Ceci est une ancienne révision du document !
Module PPolicy
Installation
Il faut d'abord charger le module ppolicy :
- Créer le fichier /tmp/load-module.ldif :
dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: ppolicy
- Jouer ce LDIF via ldapmodify :
ldapmodify -x -D cn=admin,cn=config -W -f /tmp/load-module.ldif # Ou : ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/load-module.ldif
Il faut ensuite ajouter le schéma ppolicy :
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ppolicy.ldif
Il faut ensuite activer ce modules pour votre database :
- Créer le fichier /tmp/config-module.ldif :
dn: olcOverlay={0}ppolicy,olcDatabase={1}hdb,cn=config objectclass: olcOverlayConfig objectclass: olcPPolicyConfig olcoverlay: {0}ppolicy olcppolicydefault: cn=default,ou=ppolicies,dc=example,dc=com olcppolicyforwardupdates: FALSE olcppolicyhashcleartext: TRUE olcppolicyuselockout: FALSE
- Jouer ce LDIF avec ldapadd :
ldapadd -x -D cn=admin,cn=config -W -f /tmp/config-module.ldif # Ou : ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/config-module.ldif
Il faut ensuite ajouter l'objet LDAP dans votre base LDAP implémentant la politique par défaut des mots de passes :
- Créer le fichier /tmp/add-default-ppolicy.ldif :
dn: ou=ppolicies,dc=example,dc=com objectclass: organizationalUnit ou: ppolicies dn: cn=default,ou=ppolicies,dc=example,dc=com cn: default objectclass: top objectclass: device objectclass: pwdPolicy objectclass: pwdPolicyChecker pwdAttribute: userPassword pwdMinAge: 0 pwdMaxAge: 0 pwdInHistory: 0 pwdCheckQuality: 1 pwdMinLength: 8 pwdExpireWarning: 0 pwdGraceAuthnLimit: 0 pwdLockout: FALSE pwdLockoutDuration: 0 pwdMaxFailure: 0 pwdMaxRecordedFailure: 0 pwdFailureCountInterval: 0 pwdMustChange: FALSE pwdAllowUserChange: FALSE pwdSafeModify: FALSE
- Jouer ce LDIF avec ldapadd :
ldapadd -x -D cn=admin,dc=example,dc=com -W -f /tmp/add-default-ppolicy.ldif
La configuration de la politique par défaut proposé ci-dessus n'active pour ainsi dire aucune protections fournis par cette overlay. Il est conseillé de lire les différents paramètres de configuration de celle-ci dans le manuel (
man slapo-ppolicy
).