Dev Faq
10
votes

OpenLDAP: Est-ce que cela est possible d'utiliser "userpassword" au lieu de "2.5.4.35" pour pwdattribute?

J'utilise OpenLDAP 2.4.11 dans Fedora Core 13.

J'essaie de créer une stratégie de mot de passe: xxx

si je spécifie pwdattriute sur "userpassword" , Je reçois une erreur xxx

à la place, je force à utiliser OID pour pwdattribute: xxx

est-ce possible à utiliser "userpassword" au lieu de "2.5.4.35" pour pwdattribute?

Je tente de configurer OpenLDap pour charger le module ppolicy.la dans cn = config, mais cela ne semble pas fonctionner trop après le redémarrage du service SLAPD pour Peu de fois: xxx

0 commentaires

4 Réponses :

5
votes

Au lieu de cela, je force à utiliser OID pour pwdattribute:

Vous pouvez spécifier un nom d'OID ou de l'attribut, à condition que le schéma correspondant et la superposition ppolicy sont chargés.

Pourquoi avez-vous eu ObjectClass = personne là-bas? Une stratégie de mot de passe n'est pas une personne. Il est habituel d'utiliser ObjectClass = périphérique comme classe structurelle pour les stratégies de mot de passe.

3 commentaires

Merci. Je ne suis pas au courant de ObjectClass = Device. Je mets simplement une classe structurelle pour cela.

J'ai peu d'ou. Chaque ou a peu de personnes. Puis-je attribuer une politique de mot de passe différente à OUD? Si oui, comment puis-je faire ça?

Non, vous devez la mettre par personne.

5
votes

La réponse de l'EJP est incorrecte, dans mon expérience.

J'ai reçu le même message d'erreur exécutant OpenLDAP 2.4.29. La superposition de stratégie de mot de passe permet d'utiliser pwdattribute: userpassword , mais uniquement si la superposition est activée. Sinon, la valeur sera rejetée avec le message ci-dessus ( pwdattribute: valeur # 0 invalide par syntaxe ).

Si votre installation OpenLDAP utilise des modules dynamiques, veillez à inclure xxx

dans votre slapd.conf fichier (ou l'équivalent approprié dans votre CN = config base de données). < P> Puis chargez la superposition de la base de données appropriée: xxx

avant de charger la superposition, je ne pouvais que fournir l'OID pour pwdattribute . Après la reconstruction avec - Activer-ppolicy et ajout de la saisie Entrée , j'ai pu utiliser ldapmodifier pour remplacer pwdattribute: 2.5.4.35 avec < Code> pwdattribute: userpassword .

J'ai dû rafraîchir la valeur de pwdattribute après chargement de la superposition.

5 commentaires

Vous avez raison sur le pwdattribute: userPassword. Je viens de l'essayer maintenant

Bien sûr, cela ne fonctionne que s'il est activé. Cela ne fait difficilement que ma réponse incorrecte.

La réponse originale a déclaré qu'il était nécessaire de donner l'OID, qui était incorrecte. Une modification a été effectuée quelques années plus tard pour que votre réponse affirme la même chose que j'avais déjà signalé, c'est que la superposition permet de spécifier ou que le nom de l'OID.

En d'autres termes, j'ai modifié ma réponse pour être correct et vous n'avez pas modifié le vôtre pour être correct.

L'horodatage et les histoires d'édition permettent de préciser suffisamment. Rien sur le mien n'est incorrect lorsque vous considérez le contexte; au pire, il est daté. Je ne maintient pas activement de vieilles réponses dans les chances hors probabilité que quelqu'un d'autre a corrigé leurs propres réponses erronées.

1
votes

J'ai converti ma 2,3 en 2.4 sur un nouveau serveur et je reçois la même erreur sur Red Hat 6.3. J'ai utilisé pwdattribute: 2.5.4.35 à la place et il a chargé W / O problème.

0 commentaires
2
votes

Je viens de courir dans ce numéro et je l'ai résolu différemment de ce qui précède. Je confectionne un nouveau LDAP sur Centos 6.4 (pour un déploiement éventuel sur RHEL 6.4) et il est par défaut du schéma de configuration "(CN = CONFIG)", de sorte que tous les instructions (sans aucun doute excellentes) ci-dessus pour modifier SLAPD.CONF Don 'T Appliquer.

dans la voie "(CN = config)" (également appelé "slapd.d" sur certains sites Web), il y a beaucoup d'étapes pour obtenir des superpositions à travailler. Les Centos 6.4 LDAP par défaut que je traitais avec inclus le schéma ppolicy, mais ce n'était pas activé. P>

Pour le faire, il y avait de nombreuses étapes: P>

Premier, la "ppolicy «Le module est dynamique, vous devez vous assurer qu'il est inclus dans la liste des modules d'exécution. L'installation de Centos par défaut n'en avait pas, alors j'ai d'abord dû allumer des modules, puis ajouter Ppolicy à la liste. Ce LDIF le fait: P> xxx pré>

Si vous souhaitez plus tard ajouter plus de modules, il suffit d'ajouter des entrées complémentaires OLCModuLoad à ce DN. P>

Deuxièmement, vous devez Allumez la superposition pour la ou les bases de données auquel vous le souhaitez. Créez un autre DN, donc: p> xxx pré>

Ces deux premières étapes sont effectuées dans le domaine "CN = config", c'est-à-dire à l'extérieur de la base de données, par l'utilisateur root de la machine. Les étapes suivantes sont dans la portée "DC = exemple, DC = COM", et peut donc être effectuée par la racineDN. P>

La troisième étape consiste à créer un conteneur pour vos stratégies de mot de passe. Cela pourrait être facultatif, je ne suis pas sûr - j'ai créé un DN comme: P> 

dn: ou=pwpolicies,dc=example,dc=com
objectClass: organizationalUnit
objectClass: top
ou: pwpolicies

1 commentaires

Merci, bonne réponse. J'ai aussi dû faire cela: ldapadd -qy externe -f /etc/ldap/schema/ppolicy.ldif pour charger le schéma.

Articles qui pourrait vous intéresser :

Querifier le filtrage personnalisé LDAP avec la dernière fois depuis 24 heures
Comportement inattendu à l'aide du serveur de répertoires "Server n'est pas opérationnel"
Pourquoi les utilisateurs ne sont plus membres du groupe Active Directory après quelques minutes?
Courir Apache DS intégré dans ma demande