web-dev-qa-db-ja.com

pwdReset = TRUEを使用したOpenLDAPパスワードの有効期限?

パスワードポリシーを有効にするために、OpenLDAPのppolicyオーバーレイを設定しました。これらのものは機能します:

  • 失敗した試行が多すぎるとパスワードがロックアウトされる
  • PwdReset = TRUEがユーザーエントリに追加されたら、パスワードの変更が必要です
  • パスワードの有効期限

侵入の試み(不正なパスワードが多すぎる)または時間(有効期限に達した)が原因でアカウントがロックアウトされている場合は、管理者がアカウントをリセットする必要があります。

ただし、管理者がプロファイルにpwdReset = TRUEを設定すると、これも有効期限ポリシーを上書きするようです。したがって、管理者が送信したパスワード(一時的なパスワードである必要があります)は、永続的に有効になります。

OpenLDAPに、パスワードを変更する必要があるが、有効期限が切れている必要がある方法はありますか?

authenticationldapopenldap
3
jsight

pwdMustChange=trueをポリシーに設定し、pwdReset=trueをユーザーに追加できます。

ユーザーは正常にバインドできますが、「パスワードを変更する必要があります」というプロンプトが表示されます。

1
user221634

この投稿はかなり古いと思いますが、まだ回答されていません。私はOpenLDAPの経験はありませんが、OpenDJにはds-cfg-max-password-reset-ageプロパティがあり、ユーザーがパスワードを変更するために与えられる最大時間を設定します。リセットされました。

お役に立てれば。

1
Hoon

一時パスワードの有効期限が切れる理由がわかりませんか?ユーザーがログインしない場合は、ユーザーが新しいものを選択してそれを認識できるようにする必要があるため、有効期限が切れないようにする必要があります。

これによると、ユーザーによるレコードへの最初のアクセスでは、ユーザーは最初の認証時にレコードを変更する必要があります http://linux.die.net/man/5/slapo-ppolicy

ユーザーが最初に再度ログインしたときに変更を無視できると言っていますか?

1
PHGamer

次回のログイン時に強制的に変更するには、pwdMustChange:TRUEを追加する必要があるようです。パスワードの有効期限が切れていること、および猶予ログインを無効にすることも必要になる場合があります。

猶予ログインを無効にすると、パスワードの有効期限が切れたユーザーに問題が発生するため、パスワードの有効期限の警告時間を長くすることをお勧めします。

0
BillThor