вижу:

Код: Выделить всё

$ ldapsearch -W -x -D cn=manager,dc=example,dc=com -b "dc=example,dc=com" "(uid=testpw)"
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (uid=testpw)
# requesting: ALL
#

# testpw, People, example.com
dn: uid=testpw,ou=People,dc=example,dc=com
shadowFlag: 134538308
shadowMin: -1
displayName: testpw testpw
uid: testpw
cn: testpw testpw
homeDirectory: /home/users/testpw
uidNumber: 20068
shadowMax: 99999
gidNumber: 513
gecos: testpw testpw
sn: testpw
shadowInactive: -1
givenName: testpw
shadowExpire: -1
shadowWarning: 7
sambaAcctFlags: [U          ]
sambaSID: S-1-5-21-338565807-2371587437-2022025744-1140
sambaPwdLastSet: 1349783429
sambaNTPassword: 02D08FFF1604A3A7DC09D45F107FDD80
sambaLMPassword: 030454C0C5B5E25FC2265B23734E0DAC
userPassword:: e1NTSEF9R3A2QmJGc2dweTBWTmYrK3VyamFLcTZQcnR4TTlJeTc=
shadowLastChange: 15623
loginShell: /bin/bash
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
objectClass: person
objectClass: sambaSamAccount
objectClass: lmcUserObject
objectClass: pwdPolicy
pwdAttribute: userPassword

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
Несмотря на это политика сохранилась, MMC её откуда-то вытаскивает.
Кроме того, написано, что
The operational attributes used by the passwd_policy module are stored
in the user's entry. Most of these attributes are not intended to be
changed directly by users; they are there to track user activity. They
have been detailed here so that administrators and users can both
understand the workings of the ppolicy module.
Непонятно, каким же образом эти атрибуты должны изменяться?
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали: