Я использую OpenLDAP 2.4.40 и пытаюсь настроить политику паролей.Я хочу установить политику по умолчанию для всех пользователей, кроме системных учетных записей.Для системных учетных записей я хочу создать другую политику.
Я использую CentOS 6.7.
Я использовал это руководство .
У меня уже есть /etc/openldap/schema/ppolicy.ldif file.
Я выполнил следующие команды:
ldapmodify -D "dc=manager,dc=company" -Y EXTERNAL -H ldapi:/// -W -a -f ppolicymodule.ldif
ldapmodify -D "dc=manager,dc=company" -Y EXTERNAL -H ldapi:/// -W -a -f ppolicyoverlay.ldif
ppolicyoverlay.ldif :
dn: olcOverlay=ppolicy,olcDatabase={1}bdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=passwordDefault,ou=Policies,dc=company
olcPPolicyHashCleartext: FALSE
olcPPolicyUseLockout: FALSE
olcPPolicyForwardUpdates: FALSE
Я добавил:
dn: ou=Policies,dc=company
ou: Policies
objectClass: organizationalUnit
dn: cn=passwordDefault,ou=Policies,dc=company
objectClass: pwdPolicy
objectClass: person
cn: default
sn: passwordDefault
pwdAttribute: userPassword
pwdMaxAge: 900
pwdExpireWarning: 300
pwdMaxFailure: 5
pwdLockout: TRUE
pwdMustChange: TRUE
pwdMinLength: 6
pwdSafeModify: FALSE
dn: cn=system_user,ou=Policies,dc=apt,dc=fs,dc=fujitsu,dc=com
objectClass: person
objectClass: pwdPolicy
cn: user
sn: system_user
pwdAttribute: userPassword
pwdMaxAge: 0
pwdInHistory: 3
pwdMaxFailure: 3
pwdLockout: TRUE
pwdMustChange: TRUE
pwdMinLength: 0
pwdSafeModify: TRUE
Для системных учетных записей я выполняю ldapmodify:
dn: uid=sysuser,ou=Users,dc=company
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=system_user,ou=Policies,dc=company
Я перезапустил slapd .
Проблема в том, что пароли работают как прежде, они не истекают через 900 секунд.Нужно ли использовать какие-либо дополнительные настройки или команды?
ОБНОВЛЕНО - мое решение
Чтобы включить оверлей ppolicy, я использовал следующее ppolicymodule.ldif :
dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModuleLoad: ppolicy.la
Я изменил ppolicy.la на ppolicy , и он начал работать.