pwdInHistory не применяется в openldap ppolicy
У меня есть действующая политика паролей на моем сервере OpenLDAP. Однако я только что попробовал протестировать свойство pwdInHistory , и оно, похоже, не мешает мне использовать только что установленный предыдущий пароль.
Для справки, часть политики моего сервера OpenLDAP не разрешает установку паролей в открытом виде, поэтому все наши пароли устанавливаются с использованием SSHA из slappasswd.
Я установил pwdInHistory на 3, a относительно короткий номер для тестирования в первую очередь. Я привязываюсь только как пользователь, обновляющий свой пароль, а не как корневой DN LDAP. У кого-нибудь есть идеи, почему это не работает так, как я настроил политику паролей?
Для наложения ppolicy требуется расширенная операция ldappasswd (изменение пароля LDAPv3 (RFC 3062)).
Для запуска элементов управления ppolicy выполняет пароль изменение должно быть выполнено с помощью ldappasswd .
Другие команды изменения пароля работают, если вы проверяете, был ли изменен пароль, но не будут подвергаться ppolicy постановления.
Чтобы pwdInHistory работала нормально, вы должны указать пароль в виде обычного текста , а не в зашифрованном формате. Вы можете сделать это с помощью ldappasswd или любым другим способом (например, через LDIF). Причина в том, что оверлей ppolicy просто не может знать, какой пароль вы использовали (SSHA необратимо). Предоставление пароля в виде обычного текста через сеанс TLS / SSL безопасно и не является проблемой безопасности. Но вы должны активировать его зашифрованное хранилище (установите для olcPPolicyHashCleartext значение ИСТИНА)