【指导】配置 OpenLDAP Pasword policy (ppolicy)

1，加载 ppolicy schema

$ sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ppolicy.ldif

加完了再查看下 schema 列表，已经加上了：

$ sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=config dn

如下是加前后的对比图：

2，加载 ppolicy module

$ vi ppolicy_module.ldif

    dn:cn=module{0},cn=config
    changetype: modify
    add: olcModuleLoad
    olcModuleLoad: ppolicy

$ sudo ldapadd -Y EXTERNAL -H ldapi:/// -f ppolicy_module.ldif

查看 module 是否加载好了：

$ sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=module{0},cn=config

3，加载 ppolicy overlay

$ vi ppolicy_overlay.ldif

    dn: olcOverlay=ppolicy,olcDatabase={1}hdb,cn=config
    changetype: add
    objectClass: olcOverlayConfig
    objectClass: olcPPolicyConfig
    olcOverlay: ppolicy
    olcPPolicyDefault: cn=ppolicy,ou=policies,dc=xxx,dc=com
    olcPPolicyHashCleartext: TRUE
    olcPPolicyUseLockout: TRUE

部分配置说明：

UseLockout：超过最多失败次数后，锁定账号时的提示

HashCleartest：密码明文在保存的数据库中必须进行hash加密

$ sudo ldapadd -YEXTERNAL -H ldapi:/// -f ./ppolicy_overlay.ldif

4，配置 default PPolicy 和规则

这个就可以在 phpldapadmin 等 UI 上增删改了，命令行方式修改如下：

逻辑：密码三个月到期，过期后再使用五次后将自动锁定，必须找管理员解锁；不能修改最近5次使用过的密码；连续5次输入错误密码，自动锁定账号5分钟

$ vi default_ppolicy.ldif

    dn: ou=policies,dc=xxx,dc=com
    objectClass: organizationalUnit
    objectClass: top
    ou: policies

    dn: cn=default,ou=policies,dc=xxx,dc=com
    cn: default
    objectClass: pwdPolicy
    objectClass: person
    objectClass: top
    pwdAttribute: userPassword
    pwdMinAge: 0
    pwdMaxAge: 7776000
    pwdInHistory: 5
    pwdCheckQuality: 0
    pwdMinLength: 5
    pwdExpireWarning: 6480000
    pwdGraceAuthNLimit: 5
    pwdLockout: TRUE
    pwdLockoutDuration: 300
    pwdMaxFailure: 5
    pwdFailureCountInterval: 30
    pwdMustChange: FALSE
    pwdAllowUserChange: TRUE
    pwdSafeModify: FALSE
    sn: dummy value

$ sudo ldapadd -x -D'cn=admin,dc=uhome-app,dc=haier' -W -H ldapi:/// -f default_ppolicy.ldif

附：密码检查脚本： 点击打开链接