Мне трудно заставить работать модуль OpenLDAP PPolicy (ОС: CentOS 7, OpenLDAP: 2.4.44).
Я настроил схему, загрузил модуль, создал наложение и политику по умолчанию. Мне не нужна политика паролей как таковая, я просто хочу временно заблокировать учетные записи.
В конфигурации, показанной ниже, записи «pwdFailureTime» добавляются при сбоях входа в систему, но учетные записи никогда не блокируются.
Кажется, что моя политика «passwordDefault» не применяется. Что я делаю не так?
Схема:
$ ldapadd -x -D "cn=config" -W -f /etc/openldap/schema/ppolicy.ldif
Модуль:
$ vi ppolicymodule.ldif
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: ppolicy.la
$ ldapadd -x -D "cn=config" -W -f ppolicymodule.ldif
Оверлей:
$ vi ppolicyoverlay.ldif
dn: olcOverlay=ppolicy,olcDatabase={2}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=passwordDefault,ou=Policies,ou=SomeOU,dc=subdomain,dc=domain,dc=tld
olcPPolicyHashCleartext: FALSE
olcPPolicyUseLockout: FALSE
olcPPolicyForwardUpdates: FALSE
$ ldapadd -x -D "cn=config" -W -f ppolicyoverlay.ldif
По умолчанию:
$ vi ppolicydefault.ldif
dn: ou=Policies,ou=SomeOU,dc=subdomain,dc=domain,dc=tld
ou: Policies
objectClass: organizationalUnit
dn: cn=passwordDefault,ou=Policies,ou=SomeOU,dc=subdomain,dc=domain,dc=tld
objectClass: pwdPolicy
objectClass: person
objectClass: top
cn: passwordDefault
sn: passwordDefault
pwdAttribute: userPassword
pwdLockout: TRUE
pwdLockoutDuration: 1800
pwdMaxFailure: 5
pwdFailureCountInterval: 600
$ ldapadd -x -D "cn=config" -W -f ppolicydefault.ldif