06-OpenLDAP密码策略

最新推荐文章于 2024-04-17 13:34:56 发布
最新推荐文章于 2024-04-17 13:34:56 发布
阅读量2.1k 收藏 8
点赞数
文章标签: ldap 运维 java
原文链接:http://www.cnblogs.com/cishi/p/9160520.html
版权

阅读视图

  1. openldap密码策略
  2. OpenLDAP服务端定制密码策略
  3. 客户端策划策略实例
  4. 定义用户第一次登录就修改密码
    问题排查手册
    重点推荐官方文档

备注:本文依然承接系列文。

1. openldap密码策略

OpenLDAP密码策略包括以下几个方面

  • 密码的生命周期
  • 保存密码历史,避免在一段时间内重用相同的密码
  • 密码强度,新密码可以根据各种特性进行检查。
  • 密码连续认证失败的最大次数。
  • 自动帐号锁定
  • 支持自动解锁帐号或管理员解锁帐号。
  • 优雅(Grace)绑定(允许密码失败后登录的次数)。
  • 密码策略可以在任意DIT范围定义,可以是用户、组或任意组合。

2. 密码策略属性详解

密码策略涉及的属性如下:

  • pwdAllowUserChange:允许用户修改其密码
  • pwdAttribute, pwdPolicy:对象的一个属性,用于标识用户密码。默认值(目前唯一支持的)是userPassword
  • pwdExpireWarning:密码过期前警告天数
  • pwdFailureCountInterval:多久时间后重置密码失败次数, 单位是秒
  • pwdGraceAuthNLimit:密码过期后不能登录的天数,0代表禁止登录。
  • pwdInHistory:开启密码历史记录,用于保证不能和之前设置的密码相同。
  • pwdLockout:定义用户错误密码输入次数超过pwdMaxFailure定义后, 是否锁定用户, TRUE锁定(默认).
  • pwdLockoutDuration:密码连续输入错误次数后,帐号锁定时间。
  • pwdMaxAge:密码有效期,到期需要强制修改密码, 2592000是30天
  • pwdMaxFailure:密码最大失效次数,超过后帐号被锁定。
  • pwdMinAge:密码最小有效期, 默认为0, 用户随时更改密码, 如果定义了, 用户在离上次更改密码 + 定义的时间之内不能更改密码
  • pwdMinLength:用户修改密码时最短的密码长度
  • pwdMustChange:用户在帐户锁定后由管理员重置帐户后是否必须更改密码, 并且只有在pwdLockout为TRUE时才相关, 如果值为FLASE(默认值), 管理员帮用户解锁用户后, 用户不必更改密码, 如果为TRUE, 就必须更改密码。如果使用pwdReset来解锁用户, 其值将覆盖此属性
  • pwdSafeModify:该属性控制用户在密码修改操作期间是否必须发送当前密码。如果属性值为FALSE(缺省值),则用户不必发送其当前密码。如果属性值为TRUE,那么修改密码值时用户必须发送当前密码。
  • pwdLockoutDuration:帐号锁定后,不能自动解锁,此时需要管理员干涉

3. OpenLDAP服务端定制密码策略

  1. 编辑slapd.conf,修改添加如下内容,重新生成数据库并加载slapd进程

    [root@mldap01 ~]# vim /etc/openldap/slapd.conf

修改部分:
modulepath /usr/lib/openldap
modulepath /usr/lib64/openldap
moduleload ppolicy.la

添加部分:添加在最后一行
overlay ppolicy
ppolicy_default cn=default,ou=Pwpolicies,dc=gdy,dc=com
ppolicy_hash_cleartext
ppolicy_use_lockout

// 解释
overlay ppolicy  必须添加
ppolicy_default cn=default,ou=Pwpolicies,dc=gdy,dc=com  指定默认的密码规则条目, 如果例外条目需要在用户中定义pwdPolicySubentry DN
ppolicy_hash_cleartext   密码加密存储, 默认支持明文存储不安全
ppolicy_use_lockout   超过
最低0.47元/天 解锁文章
weixin_33758863
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openldap服务器密码修改,搭建openldap环境,配置密码策略
weixin_39939661的博客
08-04 942
CentOS Linux release 7.8.2003 (Core)openldap-clients-2.4.44-21.e17_6.x86_64openldap-servers-2.4.44-21.e17_6.x86_64openldap-2.4.44-21.e17_6.x86_64一、环境准备关闭 selinux firewalldsetenforce 0systemctl stop fi...
尝试debian-9.13.0-amd64下apache和proftpd用openldap整合按组认证笔记之四:安装self-service-password支持自助修改openldap密码
流窜疯的专栏
10-14 282
主要参考文章 1、https://www.ilanni.com/?p=13822 2、https://ltb-project.org/documentation/self-service-password/1.3/install_debian self-service-password的deb包下载网址 https://ltb-project.org/archives/self-service-password_1.3-1_all.deb 一、安装 root@mydebian210:~# .
linux-openldap管理linux用户组密码策略
08-13
openldap 管理linux用户/组、密码策略
OpenLDAP 密码策略
完颜振江
01-29 2295
OpenLDAP默认是没有密码检查策略的,123456这也得密码也能接受,这显然是管理员不希望看到的。 参考地址: https://www.yaoge123.com/blog/archives/1276 导入密码策略schema ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/ppolicy.ldif 假如没有cn=module{0}的话,参考地址: https://www.cnblogs.com/
Linux和Windows系统常用加固项_lockoutbadcount(1),推荐
最新发布
2401_84301922的博客
04-17 659
在本地策略的“审核策略”的界面双击“审核登录事件”则会出现“审核登录事件 属性”的界面,在界面勾选成功和失败的复选框。在域安全策略的界面双击 “账户锁定策略”的“复位账户锁定计时器,则会出现“复位账户锁定计时器的属性”输入“30”即可。在域安全策略的界面双击 “账户锁定策略”的“账户锁定阈值”,则会出现“账户锁定时间阈值的属性”输入“6”即可。在域安全策略的界面双击 “账户锁定策略”的“账户锁定时间”,则会出现“账户锁定时间”输入“30”即可。
搭建openldap环境,配置密码策略(转载)
完颜振江
01-10 1999
CentOS Linux release 7.8.2003 (Core) openldap-clients-2.4.44-21.e17_6.x86_64 openldap-servers-2.4.44-21.e17_6.x86_64 openldap-2.4.44-21.e17_6.x86_64 一、环境准备 关闭 selinux firewalld setenforce 0 systemctl stop firewalld.service systemctl disable firewalld.serv
openldap加入复杂密码策略
完颜振江
01-10 781
1、需要添加的默认的策略 #cat default_ppolicy.ldif dn: cn=default,ou=People,dc=taeteadata,dc=com cn: default objectClass: top objectClass: device objectClass: pwdPolicy pwdAttribute: 2.5.4.35 pwdInHistory: 8 pwdMinLength: 8 pwdMaxFailure: 5 pwdFailureCountInterval: 18
openldap通用策略备份
完颜振江
01-10 370
# cat default_ppolicy.ldif dn: cn=default,ou=People,dc=ethnicity,dc=com cn: default objectClass: top objectClass: device objectClass: pwdPolicy objectClass: pwdPolicyChecker pwdAttribute: 2.5.4.35 pwdInHistory: 8 pwdMinLength: 8 pwdMaxFailure: 3 pwdFailur
OpenLDAP常见运维管理操作
Begoniaish的博客
01-14 1905
(4)测试服务端认证是否成功 ldapwhoami -x -D cn=admin,dc=ldap,dc=test,dc=com -W 在输入密码后显示dn:cn=admin,dc=ldap,dc=test,dc=com,则表示成功 ldapwhoami –x 输出anonymous,则表示成功。ldapsearch -x -LLL -D cn=readonly,dc=ldap,dc=test,dc=com -w 密码 -b dc=ldap,dc=test,dc=com。
openldap-2.5.4
07-05
7. 配置认证和访问控制策略,根据需求设置用户、组和权限。 在实际应用中,OpenLDAP常与其他身份验证服务集成,例如与PAM结合,提供系统级别的用户认证;或者与SASL配合,实现安全的网络通信。同时,OpenLDAP也可以...
OpenLdap-install-and-config.rar_openldap_openldap-2.2.29
09-24
- **备份策略**:定期备份目录数据,防止数据丢失。 - **恢复过程**:当需要恢复时,使用备份文件和相应的命令进行数据恢复。 9. **集成应用** - **与其他服务的集成**:OpenLDAP可作为其他应用的身份验证和授权...
openldap-2.0.19.tgz_ldap_openldap
09-21
5. 模块化架构:OpenLDAP的模块化设计使得它可以扩展各种功能,例如通过添加同步插件来实现目录同步,或者通过其他插件来实现更复杂的认证策略。 在构建和安装OpenLDAP 2.0.19之前,需要确保系统中已经安装了必要的...
openldap-2.4.30.zip_OpenLDAP2.4.30_openldap 2.4 windo_openldap-2
09-23
2. 认证与授权:OpenLDAP支持多种身份验证机制,如简单的密码认证、SASL等,同时可以通过访问控制指令(ACI)来设定权限策略。 3. SSL/TLS加密:为了保证数据传输的安全,可以启用SSL/TLS加密,确保通信过程中的数据...
openldap用户管理脚本
完颜振江
02-14 472
用户添加 /opt/OpenLDAP/User_Manager/AddUser.sh #!/bin/bash cd /opt/OpenLDAP/User_Manager/ UserID=$1 UserName=$2 Email=$3 Password=$4 if [ "$UserID" == "" ] || [ "$UserName" == "" ] || [ "$Email" == "" ] || [ "$Password" == "" ];then echo "==以下都是必须输入的信息"
openldap加入复杂的密码策略
weixin_34356310的博客
08-05 911
本次加入的密码策略,大致上有以下内容:密码是长度至少为8位密码至少包含数字,大写字母,小写字母,特殊字符5次内使用过的密码不能再次使用连续输入错误超过5次,密码将锁定5分钟实现过程:实现上述密码策略主要用到两个模块,一个是自带的模块:ppolicy,另一个外部扩展模块:pqchecker第一步:载入ppolicy模块#vim/etc/openldap/slapd.confm...
OpenLDAP 自助修改密码系统——筑梦之路
筑梦之路
09-28 2744
4]docker-self-service-password支持的变量:https://github.com/tiredofit/docker-self-service-password#ldap-settings。此服务解决了使用openldap修改密码困难的问题,不仅简化了不懂ldap使用的用户修改密码的流程,还可以通过查找密码自助解决密码丢失遗忘的问题。[2]ssp官方文档:https://self-service-password.readthedocs.io/en/latest/
Openldap 客户端常用管理命令
justlpf的专栏
02-28 477
参考文章:Openldap命令详解 - 大胖猴 - 博客园 1、ldapadd -x: 简答认证方式 -W: 不需要在命令上写密码 ldapapp -x -D "cn=Manager,dc=suixingpay,dc=com" -W -w: password 需要命令上指定密码 ldapapp -x -D "cn=Manager,dc=suixingpay,dc=com" -w 123456 -H: 通过ldapapi -h: hostname/ipaddress -D: "cn=Manag
OpenLDAP部署目录服务
weixin_34362790的博客
08-02 645
文档信息 目 的:搭建一套完整的OpenLDAP系统,实现账号的统一管理。 1:OpenLDAP服务端的搭建 2:PhpLDAPAdmin的搭建 3:OpenLDAP的打开日志信息 ...
openldap实现发邮件密码过期提醒
07-28
openldap中实现密码过期提醒的功能,可以通过配置密码策略来实现。首先,需要在openldap服务器上安装ppolicy模块。然后,在LDAP目录中创建一个名为"ppolicy"的子目录,用于存储密码策略相关的信息。在该子目录下创建一个名为"default"的条目,用于设置默认的密码策略。 在"default"条目中,可以设置以下属性来控制密码过期提醒的行为: - pwdMaxAge:指定密码的最大有效期,单位为秒。例如,设置为2592000表示密码有效期为30天。 - pwdExpireWarning:指定在密码过期前多少天提醒用户修改密码。例如,设置为7表示在密码过期前7天提醒用户。 在用户的LDAP条目中,可以设置以下属性来控制用户的密码策略: - pwdChangedTime:记录用户上次修改密码的时间。 - pwdAccountLockedTime:记录用户账户被锁定的时间。 - pwdFailureTime:记录用户密码验证失败的时间。 当用户登录时,openldap会根据密码策略的设置来判断密码是否过期,并在密码过期前给出提醒。如果密码已过期,用户将被要求修改密码。 需要注意的是,openldap密码策略功能需要客户端和服务器都支持,并且需要在服务器端进行相应的配置。具体的配置方法可以参考openldap的文档或者相关的教程。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [Linux权限管理:用户和密码管理,Linux组,文件权限,文件共享](https://blog.csdn.net/DecadeLive/article/details/100989255)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [第14章 Linux用户管理知识与应用实践](https://blog.csdn.net/qq_43677746/article/details/109599686)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Linux用户管理-中](https://blog.csdn.net/weixin_30838921/article/details/96293129)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值