У меня есть действующая политика паролей на моем сервере OpenLDAP. Однако я просто попробовал протестировать pwdInHistory свойство, и, похоже, это не мешает мне использовать только что установленный предыдущий пароль.
Для справки, часть политики моего сервера OpenLDAP заключается в том, чтобы не разрешать установку паролей в открытом виде, поэтому все наши пароли устанавливаются с использованием SSHA из slappasswd.
Я установил pwdInHistory до 3, относительно короткое число для тестирования в первую очередь. Я привязываюсь только как пользователь, обновляющий свой пароль, а не как корневой DN LDAP. У кого-нибудь есть идеи, почему это не работает так, как я настроил политику паролей?
Чтобы pwdInHistory работал нормально, вы должны указать пароль в простой текст не в зашифрованном формате. Вы можете сделать это с помощью ldappasswd или любым другим способом (например, через LDIF). Причина в том, что оверлей ppolicy просто не может знать, какой пароль вы использовали (SSHA необратимо). Предоставление пароля в виде обычного текста через сеанс TLS / SSL безопасно и не является проблемой безопасности. Но вы должны активировать его зашифрованное хранилище (установите для olcPPolicyHashCleartext значение TRUE)
ppolicy для оверлея требуется ldappasswd (расширенная операция изменения пароля LDAPv3 (RFC 3062)).
Чтобы запустить элементы управления ppolicy выполняется, изменение пароля должно быть выполнено с ldappasswd.
Другие команды изменения пароля работают, пока вы проверяете, был ли изменен пароль, но не подлежат ppolicy постановления.