Les deux révisions précédentes Révision précédente | Prochaine révisionLes deux révisions suivantes |
informatique:reseau:ldap:ppolicy [2021/03/01 10:51] – [Installation] bn8 | informatique:reseau:ldap:ppolicy [2022/07/25 13:55] – bn8 |
---|
===== Installation ===== | ===== Installation ===== |
| |
Il faut d'abord charger le module //ppolicy// : | Il faut d'abord charger le module //ppolicy// : <code bash>ldapmodify -Y EXTERNAL -H ldapi:/// << EOF |
* Créer le fichier ///tmp/load-module.ldif// : <code bash>cat << EOF > /tmp/load-module.ldif | |
dn: cn=module{0},cn=config | dn: cn=module{0},cn=config |
changetype: modify | changetype: modify |
olcModuleLoad: ppolicy | olcModuleLoad: ppolicy |
EOF</code> | EOF</code> |
* Jouer ce LDIF via //ldapmodify// : <code bash>ldapmodify -x -D cn=admin,cn=config -W -f /tmp/load-module.ldif | |
# Ou : | |
ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/load-module.ldif</code> | |
| |
Il faut ensuite ajouter le schéma //ppolicy// : <code bash>ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ppolicy.ldif</code> | Il faut ensuite ajouter le schéma //ppolicy// : <code bash>ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ppolicy.ldif</code> |
| |
Il faut ensuite activer ce module pour votre //database// : | Il faut ensuite activer ce module pour votre //database// : <code bash>ldapadd -Y EXTERNAL -H ldapi:/// << EOF |
* Créer le fichier ///tmp/config-module.ldif// : <code bash>cat << EOF > /tmp/config-module.ldif | |
dn: olcOverlay={0}ppolicy,olcDatabase={1}mdb,cn=config | dn: olcOverlay={0}ppolicy,olcDatabase={1}mdb,cn=config |
objectclass: olcOverlayConfig | objectclass: olcOverlayConfig |
olcppolicyuselockout: FALSE | olcppolicyuselockout: FALSE |
EOF</code> | EOF</code> |
* Jouer ce LDIF avec //ldapadd// : <code bash>ldapadd -x -D cn=admin,cn=config -W -f /tmp/config-module.ldif | |
# Ou : | |
ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/config-module.ldif</code> | |
| |
**Paramètres de configuration au niveau de la database :** | **Paramètres de configuration au niveau de la database :** |
* **olcPPolicyForwardUpdates (serveur esclave uniquement) :** si ''TRUE'', les échecs de connexions sur le serveur seront transmis au serveur maître. **Note:** pour fonctionner, cette fonctionnalité nécessite que le paramètre ''olcUpdateRef'' et l'overlay [[chain]] soient configurés sur la database. | * **olcPPolicyForwardUpdates (serveur esclave uniquement) :** si ''TRUE'', les échecs de connexions sur le serveur seront transmis au serveur maître. **Note:** pour fonctionner, cette fonctionnalité nécessite que le paramètre ''olcUpdateRef'' et l'overlay [[chain]] soient configurés sur la database. |
| |
Il faut ensuite ajouter l'objet LDAP dans votre base LDAP implémentant la politique par défaut des mots de passes : | Il faut ensuite ajouter l'objet LDAP dans votre base LDAP implémentant la politique par défaut des mots de passes : <code bash>ldapadd -Y EXTERNAL -H ldapi:/// << EOF |
* Créer le fichier ///tmp/add-default-ppolicy.ldif// : <code bash>cat << EOF > /tmp/add-default-ppolicy.ldif | |
dn: ou=ppolicies,dc=example,dc=com | dn: ou=ppolicies,dc=example,dc=com |
objectclass: organizationalUnit | objectclass: organizationalUnit |
pwdSafeModify: FALSE | pwdSafeModify: FALSE |
EOF</code> | EOF</code> |
| |
* Jouer ce LDIF avec //ldapadd// : <code bash>ldapadd -x -D cn=admin,dc=example,dc=com -W -f /tmp/add-default-ppolicy.ldif | |
# Ou : | |
ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/add-default-ppolicy.ldif</code> | |
| |
<note important>La configuration de la politique par défaut proposée ci-dessus n'active pour ainsi dire aucune protection fourni par cette overlay. Il est conseillé d'ajuster les différents paramètres de la politique en fonction du besoin (voir ci-dessous).</note> | <note important>La configuration de la politique par défaut proposée ci-dessus n'active pour ainsi dire aucune protection fourni par cette overlay. Il est conseillé d'ajuster les différents paramètres de la politique en fonction du besoin (voir ci-dessous).</note> |