配置 OpenLDAP Pasword policy (ppolicy)

1，加载 ppolicy schema

$ sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif

加完了再查看下 schema 列表，已经加上了：

$ sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=config dn

4，配置 default PPolicy 和规则
这个就可以在 phpldapadmin 等 UI 上增删改了，命令行方式修改如下：

逻辑：密码三个月到期，过期后再使用五次后将自动锁定，必须找管理员解锁；不能修改最近5次使用过的密码；连续5次输入错误密码，自动锁定账号5分钟

$ vi default_ppolicy.ldif
    dn: ou=policies,dc=xxx,dc=com
    objectClass: organizationalUnit
    objectClass: top
    ou: policies
 
    dn: cn=default,ou=policies,dc=xxx,dc=com
    cn: default
    objectClass: pwdPolicy
    objectClass: person
    objectClass: top
    pwdAttribute: userPassword
    pwdMinAge: 0
    pwdMaxAge: 7776000
    pwdInHistory: 5
    pwdCheckQuality: 0
    pwdMinLength: 5
    pwdExpireWarning: 6480000
    pwdGraceAuthNLimit: 5
    pwdLockout: TRUE
    pwdLockoutDuration: 300
    pwdMaxFailure: 5
    pwdFailureCountInterval: 30
    pwdMustChange: FALSE
    pwdAllowUserChange: TRUE
    pwdSafeModify: FALSE
    sn: dummy value
$ sudo ldapadd -x -D'cn=admin,dc=uhome-app,dc=haier' -W -H ldapi:/// -f default_ppolicy.ldif

附：密码检查脚本：点击打开链接
 

文章来源: blog.csdn.net，作者：隔壁老瓦，版权归原作者所有，如需转载，请联系作者。

原文链接：blog.csdn.net/wxb880114/article/details/101450663