Я реализовал наложение политики паролей в OpenLDAP 2.4.23. Я также использую check_password.so для passwordCheckModule. Он отлично работает для одного пользователя, но дело в том, что cn=admin,dc=example,dc=com может изменить пароль любого пользователя без проверки check_password.so. Админ может установить любой пароль.
Любой орган имеет какое-либо представление об этом, тогда поделитесь .. Это будет очень признательно.
Это сделано специально и не может быть изменено.
Цитирование slapo-ppolicy(5):
Note that some of the policies do not take effect when the operation is
performed with the rootdn identity; all the operations, when performed
with any other identity, may be subjected to constraints, like access
control.
СвенВ прав в своем ответе, но это еще не все.
Модули, которые выполняют любую проверку или манипулирование паролями при изменении пароля, обычно могут работать только при использовании изменения пароля EXOP. Когда выполняется изменение пароля EXOP (расширенная операция), открытый пароль передается OpenLDAP, и OpenLDAP отвечает за его хеширование / шифрование и сохранение этого зашифрованного значения. Таким образом, OpenLDAP знает пароль на самом деле.
Теперь, когда администратор идет и меняет пароль, он не использует пароль для изменения EXOP, скорее всего, он устанавливает зашифрованное значение напрямую. Таким образом, OpenLDAP никогда не знает, что такое незашифрованный пароль, и поэтому не может выполнять какие-либо проверки.