如何激活密码策略以在 OpenLDAP/windows 中使用密码重置的扩展操作
How to activate password policy to use Extended operation for password reset in OpenLDAP/windows
我已经按照针对 OpenLDAP 提到的过程创建了密码策略
但是当我通过扩展操作更改用户密码时,我没有观察到它的效果。我得到了响应控件,但它只有警告而不是错误。
所以问题是我这边缺少什么?
如何强制执行密码策略以使用扩展操作来重置密码?
一旦我定义了密码策略,它是否适用于 OpenLDAP 服务器中的所有现有用户?还是只适用于新用户?
您自己不得将 ManagerDN 帐户用于任何事情。它绕过所有覆盖并让您无限访问 DIT,这是您不想要的。
您的应用程序应该 运行 作为在 DIT 中具有条目的用户,这些条目在配置中被赋予适当的权限。
我为此定义了 admin groups,所有应用程序和人工管理员都是其中的一部分,这使得配置更简单(adding/changing admins 或以后的应用程序 简单得多 )。我的是这样的,在 slapd.conf 语法中:将其转换为 slapd.d 在线语法留作 reader 的练习。请注意,您必须更改基本 DN 等以适合您自己的 DIT,也许还有组 类 和属性名称。
access to attrs=userPassword
by dn.exact="cn=Manager,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
by anonymous auth
by self write
by * none
access to *
by self write
by dn="cn=Replicator,dc=XXX,dc=com,c=us" write
by dn.exact="cn=Manager,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
by users read
by anonymous search
by * none
请注意,此设置还允许用户更改自己的密码,因此您现在可以在执行此操作时将绑定为用户。
我已经按照针对 OpenLDAP 提到的过程创建了密码策略 但是当我通过扩展操作更改用户密码时,我没有观察到它的效果。我得到了响应控件,但它只有警告而不是错误。
所以问题是我这边缺少什么? 如何强制执行密码策略以使用扩展操作来重置密码? 一旦我定义了密码策略,它是否适用于 OpenLDAP 服务器中的所有现有用户?还是只适用于新用户?
您自己不得将 ManagerDN 帐户用于任何事情。它绕过所有覆盖并让您无限访问 DIT,这是您不想要的。
您的应用程序应该 运行 作为在 DIT 中具有条目的用户,这些条目在配置中被赋予适当的权限。
我为此定义了 admin groups,所有应用程序和人工管理员都是其中的一部分,这使得配置更简单(adding/changing admins 或以后的应用程序 简单得多 )。我的是这样的,在 slapd.conf 语法中:将其转换为 slapd.d 在线语法留作 reader 的练习。请注意,您必须更改基本 DN 等以适合您自己的 DIT,也许还有组 类 和属性名称。
access to attrs=userPassword
by dn.exact="cn=Manager,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
by anonymous auth
by self write
by * none
access to *
by self write
by dn="cn=Replicator,dc=XXX,dc=com,c=us" write
by dn.exact="cn=Manager,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
by users read
by anonymous search
by * none
请注意,此设置还允许用户更改自己的密码,因此您现在可以在执行此操作时将绑定为用户。