Univention Bugzilla – Bug 7163
slapo-ppolicy für Einhaltung von Passwort-Richtlinien bei ldappasswd
Last modified: 2020-07-03 20:53:54 CEST
Um beim Ändern von Passwörtern durch ldappasswd auch Passwortrichtlinien zu berücksichtigen, kann das Overlay-Modul slapo-ppolicy verwendet werden. Zu prüfen ist, ob das Auslesen unserer Richtlinien möglich ist.
Es gibt dazu wohl einen neueren Draft, http://tools.ietf.org/html/draft-zeilenga-ldap-passwords-00 über dessen Annahme als Erweiteiterung zu ISO/IEC 9594-All am 29.12.2009 abgestimmt wurde (Ergebnis bisher unbekannt): http://www.x500standard.com/uploads/extensions/PWP-PDAM-6N14092.pdf Auf der Samba Liste wies Simo Sorce darauf hin, dass man diese Entwicklung im Hinterkopf behalten sollte, wenn man Samba so patchen will, dass es die ppolicy Ergebnisse in einer aussagekräftigeren Weise an den Anwender durchreicht: http://lists.samba.org/archive/samba/2008-April/139793.html
> über dessen Annahme als Erweiteiterung zu ISO/IEC 9594-All am 29.12.2009 > abgestimmt wurde (Ergebnis bisher unbekannt): > http://www.x500standard.com/uploads/extensions/PWP-PDAM-6N14092.pdf Nicht ganz korrekt, es handelt sich dabei um eine Initiative für X.500, die aber wieder von IETF aufgenommen wurde: http://www.ietf.org/mail-archive/web/ldapext/current/msg01800.html Der draft-zeilenga-ldap-passwords-00 ist inzwischen expired: http://www.ietf.org/mail-archive/web/ldapext/current/msg01798.html "And another year goes by... I have to agree. Whatever problems exist with the Behera draft should be fixed, rather than launching another completely different proposal. " Howard Chu hat sich der Sache angenommen und August 2009 ein Update submitted: http://tools.ietf.org/html/draft-behera-ldap-password-policy-10 https://datatracker.ietf.org/idst/status.cgi?passed_filename=draft-behera-ldap-password-policy Ganz nett in beiden ist u.a. der Password Guessing Delay (pwdMinDelay) als Alternative zum Lockout. Leider ist kein API zur Komplexitätskontrolle spezifiziert: o There are no specific definitions of what 'quality checking' means. This can lead to unexpected behavior in a heterogeneous environment.
Gibt es hier eine Relation zu Bug #31907 "Prevent user login via LDAP after defined number of failed logins"? Da geht es auch um ein Passwort Policy overlay.
Ja, das overlay bietet prinzipiell das für Bug 31907 notwendige Feature. Im Vergleich zu den UDM-Policies (und GPOs) fehlt ihm aber die Möglichkeit der Vererbung entlang der Hierarchie der LDAP Struktur, das ist daran nicht ganz optimal. Laut Doku gibt es da aktuell nur a) eine default Policy und b) per-user policy-Links.
This issue has been filed against the UCS version "unstable" which does not really exist. Please change the version value.
It think we implemented a way to run ldapauth against kerberos in slapd, but it is not the default.
> It think we implemented a way to run ldapauth against kerberos in slapd > is not the default. Yes, that's done in AD-Member mode by writing "{KINIT}" into the userPassword. As one might guess this simulates a kinit. But this bug originally is about password changes with ldappasswd.
This issue has been filed against UCS 3. UCS 3 is out of the normal maintenance and many UCS components have vastly changed in UCS 4. If this issue is still valid, please change the version to a newer UCS version otherwise this issue will be automatically closed in the next weeks.
This issue has been filed against UCS 4.2. UCS 4.2 is out of maintenance and many UCS components have changed in later releases. Thus, this issue is now being closed. If this issue still occurs in newer UCS versions, please use "Clone this bug" or reopen it and update the UCS version. In this case please provide detailed information on how this issue is affecting you.