阅读视图
- openldap密码策略
- OpenLDAP服务端定制密码策略
- 客户端策划策略实例
- 定义用户第一次登录就修改密码
问题排查手册
重点推荐官方文档
备注:本文依然承接系列文。
1. openldap密码策略
OpenLDAP密码策略包括以下几个方面
- 密码的生命周期
- 保存密码历史,避免在一段时间内重用相同的密码
- 密码强度,新密码可以根据各种特性进行检查。
- 密码连续认证失败的最大次数。
- 自动帐号锁定
- 支持自动解锁帐号或管理员解锁帐号。
- 优雅(Grace)绑定(允许密码失败后登录的次数)。
- 密码策略可以在任意DIT范围定义,可以是用户、组或任意组合。
2. 密码策略属性详解
密码策略涉及的属性如下:
- pwdAllowUserChange:允许用户修改其密码
- pwdAttribute, pwdPolicy:对象的一个属性,用于标识用户密码。默认值(目前唯一支持的)是userPassword
- pwdExpireWarning:密码过期前警告天数
- pwdFailureCountInterval:多久时间后重置密码失败次数, 单位是秒
- pwdGraceAuthNLimit:密码过期后不能登录的天数,0代表禁止登录。
- pwdInHistory:开启密码历史记录,用于保证不能和之前设置的密码相同。
- pwdLockout:定义用户错误密码输入次数超过pwdMaxFailure定义后, 是否锁定用户, TRUE锁定(默认).
- pwdLockoutDuration:密码连续输入错误次数后,帐号锁定时间。
- pwdMaxAge:密码有效期,到期需要强制修改密码, 2592000是30天
- pwdMaxFailure:密码最大失效次数,超过后帐号被锁定。
- pwdMinAge:密码最小有效期, 默认为0, 用户随时更改密码, 如果定义了, 用户在离上次更改密码 + 定义的时间之内不能更改密码
- pwdMinLength:用户修改密码时最短的密码长度
- pwdMustChange:用户在帐户锁定后由管理员重置帐户后是否必须更改密码, 并且只有在pwdLockout为TRUE时才相关, 如果值为FLASE(默认值), 管理员帮用户解锁用户后, 用户不必更改密码, 如果为TRUE, 就必须更改密码。如果使用pwdReset来解锁用户, 其值将覆盖此属性
- pwdSafeModify:该属性控制用户在密码修改操作期间是否必须发送当前密码。如果属性值为FALSE(缺省值),则用户不必发送其当前密码。如果属性值为TRUE,那么修改密码值时用户必须发送当前密码。
- pwdLockoutDuration:帐号锁定后,不能自动解锁,此时需要管理员干涉
3. OpenLDAP服务端定制密码策略
编辑slapd.conf,修改添加如下内容,重新生成数据库并加载slapd进程
[root@mldap01 ~]# vim /etc/openldap/slapd.conf 修改部分: modulepath /usr/lib/openldap modulepath /usr/lib64/openldap moduleload ppolicy.la 添加部分:添加在最后一行 overlay ppolicy ppolicy_default cn=default,ou=Pwpolicies,dc=gdy,dc=com ppolicy_hash_cleartext ppolicy_use_lockout // 解释 overlay ppolicy 必须添加 ppolicy_default cn=default,ou=Pwpolicies,dc=gdy,dc=com 指定默认的密码规则条目, 如果例外条目需要在用户中定义pwdPolicySubentry DN ppolicy_hash_cleartext 密码加密存储, 默认支持明文存储不安全 ppolicy_use_lockout 超过