OpenLDAP 密码策略(转载)

Posted 2023-05-07

参考技术A OpenLDAP默认是没有密码检查策略的，123456这也得密码也能接受，这显然是管理员不希望看到的。

参考地址：https://www.yaoge123.com/blog/archives/1276

导入密码策略schema

假如没有cn=module0的话，参考地址：https://www.cnblogs.com/Kevin-1967/p/8931304.html，需要添加：因为需要在OpenLdap中添加组的功能，所以需要添加memberOf功能，步骤如下

在/etc/openldap目录下新建文件memberof_load_configure.ldif。授权：chown -R ldap:ldap memberof_load_configure.ldif

内容如下：

dn: cn=module0,cn=config
objectClass: olcModuleList
cn: module0
olcModulepath: /usr/lib64/openldap
olcModuleload: 0memberof.la

dn: olcOverlay=0memberof,olcDatabase=2hdb,cn=config
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: olcConfig
objectClass: top
olcOverlay: 0memberof

说明：上面的参数请根据实际情况修改（比如32的系统的话olcModulepath为/usr/lib/openldap）
dn: cn=module0,cn=config 如果/etc/openldap/slapd.d/cn=config目录下已经存在cn=module0.ldif 文件的话，你就需要修改 module后面的数字了
dn: olcOverlay=0memberof,olcDatabase=2bdb,cn=config 这行中 如果上述目录中没有olcDatabase=2bdb.ldif文件就把 olcDatabase=2bdb改成olcDatabase=2hdb
之后执行命令ldapadd -Q -Y EXTERNAL -H ldapi:/// -f memberof_load_configure.ldif。

注：配置双主的则两台都要加载mod_ppolicy.ldif这个以后在执行后面的命令

加载模块，因为已经添加过syncprov模块了，所以只要追加ppolicy模块就可以了

指定默认策略dn名

参考地址：https://blog.csdn.net/u011607971/article/details/86378361

创建组：cat

OpenLdap介绍

1.openldap介绍

OpenLDAP是轻型目录访问协议（Lightweight Directory Access Protocol，LDAP）的自由和开源的实现，在其OpenLDAP许可证下发行，并已经被包含在众多流行的Linux发行版中。

2.openldap功能

##1.实现账号统一集中管理
##2.权限控制管理
##3.密码控制策略管理
##4.密码审计管理
##5.密码控制策略
##6.主机控制管理
##7.同步机制管理
##8.tls/sasl加密传输
##9.高可用负载均衡架构
##10.自定义schema
##11.各种应用平台集成账号管理

3.目录架构介绍

1.互联网命名组织架构

树根定义国家或者域名（dc）,其次往往定义一个或者多个组织或组织单元（ou）

2.企业命名组织架构

3.CS架构，有服务端及客户端

5.工作模型

1. 客户端向openldap服务器发起验证请求
2. 服务器接受用户请求后，并通过slapd进程向后端数据库进行查询
3. slapd将查询的结构返回给客户端即可。如果有缓存机制，服务器段会先将查询的条目进行缓存。然后再发给客户端