Bug 7163 - slapo-ppolicy für Einhaltung von Passwort-Richtlinien bei ldappasswd
slapo-ppolicy für Einhaltung von Passwort-Richtlinien bei ldappasswd
Status: NEW
Product: UCS
Classification: Unclassified
Component: LDAP
UCS 4.2
Other Linux
: P5 enhancement (vote)
: ---
Assigned To: UCS maintainers
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2006-11-27 13:57 CET by Ingo Steuwer
Modified: 2018-04-14 13:43 CEST (History)
3 users (show)

See Also:
What kind of report is it?: Development Internal
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Ingo Steuwer univentionstaff 2006-11-27 13:57:47 CET
Um beim Ändern von Passwörtern durch ldappasswd auch Passwortrichtlinien zu 
berücksichtigen, kann das Overlay-Modul slapo-ppolicy verwendet werden. Zu 
prüfen ist, ob das Auslesen unserer Richtlinien möglich ist.
Comment 1 Arvid Requate univentionstaff 2010-02-02 13:45:29 CET
Es gibt dazu wohl einen neueren Draft,
http://tools.ietf.org/html/draft-zeilenga-ldap-passwords-00

über dessen Annahme als Erweiteiterung zu ISO/IEC 9594-All am 29.12.2009 abgestimmt wurde (Ergebnis bisher unbekannt):
http://www.x500standard.com/uploads/extensions/PWP-PDAM-6N14092.pdf

Auf der Samba Liste wies Simo Sorce darauf hin, dass man diese Entwicklung im Hinterkopf behalten sollte, wenn man Samba so patchen will, dass es die ppolicy Ergebnisse in einer aussagekräftigeren Weise an den Anwender durchreicht:
http://lists.samba.org/archive/samba/2008-April/139793.html
Comment 2 Arvid Requate univentionstaff 2010-02-03 14:16:44 CET
> über dessen Annahme als Erweiteiterung zu ISO/IEC 9594-All am 29.12.2009
> abgestimmt wurde (Ergebnis bisher unbekannt):
> http://www.x500standard.com/uploads/extensions/PWP-PDAM-6N14092.pdf

Nicht ganz korrekt, es handelt sich dabei um eine Initiative für X.500, die aber wieder von IETF aufgenommen wurde:
http://www.ietf.org/mail-archive/web/ldapext/current/msg01800.html

Der draft-zeilenga-ldap-passwords-00 ist inzwischen expired:
http://www.ietf.org/mail-archive/web/ldapext/current/msg01798.html
"And another year goes by... I have to agree. Whatever problems exist with the Behera draft should be fixed, rather than launching another completely different proposal. "

Howard Chu hat sich der Sache angenommen und August 2009 ein Update submitted:
http://tools.ietf.org/html/draft-behera-ldap-password-policy-10
https://datatracker.ietf.org/idst/status.cgi?passed_filename=draft-behera-ldap-password-policy

Ganz nett in beiden ist u.a. der Password Guessing Delay (pwdMinDelay) als Alternative zum Lockout. Leider ist kein API zur Komplexitätskontrolle spezifiziert:

   o  There are no specific definitions of what 'quality checking'
      means.  This can lead to unexpected behavior in a heterogeneous
      environment.
Comment 3 Nico Gulden univentionstaff 2013-07-05 15:12:31 CEST
Gibt es hier eine Relation zu Bug #31907 "Prevent user login via LDAP after defined number of failed logins"? Da geht es auch um ein Passwort Policy overlay.
Comment 4 Arvid Requate univentionstaff 2013-07-08 11:00:02 CEST
Ja, das overlay bietet prinzipiell das für Bug 31907 notwendige Feature. Im Vergleich zu den UDM-Policies (und GPOs) fehlt ihm aber die Möglichkeit der Vererbung entlang der Hierarchie der LDAP Struktur, das ist daran nicht ganz optimal. Laut Doku gibt es da aktuell nur a) eine default Policy und b) per-user policy-Links.
Comment 5 Stefan Gohmann univentionstaff 2014-02-18 21:28:58 CET
This issue has been filed against the UCS version "unstable" which does not really exist. Please change the version value.
Comment 6 Ingo Steuwer univentionstaff 2014-02-19 08:36:31 CET
It think we implemented a way to run ldapauth against kerberos in slapd, but it is not the default.
Comment 7 Arvid Requate univentionstaff 2014-11-20 17:44:33 CET
> It think we implemented a way to run ldapauth against kerberos in slapd
> is not the default.

Yes, that's done in AD-Member mode by writing "{KINIT}" into the userPassword. As one might guess this simulates a kinit. But this bug originally is about password changes with ldappasswd.
Comment 8 Stefan Gohmann univentionstaff 2017-06-16 20:39:58 CEST
This issue has been filed against UCS 3. UCS 3 is out of the normal maintenance and many UCS components have vastly changed in UCS 4.

If this issue is still valid, please change the version to a newer UCS version otherwise this issue will be automatically closed in the next weeks.