Module PPolicy

Il faut d'abord charger le module ppolicy :

• Créer le fichier /tmp/load-module.ldif :

  dn: cn=module{0},cn=config
  changetype: modify
  add: olcModuleLoad
  olcModuleLoad: ppolicy

• Jouer ce LDIF via ldapmodify :

  ldapmodify -x -D cn=admin,cn=config -W -f /tmp/load-module.ldif
  # Ou :
  ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/load-module.ldif

Il faut ensuite ajouter le schéma ppolicy :

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ppolicy.ldif

Il faut ensuite activer ce modules pour votre database :

• Créer le fichier /tmp/config-module.ldif :

  dn: olcOverlay={0}ppolicy,olcDatabase={1}hdb,cn=config
  objectclass: olcOverlayConfig
  objectclass: olcPPolicyConfig
  olcoverlay: {0}ppolicy
  olcppolicydefault: cn=default,ou=ppolicies,dc=example,dc=com
  olcppolicyforwardupdates: FALSE
  olcppolicyhashcleartext: TRUE
  olcppolicyuselockout: FALSE

• Jouer ce LDIF avec ldapadd :

  ldapadd -x -D cn=admin,cn=config -W -f /tmp/config-module.ldif
  # Ou :
  ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/config-module.ldif

Il faut ensuite ajouter l'objet LDAP dans votre base LDAP implémentant la politique par défaut des mots de passes :

• Créer le fichier /tmp/add-default-ppolicy.ldif :

  dn: ou=ppolicies,dc=example,dc=com
  objectclass: organizationalUnit
  ou: ppolicies
   
  dn: cn=default,ou=ppolicies,dc=example,dc=com
  cn: default
  objectclass: top
  objectclass: device
  objectclass: pwdPolicy
  objectclass: pwdPolicyChecker
  pwdAttribute: userPassword
  pwdMinAge: 0
  pwdMaxAge: 0
  pwdInHistory: 0
  pwdCheckQuality: 1
  pwdMinLength: 8
  pwdExpireWarning: 0
  pwdGraceAuthnLimit: 0
  pwdLockout: FALSE
  pwdLockoutDuration: 0
  pwdMaxFailure: 0
  pwdMaxRecordedFailure: 0
  pwdFailureCountInterval: 0
  pwdMustChange: FALSE
  pwdAllowUserChange: FALSE
  pwdSafeModify: FALSE

• Jouer ce LDIF avec ldapadd :

  ldapadd -x -D cn=admin,dc=example,dc=com -W -f /tmp/add-default-ppolicy.ldif