【指导】配置 OpenLDAP Pasword policy (ppolicy)

1，加载 ppolicy schema

$ sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ppolicy.ldif

加完了再查看下 schema 列表，已经加上了：

$ sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=config dn

如下是加前后的对比图：

2，加载 ppolicy module

$ vi ppolicy_module.ldif

    dn:cn=module{0},cn=config    changetype: modify    add: olcModuleLoad    olcModuleLoad: ppolicy

$ sudo ldapadd -Y EXTERNAL -H ldapi:/// -f ppolicy_module.ldif

查看 module 是否加载好了：

$ sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=module{0},cn=config

3，加载 ppolicy overlay

$ vi ppolicy_overlay.ldif

    dn: olcOverlay=ppolicy,olcDatabase={1}hdb,cn=config    changetype: add    objectClass: olcOverlayConfig    objectClass: olcPPolicyConfig    olcOverlay: ppolicy    olcPPolicyDefault: cn=ppolicy,ou=policies,dc=xxx,dc=com    olcPPolicyHashCleartext: TRUE    olcPPolicyUseLockout: TRUE

部分配置说明：

UseLockout：超过最多失败次数后，锁定账号时的提示

HashCleartest：密码明文在保存的数据库中必须进行hash加密

$ sudo ldapadd -YEXTERNAL -H ldapi:/// -f ./ppolicy_overlay.ldif

4，配置 default PPolicy 和规则

这个就可以在 phpldapadmin 等 UI 上增删改了，命令行方式修改如下：

逻辑：密码三个月到期，过期后再使用五次后将自动锁定，必须找管理员解锁；不能修改最近5次使用过的密码；连续5次输入错误密码，自动锁定账号5分钟

$ vi default_ppolicy.ldif

    dn: ou=policies,dc=xxx,dc=com    objectClass: organizationalUnit    objectClass: top    ou: policies    dn: cn=default,ou=policies,dc=xxx,dc=com    cn: default    objectClass: pwdPolicy    objectClass: person    objectClass: top    pwdAttribute: userPassword    pwdMinAge: 0    pwdMaxAge: 7776000    pwdInHistory: 5    pwdCheckQuality: 0    pwdMinLength: 5    pwdExpireWarning: 6480000    pwdGraceAuthNLimit: 5    pwdLockout: TRUE    pwdLockoutDuration: 300    pwdMaxFailure: 5    pwdFailureCountInterval: 30    pwdMustChange: FALSE    pwdAllowUserChange: TRUE    pwdSafeModify: FALSE    sn: dummy value

$ sudo ldapadd -x -D'cn=admin,dc=uhome-app,dc=haier' -W -H ldapi:/// -f default_ppolicy.ldif

附：密码检查脚本：点击打开链接