OpenLDAP的密码策略实现

最新推荐文章于 2025-06-23 15:55:55 发布
原创 最新推荐文章于 2025-06-23 15:55:55 发布 · 2.1w 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#OpenLDAP #密码策略 #安全

本文介绍了OpenLDAP的密码策略实现,包括密码生命周期、历史、强度检查、账号锁定等,并展示了具体的配置示例。默认策略文件`ppolicy.ldif`包含如密码最短长度、历史限制、过期警告等内容。实施策略需在`slapd.conf`中加载模块并设置访问控制。测试代码演示了如何修改密码,如果新密码在历史中会引发错误。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

OpenLDAP的密码控制策略很强大,可以控制:

  1. 密码的生命周期(最大和最小值);
  2. 保存密码历史,避免在一段时间内重用相同的密码;
  3. 密码强度,新密码可以根据各种特性进行检查;
  4. 密码连续认证失败的最大次数;
  5. 自动账号锁定;
  6. 支持自动或管理员解锁账号;
  7. 优雅(Grace)绑定(允许密码失效后登录的次数);
  8. 密码策略可以在任意DIT范围定义,可以是用户、组或任意组合。

具体ppolicy的规格细节参考:http://www.zytrax.com/books/ldap/ch6/ppolicy.html

下面是本项目配置的默认策略:

# Default Policies
dn: cn=default,ou=policies,dc=xxxx,dc=cn
cn: default
objectClass: top
objectClass: device
objectClass: pwdPolicy
objectClass: pwdPolicyChecker
pwdAllowUserChange: TRUE
pwdAttribute: userPassword

#通过pwdCheckModule检查密码质量, 0为不控制,由SSO的认证模块自己控制
pwdCheckQuality: 0

#密码失效提前7天警告
pwdExpireWarning: 604800

#密码失败次数复位时间,1天

最低0.47元/天 解锁文章

200万优质内容无限畅学
OpenLDAP 密码策略
完颜振江
01-29 2678
OpenLDAP默认是没有密码检查策略的,123456这也得密码也能接受,这显然是管理员不希望看到的。 参考地址: https://www.yaoge123.com/blog/archives/1276 导入密码策略schema ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/ppolicy.ldif 假如没有cn=module{0}的话,参考地址: https://www.cnblogs.com/
openldap指定用户加密方式_openldap集中账户管理
weixin_39957068的博客
12-22 1030
简介最近梳理了下自己的自动化运维体系,发现目前运维管理中的各子系统都是独立运行。在管理过程中在各子系统中需要创建不同的账号,给管理及其他使用人员带来了极大的不便,需要记录各种登录密码。因此在消化总结其他人的知识图谱后,可以使用ldap来打通各子系统的账户体系,如zabbix、jenkins、jumpserver等。基本概念1.条目条目entry 就是目录管理的对象,他是ldap中最基本的颗粒,就像...
LDAP密码策略配置
热门推荐
老实人的博客
01-12 1万+
LDAP 开启密码策略管理 部署过程 导入基础 objectClass # 加载ppolicy配置 ldapadd -Y EXTERNAL -H ldapi:/// -f new_ppolicy.ldif new_ppolicy.ldif内容如下: dn: cn=ppolicy,cn=schema,cn=config objectClass: olcSchemaConfig cn: ppol...
openldap-2.4.44 设置密码复杂度策略+密码过期策略
最新发布
完颜振江
06-23 772
【代码】openldap-2.4.44 设置密码复杂度策略+密码过期策略
ldap 通过命令对密码策略进行控制(Ldap PasswordPolicyRequestControl)
焱宣的博客
03-26 1224
(3) 在编程时需要设置PasswordPolicyRequestControl 精细控制,这样在设置口令时若违反密码策略,程序可以自动抛出异常,并在上下文中返回应答控制,通过解析应答控制可以得知违反了哪条规则。密码策略控制用于规范密码的设置和使用,包括密码强度、定时修改的时限、允许重试的次数、违反规则账户会被锁住等等,密码策略通常在用户设置时起作用,违反策略的操作会被系统阻止;
check-password:用于密码强度检查的 OpenLDAP ppolicy 模块
06-09
检查密码 check-password 是一个示例 ppolicy 模块,用于在 OpenLDAP 中强制执行强度密码检查 编译 从 OpenLDAP 网站为您的系统下载正确的源代码包。 在目标机器中提取它并使用 OpenLDAP 的 Makefile 生成一些必需的标头: $ tar xf openldap- .tar.gz $ cd opendalp $ ./configure --enable-bdb=no --enable-hdb=no $ make Depend 我们只是禁用 BDB/HDB 依赖,让事情变得更简单。 它不会影响您真正的 OpenLDAP 安装。 现在进入 check-password 模块目录并调用 make,通过 LDAP_SRC 变量传递 OpenLDAP 源代码路径。 例如: $ LDAP_SRC=/home/myuser/openldap-2.
linux-openldap管理linux用户组密码策略
08-13
本教程将深入探讨如何利用OpenLDAP来管理Linux用户和组,以及实施密码策略。 首先,我们需要理解OpenLDAP的基础概念。OpenLDAP是一个开源实现的LDAP协议服务器,它提供了一个中央存储库,用于存储网络中的用户账户...
06-OpenLDAP密码策略
weixin_33758863的博客
06-09 2319
阅读视图 openldap密码策略 OpenLDAP服务端定制密码策略 客户端策划策略实例 定义用户第一次登录就修改密码 问题排查手册 重点推荐官方文档 备注:本文依然承接系列文。 1. openldap密码策略 OpenLDAP密码策略包括以下几个方面 密码的生命周期 保存密码历史,避免在一段时间内重用相同的密码 密码强度,新密码可以根据各种特性进行检查。 密码连续认证失败的最大次数。...
基于Python和多种语言集成的员工自助修改OpenLDAP密码设计源码
10-04
通过网页界面,员工可以随时随地对自己的OpenLDAP密码进行修改,确保了密码安全的同时也提高了工作效率。命令行工具的引入,让系统管理员能够更加方便地进行日常维护和系统操作。 在技术实现上,项目的设计需要考虑...
openldap-2.5.4
07-05
OpenLDAP是开源的轻量级目录访问协议(Lightweight Directory Access Protocol)实现,它提供了一个灵活、可扩展的目录服务,用于存储和管理各种类型的数据,如用户账号、组织结构、网络设备信息等。OpenLDAP-2.5.4...
php ldap crypt,让 LDAP 使用 MD5 加密的密码小结
weixin_36337389的博客
04-03 386
OpenLDAP 支持 CRYPT, MD5, SSHA 和 SHA 四种加密算法保存密码,默认使用 SSHA。OpenLDAP 中的 MD5 不是一般的 MD5 算法,不能用普通的 MD5 函数来生成,好像经过 Base64 转换之类的,没有深究,不是很清楚,有谁知道的希望分享一下。=========================================================...
搭建openldap环境,配置密码策略(转载)
完颜振江
01-10 2423
CentOS Linux release 7.8.2003 (Core) openldap-clients-2.4.44-21.e17_6.x86_64 openldap-servers-2.4.44-21.e17_6.x86_64 openldap-2.4.44-21.e17_6.x86_64 一、环境准备 关闭 selinux firewalld setenforce 0 systemctl stop firewalld.service systemctl disable firewalld.serv
openldap密码策略,定期短信及邮件提醒用户修改密码(ldap自身密码策略无法使用前提下的妥协)
q328730422的博客
11-14 2529
鉴于互联网公司越来越多的需求,各种自建以及第三方服务不断的被加入到公司的系统里。同时互联网公司的人员更替也是流水一般时刻不停,这时候对于员工的账户管理也就变成了一个非常有挑战的任务。这时候开源的账户统一管理产品就必须被用起来了。Openldap作为开源目录服务,也是大家首选的产品。优点很多,开源(免费用),用户量大(遇坑可以找出坑方法),功能强大,众多第三方的软件都加入了对openladp的支持。...
php ldap crypt,使用python在Windows上创建兼容的ldap密码(md5crypt)
weixin_39690105的博客
04-03 175
你知道如何在Windows上通过python创建一个兼容ldap的密码(首选md5crypt)我曾经在Linux上写过这样的东西但是在Windows上没有crypt模块char_set = string.ascii_uppercase + string.digitssalt = ''.join(random.sample(char_set,8))salt = '$1$' + salt + '$'p...
CentOS搭建Open服务(集成openldap认证)
完颜振江
02-08 1447
1、安装openvpn 和easy-rsa(该包用来制作ca证书) (1)安装epel 仓库源 wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm rpm -Uvh epel-release-6-8.noarch.rpm (2)安装openvpn yum install openvpn (3)在github 上,下载最新的easy-rsa https://github.com/OpenVP
openLDAP自定义密码验证
u013484030的博客
03-18 1155
之前对接一个客户,他们直接传入明文去LDAP进行验证,但是我们写进LDAP的密码是MD5加密的,这时候就需要LDAP对明文密码进行加密然后验证了。然后在openLDAP服务下的slapd.conf配置文件,加入password-hash {CRYPT}MD5配置项,然后重启openLDAP服务,这时候LDAP服务就自动对传过来的明文进行加密验证了。这时候与我们LDAP服务存的密码就不一样了,我们需要在存密码的时候进行相关转换,就可以了:注意,此处的Pwd参数是已经MD5加密之后的字符串。
OpenLDAP常见运维管理操作
Begoniaish的博客
01-14 2454
(4)测试服务端认证是否成功 ldapwhoami -x -D cn=admin,dc=ldap,dc=test,dc=com -W 在输入密码后显示dn:cn=admin,dc=ldap,dc=test,dc=com,则表示成功 ldapwhoami –x 输出anonymous,则表示成功。ldapsearch -x -LLL -D cn=readonly,dc=ldap,dc=test,dc=com -w 密码 -b dc=ldap,dc=test,dc=com。
openldap加入复杂密码策略
完颜振江
01-10 992
1、需要添加的默认的策略 #cat default_ppolicy.ldif dn: cn=default,ou=People,dc=taeteadata,dc=com cn: default objectClass: top objectClass: device objectClass: pwdPolicy pwdAttribute: 2.5.4.35 pwdInHistory: 8 pwdMinLength: 8 pwdMaxFailure: 5 pwdFailureCountInterval: 18
openldap服务器密码修改,搭建openldap环境,配置密码策略
weixin_39939661的博客
08-04 1104
CentOS Linux release 7.8.2003 (Core)openldap-clients-2.4.44-21.e17_6.x86_64openldap-servers-2.4.44-21.e17_6.x86_64openldap-2.4.44-21.e17_6.x86_64一、环境准备关闭 selinux firewalldsetenforce 0systemctl stop fi...
OpenLDAP实战:实现账户集中管理
OpenLDAP 是一个开源的 LDAP 实现,用于构建分布式目录服务,它允许用户集中管理和存储账号信息,从而实现跨多个系统的统一认证。本文档基于作者参考网上资源和 IBM DeveloperWorks 文章完成的 OpenLDAP 账号集中...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值