OpenLDAP - 用于身份验证的 LDAP 正确程序是什么以及字段 shadowexpire 的用法
OpenLDAP - What is the LDAP proper procedures used for authentication and the usage of field shadowexpire
问题 1:
我正在尝试了解使用 OpenLDAP 进行用户身份验证的正确方法(例如,通过基于表单的身份验证)
初步了解。
1. 为 OpenLDAP
设置管理员用户
2. 在 OpenLDAP (LDIF)
上创建用户 ID ClientA/PWDA
3. 使用基于表单的身份验证 ClientA 使用该凭据登录
4. Web 组件将使用管理员用户登录 OpenLDAP 并验证 ClientA 凭据
以上表示ClientA 从未登录到OpenLDAP。 admin 用户登录,然后在 OpenLDAP 中验证 ClientA 凭证。
这似乎更符合逻辑。如果 ClientA 凭据通过实际登录到 OpenLDAP 进行身份验证,基本上这意味着 ClientA 自己被视为开发人员。当然可以通过 ACL 控制 ClientA 访问,但这不是重点。
那么这应该是在 OpenLDAP 上验证客户端的正确方法。
1.使用管理员用户登录OpenLDAP,然后验证ClientA凭证或
2.使用ClientA凭据测试凭据是否可以登录
如果答案是 2) 那么这就会引出问题 2。
问题 2:
- 使用管理员用户登录,ClientA
的属性 shadowexpire 设置为昨天 date/time
- 重新登录ClientA/PWDA
- ClientA 可以登录。
由于 shadowexpire 属性已将其设置为昨天的日期,因此不应不允许 ClientA 登录吗?
任何帮助都会很棒。
谢谢。
答案是(2),但shadowexpire只是一个对象属性。 OpenLDAP 本身并不关心您对它做了什么。如果您想要 OpenLDAP 强制执行的内容,请参阅 ppolicy 叠加层。
问题 1:
我正在尝试了解使用 OpenLDAP 进行用户身份验证的正确方法(例如,通过基于表单的身份验证)
初步了解。
1. 为 OpenLDAP
设置管理员用户
2. 在 OpenLDAP (LDIF)
上创建用户 ID ClientA/PWDA
3. 使用基于表单的身份验证 ClientA 使用该凭据登录
4. Web 组件将使用管理员用户登录 OpenLDAP 并验证 ClientA 凭据
以上表示ClientA 从未登录到OpenLDAP。 admin 用户登录,然后在 OpenLDAP 中验证 ClientA 凭证。
这似乎更符合逻辑。如果 ClientA 凭据通过实际登录到 OpenLDAP 进行身份验证,基本上这意味着 ClientA 自己被视为开发人员。当然可以通过 ACL 控制 ClientA 访问,但这不是重点。
那么这应该是在 OpenLDAP 上验证客户端的正确方法。
1.使用管理员用户登录OpenLDAP,然后验证ClientA凭证或
2.使用ClientA凭据测试凭据是否可以登录
如果答案是 2) 那么这就会引出问题 2。
问题 2:
- 使用管理员用户登录,ClientA 的属性 shadowexpire 设置为昨天 date/time
- 重新登录ClientA/PWDA
- ClientA 可以登录。
由于 shadowexpire 属性已将其设置为昨天的日期,因此不应不允许 ClientA 登录吗?
任何帮助都会很棒。
谢谢。
答案是(2),但shadowexpire只是一个对象属性。 OpenLDAP 本身并不关心您对它做了什么。如果您想要 OpenLDAP 强制执行的内容,请参阅 ppolicy 叠加层。