Как активировать политику паролей, чтобы использовать расширенную операцию для сброса пароля в OpenLDAP/ Windows

Question

Как активировать политику паролей, чтобы использовать расширенную операцию для сброса пароля в OpenLDAP/ Windows

Я создал политику паролей, следуя процедуре, упомянутой для OpenLDAP, но я не заметил ее эффекта при смене пароля пользователя через расширенную операцию. Я получаю ответный контроль, но вместо ошибки отображается только предупреждение.

Так что вопрос в том, чего не хватает с моей стороны? Как применить политику паролей, чтобы использовать расширенную операцию для сброса пароля? Как только я определю политику паролей, будет ли она применима ко всем существующим пользователям на сервере OpenLDAP? Или это будет применимо только для нового пользователя?

0

openldap password-policy

Источник

user1635235 24 мар '15 в 12:30

1 ответ

Решение

Другие вопросы по тегам openldap password-policy

user207421 26 мар '15 в 00:42 2015-03-26 00:42 · Accepted Answer · 2015-03-26 00:42

Вы не должны использовать учетную запись ManagerDN для чего-либо самостоятельно. Он обходит все наложения и дает вам неограниченный доступ к DIT, который вам не нужен.

Ваши приложения должны работать как пользователи с записями в DIT, которым предоставлены соответствующие разрешения в конфигурации.

Для этого я определил группы администраторов, в которые входят все приложения и администраторы-люди, что упрощает настройку (а добавление / изменение администраторов или приложений в дальнейшем намного проще). Мой идет примерно так, в slapd.conf синтаксис: преобразование его в slapd.d онлайн-синтаксис оставлен в качестве упражнения для читателя. Обратите внимание, что вам придется изменить базовые DN и т. Д., Чтобы они соответствовали вашему собственному DIT, возможно, групповым классам и именам атрибутов.

access to attrs=userPassword
    by dn.exact="cn=Manager,dc=XXX,dc=com" write
    by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
    by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
    by anonymous auth
    by self write
    by * none

access to *
    by self write
    by dn="cn=Replicator,dc=XXX,dc=com,c=us" write
    by dn.exact="cn=Manager,dc=XXX,dc=com" write
    by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
    by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
    by users read
    by anonymous search
    by * none

Обратите внимание, что эта настройка также позволяет пользователям изменять свои собственные пароли, поэтому теперь вы можете связываться с ними как пользователь.