Я видел поднятую проблему, но ответов нет, у нас есть рабочая конфигурация OpenLDAP (Symas Gold 2.4.59-3), которая позволит пользователям без прав администратора RootDN сбрасывать пароли пользователей. Мы хотим включить блокировку с помощью ppolicy, но с загруженным оверлеем ppolicy мы получаем код результата 53, необходимо указать правильный старый пароль, чтобы изменить его на новый». Как наш пользователь-администратор, я могу удалить атрибут userPassword и создать его снова, чтобы эффективно изменить пароль, но наша вышестоящая система инициализации пользователей не может справиться с этим. Я начинаю задаваться вопросом, является ли это «особенностью» OpenLDAP/ppolicy. Кто-нибудь успешно реализовал это?
Любое понимание будет с благодарностью!
Ниже приведен фрагмент конфигурации:
DN: cn=схема,cn=config
объектный класс: olcSchemaConfig
Сп: схема
включить: файл:///opt/symas/etc/openldap/schema/core.ldif
включают: файл:///opt/symas/etc/openldap/schema/cosine.ldif
включают: файл:///opt/symas/etc/openldap/schema/inetorgperson.ldif
включить: файл:///opt/symas/etc/openldap/schema/openam.ldif
включить: файл:///opt/symas/etc/openldap/schema/ppolicy.ldif
DN: cn=модуль{0},cn=config
класс объекта: олкмодулелист
сп: модуль{0}
olcModulepath: /opt/symas/lib64/openldap
olcModuleload: {0}back_mdb
olcModuleLoad: {1}back_monitor.la
olcModuleLoad: {2}lastbind.la
olcModuleLoad: {3}ppolicy.la
olcModuleLoad: {4}syncprov.la
DN: olcDatabase={1}mdb,cn=config
класс объекта: олкдатабасеконфиг
класс объекта: олкмдбконфиг
olcDatabase: {1}mdb
олкМониторинг: ИСТИНА
olcDbDirectory: /ldap/db/myssoldap
olcSuffix: dc=viasat,dc=com
olcRootDN: cn=manager,dc=viasat,dc=com
олкрутпарв: ХХХХ
олкдбмаксизизе: 8192000000
олкдбчеккпойнт: 8192 15
олкдбносинк: ИСТИНА
олкластмод: ИСТИНА
olcDbIndex: по умолчанию прес, экв.
olcDbIndex: идентификатор пользователя
olcDbIndex: записьUUID
olcDbIndex: cn,sn pres,eq,sub
olcDbIndex: эквивалент объектного класса
olcAccess: to attrs=userPassword
самостоятельно написать
по анонимной авторизации
by dn.exact="uid=admin,ou=administrators,dc=viasat,dc=com" управлять
по * нет
olcAccess: к *
by dn.exact="uid=admin,ou=administrators,dc=viasat,dc=com" управлять
по * читать
DN: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config
объектный класс: олковерлайконфиг
объектный класс: olcPPolicyConfig
olcOverlay: политика
olcPPolicyHashCleartext: ИСТИНА
olcPPolicyDefault: cn=passwordDefault,ou=Policies,dc=viasat,dc=com
олкППолициуселокаут: ЛОЖЬ
dn: ou=Policies, dc=viasat,dc=com
класс объекта: верхний
objectClass: организационная единица
ты: Люди
DN: cn=passwordDefault,ou=Policies,dc=viasat,dc=com
объектный класс: pwdPolicy
класс объекта: человек
класс объекта: верхний
cn: парольПо умолчанию
sn: парольПо умолчанию
pwdAttribute: пароль пользователя
pwdCheckQuality: 1
pwdMinAge: 0
pwdMaxAge: 0
pwdMinLength: 6
pwdInHistory: 0
pwdMaxFailure: 6
pwdFailureCountInterval: 900
pwdLockout: ИСТИНА
pwdLockoutDuration: 900
pwdAllowUserChange: ИСТИНА
pwdExpireWarning: 37324800000
pwdGraceAuthNLimit: 0
pwdMustChange: ЛОЖЬ
pwdSafeModify: ЛОЖЬ
