Ich verwende Openldap 2.4.11 in Fedora Core 13.
Ich versuche eine Passwortrichtlinie zu erstellen:
%Vor%Wenn ich pwdAttriute für "userPassword" festlege, erhalte ich einen Fehler
%Vor%Stattdessen erzwinge ich die Verwendung von OID für pwdAttribute:
%Vor%Ist es möglich, "userPassword" anstelle von "2.5.4.35" für pwdAttribute zu verwenden?
Ich versuche, openldap zu konfigurieren, um das Modul ppolicy.la in cn = config zu laden, aber es scheint nicht zu funktionieren, nachdem ich den slapd-Dienst für einige Male neu gestartet habe:
%Vor%Stattdessen erzwinge ich die Verwendung von OID für pwdAttribute:
Sie können entweder eine OID oder den Attributnamen angeben, vorausgesetzt, dass sowohl das relevante Schema als auch die ppolicy -Überlagerung geladen sind.
Warum hast du objectClass = person dort? Eine Passwort-Richtlinie ist keine Person. Es ist üblich, objectClass = device als Strukturklasse für Passwortrichtlinien zu verwenden.
Die Antwort von EJP ist meiner Erfahrung nach falsch.
Ich habe dieselbe Fehlermeldung erhalten, die openldap 2.4.29 ausgeführt hat. Das Passwort-Richtlinien-Overlay ermöglicht die Verwendung von pwdAttribute: userPassword , jedoch nur, wenn das Overlay aktiviert ist. Andernfalls wird der Wert mit der obigen Meldung abgelehnt ( pwdAttribute: value #0 invalid per syntax ).
Wenn Ihre OpenLDAP-Installation dynamische Module verwendet, achten Sie darauf,
einzuschließen %Vor% in Ihrer slapd.conf -Datei (oder der entsprechenden Entsprechung in Ihrer cn=config -Datenbank).
Laden Sie dann das Overlay für die entsprechende Datenbank:
%Vor% Vor dem Laden des Overlays konnte ich nur die OID für pwdAttribute angeben. Nach dem Neuaufbau mit --enable-ppolicy und dem Hinzufügen des Eintrags overlay konnte ich mit ldapmodify pwdAttribute: 2.5.4.35 durch pwdAttribute: userPassword ersetzen.
Ich musste den Wert von pwdAttribute nach dem Laden des Overlays aktualisieren.
Ich bin gerade auf dieses Problem gestoßen und habe es anders gelöst als das Vorhergehende. Ich richte ein neues LDAP auf CentOS 6.4 (für die spätere Implementierung auf RHEL 6.4) ein, und es wird standardmäßig das Konfigurationsschema "(cn = config)" verwendet, so dass alle obigen (ohne Zweifel sehr gute) Anweisungen zum Ändern der slapd.conf nicht gelten nicht anwenden.
Bei der Methode "(cn = config)" (auf einigen Websites auch "slapd.d" genannt) gibt es viele Schritte, um Überlagerungen zu erstellen. Das standardmäßige CentOS 6.4 LDAP, mit dem ich es zu tun hatte, enthielt das ppolicy Schema, aber es wurde nicht aktiviert.
Um es in Gang zu bringen, gab es viele Schritte:
Erstens ist das Modul "ppolicy" dynamisch, Sie müssen sicherstellen, dass es in der Liste der Laufzeitmodule enthalten ist. Die Standard-CentOS-Installation hatte keine, also musste ich zuerst Module einschalten und dann ppolicy zur Liste hinzufügen. Dieser LDIF macht es:
%Vor%Wenn Sie später weitere Module hinzufügen möchten, fügen Sie einfach zusätzliche olcModuleLoad-Einträge an diese DN an.
Zweitens müssen Sie das Overlay für die Datenbank (en) aktivieren, auf die es angewendet werden soll. Erstelle ein weiteres DN, also:
%Vor%Diese ersten beiden Schritte werden in der Domäne "cn = config" ausgeführt, d. h. außerhalb der Datenbank durch den Benutzer root der Maschine. Die folgenden Schritte befinden sich im Bereich "dc = example, dc = com" und können daher vom rootDN ausgeführt werden.
Im dritten Schritt erstellen Sie einen Container für Ihre Kennwortrichtlinien. Dies könnte optional sein, ich bin mir nicht sicher - ich habe ein DN erstellt wie:
%Vor%Viertens, erstellen Sie Ihre eigentliche Richtlinie - Leute, die in diesen Fehler geraten sind, haben dies bereits, das ist die DNS mit der "pwdAttribute" -Ding, die den Syntaxfehler bekommt. Mit dem oben beschriebenen Overlay und der richtigen Modul-Arbeit können Sie pwdAttribute: userPassword verwenden, ohne einen Syntaxfehler zu bekommen. Meine Richtlinie befand sich natürlich innerhalb des ou-Containers und ich verwendete zusätzlich zu "pwdPolicy" eine objectClass von "device". wie es an anderer Stelle vorgeschlagen wurde.
Schließlich können Sie die Richtlinie natürlich auch tatsächlich verwenden.
Dieser ganze Prozess wurde für mich verwirrender, weil es in der Dokumentation so viel über die Einrichtung von slapd.conf gibt. Ich habe die meisten davon aus dem Zytrax-Buch "LDAP for Rocket Scientists" zusammengestellt, das die Modul- und Overlay-Sachen sehr gut abbildet, aber ein falsches oder veraltetes Beispiel (fehlende strukturelle Objektklasse) in ihrem Passwortrichtlinien-Abschnitt hat.
>Ich habe meine 2.3 auf einem neuen Server auf 2.4 umgestellt, und ich bekam den gleichen Fehler auf Red Hat 6.3. Ich habe stattdessen pwdAttribute: 2.5.4.35 verwendet und es wurde ohne Ausgabe geladen.