OpenLDAP -al szeretnék jelszó policy -t megvalósíteni.
Ez alapján jártam el: http://h10025.www1.hp.com/ewfrf/wc/document?cc=hu&lc=hu&dlc=hu&docname=…
A séma be van töltve és természetesen csináltam egy default policy -t, azonban nem látszik működni.
A slaptest -d 16383 ezt mondja sokmindenen kívül:
...
olcModulePath: /usr/lib/ldap
olcModuleLoad: {0}back_hdb
olcModuleLoad: {1}ppolicy.la
structuralObjectClass: olcModuleList
entryUUID: 71b311ec-c8a4-1033-8e1f-c52d1226f812
creatorsName: cn=admin,cn=config
createTimestamp: 20140904172709Z
entryCSN: 20140917095903.077261Z#000000#000#000000
modifiersName: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
modifyTimestamp: 20140917095903Z
"
541995af >>> dnPrettyNormal:
541995af <<< dnPrettyNormal: ,
541995af >>> dnPretty:
541995af <<< dnPretty:
541995af >>> dnNormalize:
541995af <<< dnNormalize:
541995af >>> dnPretty:
541995af <<< dnPretty:
541995af >>> dnNormalize:
541995af <<< dnNormalize:
541995af <= str2entry(cn=module{0}) -> 0x7f4ade9a0418
541995af => test_filter
541995af PRESENT
541995af => access_allowed: search access to "cn=module{0},cn=config" "objectClass" requested
541995af <= root access granted
541995af => access_allowed: search access granted by manage(=mwrscxd)
541995af <= test_filter 6
541995af loaded module back_hdb
541995af hdb_back_initialize: initialize HDB backend
541995af hdb_back_initialize: Berkeley DB 5.1.29: (October 25, 2011)
541995af module back_hdb: null module registered
541995af loaded module ppolicy.la
541995af module ppolicy.la: null module registered
541995af ldif_read_file: read entry file: "/etc/ldap/slapd.d/cn=config/cn=schema.ldif"
Ha megpróbálok jelszót váltani az sem sikerül. A pwdCheckQuality: 2 így azt gondolom, hogy ez a modul be sem töltődik, így ez érthető is.
Viszont ha nem töltődik be akkor vajon miért nem, hogy kellene betöltenem?
A teljes problematikára a megoldás pofon egyszerű:
A "null modul registred" a modul betöltését jelenti a "null" pedi azért mert egyelőre funkció nélkül van betöltve, hiszen a jelszó változásakor van szerepe.
A pploicy modul felel a jelszó lejártáért, megjegyzésért, de az erősségét nem tudja ellenőrizni.
A jelszó erősségét a check_password.so tudja ellenőrizni.
- 2289 megtekintés
Hozzászólások
Na valamit csúnyán elnézte, mivel ettől még működik (majdnem) a jelszó ellenőrzés. Ugyanis a hosszt ellenőrzi a ppolicy de azt nem, hogy adott komplexitásnak is megfeleljen.
Szóval a kérdés inkább az, hogy OpenLDAP -ban hogyan ellenőrizhetem a jelszó komplexitását?
----
올드보이
http://molnaristvan.eu/
- A hozzászóláshoz be kell jelentkezni
Van erre par kulso modul. Lasd pl. a forrasban levot (contrib/slapd-modules/check_password).
- A hozzászóláshoz be kell jelentkezni
A check_password.c nem openldap -os modul, viszont van vele néhány problémám:
Csak kis, nagy betű, szám és pont ( . ) meglétét követeli meg, ráadássul a BerklyDB -t is megpatcheli a modul, ezért egyelőre úgy tűnik kiesik a pixisből.
Jelenleg azt gondolom az overlay modullal kisérletezgetek ( man slapo-constraint ), ezzel egy regexpet lehetne illeszteni a userPassword mezőre (ez még hash -elés előtt történik meg) ha sikerülne egy megfelelő regexpet kreálni, ami a csupa kis/nagy betű szám jelszavakat nem engedi át már (majdnem) célhoz is értem.
----
올드보이
http://molnaristvan.eu/
- A hozzászóláshoz be kell jelentkezni