LDAP密码策略配置

最新推荐文章于 2024-05-15 11:35:10 发布
最新推荐文章于 2024-05-15 11:35:10 发布
阅读量1.6w 收藏 13
点赞数 7
分类专栏: Linux 运维 文章标签: LDAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011607971/article/details/86378361
版权

LDAP 开启密码策略管理

部署过程

  1. 导入基础 objectClass

    # 加载ppolicy配置
ldapadd -Y EXTERNAL -H ldapi:/// -f new_ppolicy.ldif

    new_ppolicy.ldif内容如下:

    dn: cn=ppolicy,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: ppolicy
olcAttributeTypes: {0}( 1.3.6.1.4.1.42.2.27.8.1.1 NAME 'pwdAttribute' EQUALI
 TY objectIdentifierMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.38 )
olcAttributeTypes: {1}( 1.3.6.1.4.1.42.2.27.8.1.2 NAME 'pwdMinAge' EQUALITY 
 integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4.1.1466.115.121.
 1.27 SINGLE-VALUE )
olcAttributeTypes: {2}( 1.3.6.1.4.1.42.2.27.8.1.3 NAME 'pwdMaxAge' EQUALITY 
 integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4.1.1466.115.121.
 1.27 SINGLE-VALUE )
olcAttributeTypes: {3}( 1.3.6.1.4.1.42.2.27.8.1.4 NAME 'pwdInHistory' EQUALI
 TY integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4.1.1466.115.1
 21.1.27 SINGLE-VALUE )
olcAttributeTypes: {4}( 1.3.6.1.4.1.42.2.27.8.1.5 NAME 'pwdCheckQuality' EQU
 ALITY integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4.1.1466.11
 5.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {5}( 1.3.6.1.4.1.42.2.27.8.1.6 NAME 'pwdMinLength' EQUALI
 TY integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4.1.1466.115.1
 21.1.27 SINGLE-VALUE )
olcAttributeTypes: {6}( 1.3.6.1.4.1.42.2.27.8.1.7 NAME 'pwdExpireWarning' EQ
 UALITY integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4.1.1466.1
 15.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {7}( 1.3.6.1.4.1.42.2.27.8.1.8 NAME 'pwdGraceAuthNLimit' 
 EQUALITY integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4.1.1466
 .115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {8}( 1.3.6.1.4.1.42.2.27.8.1.9 NAME 'pwdLockout' EQUALITY
  booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {9}( 1.3.6.1.4.1.42.2.27.8.1.10 NAME 'pwdLockoutDuration'
  EQUALITY integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4.1.146
 6.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {10}( 1.3.6.1.4.1.42.2.27.8.1.11 NAME 'pwdMaxFailure' EQU
 ALITY integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4.1.1466.11
 5.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {11}( 1.3.6.1.4.1.42.2.27.8.1.12 NAME 'pwdFailureCountInt
 erval' EQUALITY integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {12}( 1.3.6.1.4.1.42.2.27.8.1.13 NAME 'pwdMustChange' EQU
 ALITY booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {13}( 1.3.6.1.4.1.42.2.27.8.1.14 NAME 'pwdAllowUserChange
 ' EQUALITY booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {14}( 1.3.6.1.4.1.42.2.27.8.1.15 NAME 'pwdSafeModify' EQU
 ALITY booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )
olcAttributeTypes: {15}( 1.3.6.1.4.1.42.2.27.8.1.30 NAME 'pwdMaxRecordedFail
 ure' EQUALITY integerMatch ORDERING integerOrderingMatch SYNTAX 1.3.6.1.4.1
 .1466.115.121.1.27 SINGLE-VALUE )
olcAttributeTypes: {16}( 1.3.6.1.4.1.4754.1.99.1 NAME 'pwdCheckModule' DESC 
 'Loadable module that instantiates check_password() function' EQUALITY case
 ExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
olcObjectClasses: {0}( 1.3.6.1.4.1.4754.2.99.1 NAME 'pwdPolicyChecker' SUP t
 op AUXILIARY MAY pwdCheckModule )
olcObjectClasses: {1}( 1.3.6.1.4.1.42.2.27.8.2.1 NAME 'pwdPolicy' SUP top AU
 XILIARY MUST pwdAttribute MAY ( pwdMinAge $ pwdMaxAge $ pwdInHistory $ pwdC
 heckQuality $ pwdMinLength $ pwdExpireWarning $ pwdGraceAuthNLimit $ pwdLoc
 kout $ pwdLockoutDuration $ pwdMaxFailure $ pwdFailureCountInterval $ pwdMu
 stChange $ pwdAllowUserChange $ pwdSafeModify $ pwdMaxRecordedFailure ) )

  2. 配置module模块,加载 accesslogauditlogppolicymemberof

    cat << EOF | ldapadd -Y EXTERNAL -H ldapi:///
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModulepath:	/usr/lib/openldap
olcModuleload: accesslog.la
olcModuleload: auditlog.la
olcModuleload: memberof.la
olcModuleLoad: ppolicy.la
EOF

  3. 配置DB

    cat << EOF | ldapadd -Y EXTERNAL -H ldapi:///
dn: olcOverlay=ppolicy,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=pwdDefault,ou=Policies,dc=laoshiren,dc=com
olcPPolicyHashCleartext: TRUE
olcPPolicyUseLockout: TRUE
EOF

  4. 创建组

    cat << EOF | ldapadd -x -D cn=manager,dc=laoshiren,dc=com -W
dn: ou=Policies,dc=laoshiren,dc=com
objectClass: top
objectClass: organizationalUnit
ou: Policies
EOF

  5. 创建默认密码策略

    密码属性说明,请查看官网属相说明 搜索相应属性即可

    cat << EOF | ldapadd -x -D cn=manager,dc=laoshiren,dc=com -W
dn: cn=pwdDefault,ou=Policies,dc=laoshiren,dc=com
cn: pwdDefault
objectClass: top
objectClass: device
objectClass: pwdPolicy
objectClass: pwdPolicyChecker
pwdAttribute: userPassword
pwdInHistory: 8
pwdMinLength: 8
pwdMaxFailure: 3
pwdFailureCountInterval: 1800
pwdCheckQuality: 2
pwdMustChange: TRUE
pwdGraceAuthNLimit: 0
pwdMaxAge: 3600
pwdExpireWarning: 1209600
pwdLockoutDuration: 900
pwdLockout: TRUE
EOF

    # 查看用户信息,前提存在该用户
ldapsearch -x -b "uid=linux_user1,ou=People,dc=laoshiren,dc=com" +

扩展

  • 增加用户首次登陆更改密码

    cat << EOF | ldapadd -x -D "cn=manager,dc=laoshiren,dc=com" -w FCzxpJWCccuB -H ldap://172.16.10.220
dn: uid=linux_user1,ou=People,dc=laoshiren,dc=com
changetype: modify
replace: pwdReset
pwdReset: TRUE
EOF

  • 删除该用户登陆更改密码属性

    cat << EOF | ldapadd -x -D "cn=manager,dc=laoshiren,dc=com" -w FCzxpJWCccuB -H ldap://172.16.10.220
changetype: modify
delete: pwdReset
EOF

  • 针对不同用户使用不同的密码策略

    # 对于服务帐户,不使帐户过期更安全。
cat << EOF | ldapadd -x -D cn=manager,dc=laoshiren,dc=com -W
dn: cn=servicesaccounts, ou=Policies,dc=laoshiren,dc=com
cn: servicesaccounts
objectClass: top
objectClass: device
objectClass: pwdPolicy
pwdAllowUserChange: TRUE
pwdAttribute: userPassword
pwdExpireWarning: 0
pwdFailureCountInterval: 0
pwdGraceAuthNLimit: 5
pwdLockout: FALSE
pwdLockoutDuration: 0
pwdInHistory: 0
pwdMaxAge: 0
pwdMaxFailure: 0
pwdMinAge: 0
pwdMinLength: 15
pwdMustChange: FALSE
pwdSafeModify: FALSE
EOF

  • 配置用户访问以及更改密码权限

    # 允许用户更改密码
cat << EOF | ldapmodify -c -Y EXTERNAL -Q -H ldapi:///
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by dn="cn=ppolicy,ou=Policies,dc=laoshiren,dc=com" write by anonymous auth by * read
olcAccess: {1}to * by self write by dn="cn=ppolicy,ou=Policies,dc=laoshiren,dc=com" write by * read
EOF

  • 密码过期处理

    # 更改用户密码,此处不经过密码策略,随意书写。
ldappasswd -H ldap://172.16.10.220 -x -D "cn=manager,dc=laoshiren,dc=com" -W -S "uid=linux_user1,ou=People,dc=laoshiren,dc=com"

  • 配置日志输出界别

    更改日志级别
cat log.ldif 
dn: cn=config
changetype: modify
add: olcLogLevel
olcLogLevel: -1


ldapadd -Y EXTERNAL -H ldapi:/// -f log.ldif

测试

  • 测试用户更改密码

    • 尝试1

      输入密码为111111

      # server 端通过未通过规则
Jan 12 08:32:12 ldap-server slapd[1296]: conn=1161 op=5 RESULT oid= err=19 text=Password fails quality checking policy

    • 尝试2

      输入密码HsJC8m3y

  • 测试用户过期

    以上默认规则我设置的密码过期时间为一小时,所以以下输出会是已经过期

Y-Loong
关注
  • 7
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OpenLDAP密码策略实现
wilbertzhou的专栏
12-16 2万+
OpenLDAP密码控制策略很强大,可以控制: 密码的生命周期(最大和最小值);保存密码历史,避免在一段时间内重用相同的密码密码强度,新密码可以根据各种特性进行检查;密码连续认证失败的最大次数;自动账号锁定;支持自动或管理员解锁账号;优雅(Grace)绑定(允许密码失效后登录的次数);密码策略可以在任意DIT范围定义,可以是用户、组或任意组合。 具体ppolicy的规格细节参考:htt
LDAP基础:8:ldap用户密码确认和修改
热门推荐
知行合一 止于至善
11-17 4万+
ldap用户密码的修改可以使用ldappasswd命令,也可以使用万能的ldapmodify结合ldif文件来实现,但所修改的都是普通的用户,cn=admin的管理员用户的修改一般可以通过slappasswd来进行,由于本系列使用了openldap的docker镜像,此项功能已被封装,通过设定环境变量即可轻易实现。
LDAP详细配置
02-13
LDAP配置LDAP相关配置.
搭建openldap环境,配置密码策略(转载)
完颜振江
01-10 2005
CentOS Linux release 7.8.2003 (Core) openldap-clients-2.4.44-21.e17_6.x86_64 openldap-servers-2.4.44-21.e17_6.x86_64 openldap-2.4.44-21.e17_6.x86_64 一、环境准备 关闭 selinux firewalld setenforce 0 systemctl stop firewalld.service systemctl disable firewalld.serv
LDAP密码加密字符串生成器slappasswd命令的详细使用方法_ldappasswd(1)
最新发布
ZZdjajf13131的博客
05-15 447
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件,供读者免费下载。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
linux 修改ldap密码,Linux-ldap密码修改程序,如何加密ssha
weixin_39928844的博客
05-18 523
LDAP中SHA,SSHA,MD5加密方法经过了特殊处理SHA加密方法:/*** SHA加密* @param $password 需要加密的字符串* @return 返回加密号的字符串* */public function ldap_sha($password){$ldap_passwd = "{SHA}".base64_encode(pack("H*", sha1($password)));r...
ldap 通过命令对密码策略进行控制(Ldap PasswordPolicyRequestControl)
焱宣的博客
03-26 918
(3) 在编程时需要设置PasswordPolicyRequestControl 精细控制,这样在设置口令时若违反密码策略,程序可以自动抛出异常,并在上下文中返回应答控制,通过解析应答控制可以得知违反了哪条规则。密码策略控制用于规范密码的设置和使用,包括密码强度、定时修改的时限、允许重试的次数、违反规则账户会被锁住等等,密码策略通常在用户设置时起作用,违反策略的操作会被系统阻止;
如何保护 LDAP 目录服务中的用户安全?
墨鱼菜鸡
09-10 248
轻量级目录访问协议(LDAP)是目前主流的身份验证协议之一,由密歇根大学的 Tim Howes、Steve Kille 和 Wengyik Yeong 于1993年创建,又经过了 Internet 工程任务组(IETF)的标准化,通过网络分发目录信息,扮演了身份源(IdP)的角色。 LDAP 在现代网络中的重要性在于该协议参与共享企业中有关用户、设备...
php操作ldap
zk_jy520的博客
07-31 849
公司需要对接ad域,采用的是ldap协议(此处可以百度了解下,也是第一次摸索) 代码详情,查看本文>>
OpenLDAP 密码策略
完颜振江
01-29 2307
OpenLDAP默认是没有密码检查策略的,123456这也得密码也能接受,这显然是管理员不希望看到的。 参考地址: https://www.yaoge123.com/blog/archives/1276 导入密码策略schema ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/ppolicy.ldif 假如没有cn=module{0}的话,参考地址: https://www.cnblogs.com/
LDAP连接配置
高明的专栏
03-24 697
1、更换LDAP的metadata 2、修改securityContext.xml中的entityId 和请求方式 < bean class= "org.springframework.security.saml.metadata.MetadataGenerator" > <property name ="entityId" value= "urn:test:oxylane:nxy:shanghai" /> <property name ="signMetada
修改ldap密码源代码
04-23
标题中的“修改ldap密码源代码”表明我们即将探讨的是与LDAP(轻量级目录访问协议)相关的编程实践,特别是涉及到用户密码的修改操作。在IT领域,LDAP常用于存储和管理用户身份信息,包括用户名、密码等,为网络服务...
Catslap:具有密码策略覆盖支持的LDAP REST微服务
02-05
在Catslap中,可能有一个特定的密码策略覆盖overlay,允许管理员动态地设置和管理密码策略,比如最小长度、复杂度规则、过期策略等。 **LDAP Authentication** 是LDAP的一个关键应用,用于验证用户的身份。Catslap...
ldap的离线安装包及安装方法
09-15
创建 LDAP 数据库并设置管理员密码: ``` sudo dpkg-reconfigure slapd ``` 这个命令会引导你创建一个新的数据库并设置 rootDN(如 "cn=admin,dc=example,dc=com")和相应的密码。 5. **启动和启用 LDAP 服务...
使用Delphi连接LDAP服务器
02-01
在代码中,创建一个`TIdLDAP`实例,设置其属性,如`Host`为LDAP服务器的地址,`Port`为默认的389(或者如果是SSL加密的LDAPS,使用636端口),`BindDN`和`BindPassword`分别用于身份验证的用户名和密码。 ```delphi...
LDAP- AD pwd policy
a4453368的博客
05-10 1042
公司使用的是2008版的Active Directory。 public void updateCredentialToAd(String ownerId, String plainTextPassword) throws UnsupportedEncodingException { UserAD user = adUserInfoDao.getUserInfoBy...
ldap统一用户认证php,针对LDAP服务器进行身份认证
weixin_42596214的博客
03-11 594
Symfony提供了不同的方法来配合LDAP服务器使用。Security组件提供:ldap user provider,使用的是form_login_ldap authentication provider,用于针对一台使用了表单登录的LDAP服务器。同所有其他user provider一样,它可以同任何authentication provider一起使用。http_basic_ldap aut...
php ldap ad 登录验证,PHP中的LDAP身份验证 – 无需密码即可进行身份验证
weixin_42174176的博客
03-11 412
我在LDAP身份验证上遇到了一个奇怪的行为,我需要这个用他们的AD凭据来验证用户,这就是我所拥有的:session_start();$adServer = "MY IP";$ldapconn = ldap_connect($adServer) or $this->msg = "Could not connect to LDAP server.";$ldaprdn = "DOMAIN\\" ....
配置 OpenLDAP Pasword policy (ppolicy)
隔壁老瓦的专栏
09-26 1561
1,加载 ppolicy schema $ sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif 加完了再查看下 schema 列表,已经加上了: $ sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=confi...
使用LDAP进行身份验证,在LDAP服务器上怎么配置密码策略
06-09
LDAP服务器上配置密码策略需要使用PPolicy(Password Policy)模块。PPolicy模块提供了一组密码策略控制参数,可以用于实现各种密码策略要求。 在OpenLDAP服务器上,可以通过以下步骤配置PPolicy模块: 1. 安装必要的软件包 在终端中执行以下命令安装必要的软件包: ``` yum install openldap-servers openldap-clients openldap-servers-sql openldap-devel ``` 2. 加载PPolicy模块 编辑/etc/openldap/slapd.conf文件,在文件末尾添加以下内容: ``` modulepath /usr/lib64/openldap/ moduleload ppolicy.la ``` 上述配置启用PPolicy模块,并将PPolicy模块加载到OpenLDAP服务器中。 3. 配置PPolicy策略 编辑/etc/openldap/slapd.conf文件,在文件末尾添加以下内容: ``` overlay ppolicy ppolicy_default "cn=default,ou=policies,dc=example,dc=com" ppolicy_use_lockout ppolicy_hash_cleartext ``` 上述配置表示启用PPolicy策略,并将默认策略设置为名为"default"的策略。 4. 创建PPolicy策略 使用ldapadd命令创建一个名为"default"的PPolicy策略,内容如下: ``` dn: cn=default,ou=policies,dc=example,dc=com objectClass: top objectClass: device objectClass: pwdPolicy cn: default pwdAllowUserChange: TRUE pwdAttribute: userPassword pwdCheckQuality: 2 pwdExpireWarning: 86400 pwdFailureCountInterval: 30 pwdGraceAuthNLimit: 0 pwdInHistory: 5 pwdLockout: TRUE pwdLockoutDuration: 3600 pwdMaxAge: 7776000 pwdMaxFailure: 5 pwdMinAge: 0 pwdMinLength: 8 pwdMustChange: TRUE pwdSafeModify: FALSE ``` 上述配置表示启用PPolicy策略,并设置了一些密码策略参数,如密码最长有效期、最短长度、历史密码个数等等。 5. 重启OpenLDAP服务器 在终端中执行以下命令重启OpenLDAP服务器: ``` systemctl restart slapd.service ``` 通过以上步骤,就可以在LDAP服务器上配置密码策略,从而实现更加安全的身份验证。需要注意的是,在客户端配置密码策略时,需要确保与LDAP服务器上的配置一致。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值