如何获取密码策略 - freeradius - ldap
How to fetch password policy - freeradius - ldap
需求是求用户密码过期时间。
现在在 ldap 中,您可以通过密码策略强制过期。
密码策略属性 pwdMaxAge 指定密码在更改密码后多少秒过期。
当您输入 change/create 用户密码时,操作属性 pwdChangedTime 会添加时间戳。
可悲的是,ldap 没有为过期时间添加任何操作属性,这是我们需要计算的东西,通过执行 pwdChangedTime + pwdMaxAge < current_time
在您的 mods-enabled/ldap 文件中,您可以获取 pwdChangedTime 属性。凉爽的!但是我如何获取 pwdMaxAge 属性。该文件只有用户、组、配置文件、客户端的结构,但没有密码策略的结构。 raddb mods-available details here.
(我可以通过编写 code/script 来使用 cli 获取这些属性然后进行操作,以编程方式执行此操作,但是是否可以通过配置执行此操作?因为,如果你看一下,这过期时间与用户属性有关,应该有一种方法可以 return 它以及我们 return)
的最小用户数据,如名称和组织
谢谢!
用户条目中没有这样的操作属性pwdMaxAge。
如果客户端使用适当的请求控件发送绑定请求,则服务器在响应控件中 return 会在检查密码期间发出密码过期警告(请参阅 draft-behera-ldap-password-policy, section 6.1 and 6.2)。
这意味着 LDAP 客户端(在您的情况下是 FreeRADIUS)必须支持它。此外,所有中间组件(RADIUS 服务器、Wifi 接入点等)都必须妥善处理响应和 return 一些有用的信息,向上传递给用户。在实践中,这并没有真正起作用。
因此我建议通过电子邮件发送密码过期警告。那里有现成的脚本,例如 checkLdapPwdExpiration.sh provided by LDAP Tool Box project.
需求是求用户密码过期时间。
现在在 ldap 中,您可以通过密码策略强制过期。
密码策略属性 pwdMaxAge 指定密码在更改密码后多少秒过期。
当您输入 change/create 用户密码时,操作属性 pwdChangedTime 会添加时间戳。
可悲的是,ldap 没有为过期时间添加任何操作属性,这是我们需要计算的东西,通过执行 pwdChangedTime + pwdMaxAge < current_time
在您的 mods-enabled/ldap 文件中,您可以获取 pwdChangedTime 属性。凉爽的!但是我如何获取 pwdMaxAge 属性。该文件只有用户、组、配置文件、客户端的结构,但没有密码策略的结构。 raddb mods-available details here.
(我可以通过编写 code/script 来使用 cli 获取这些属性然后进行操作,以编程方式执行此操作,但是是否可以通过配置执行此操作?因为,如果你看一下,这过期时间与用户属性有关,应该有一种方法可以 return 它以及我们 return)
的最小用户数据,如名称和组织谢谢!
用户条目中没有这样的操作属性pwdMaxAge。
如果客户端使用适当的请求控件发送绑定请求,则服务器在响应控件中 return 会在检查密码期间发出密码过期警告(请参阅 draft-behera-ldap-password-policy, section 6.1 and 6.2)。
这意味着 LDAP 客户端(在您的情况下是 FreeRADIUS)必须支持它。此外,所有中间组件(RADIUS 服务器、Wifi 接入点等)都必须妥善处理响应和 return 一些有用的信息,向上传递给用户。在实践中,这并没有真正起作用。
因此我建议通过电子邮件发送密码过期警告。那里有现成的脚本,例如 checkLdapPwdExpiration.sh provided by LDAP Tool Box project.