PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Benutzer in LDAP mit Passworthistorie



hopfe
17.01.2006, 15:50
Hallo zusammen bin mir zwar nicht ganz sicher ob das Thema hier hin paßt aber ok.

Ich möchte Benutzer (nicht SAMBA) in einen LDAP Verzeichniss (OpenLDAP) verwalten, um die Policies zu erfüllen muß die Benutzerverwaltung aber folgendes können.

- Komplexität des Passworts

Groß- Kleinschreibung
min n Zeichen lang
Zahlen und Sonderzeichen

gut bis hier her ist das ja noch fast standard. zusätzlich benötige ich aber noch

Passworthistorie über n - Generationen
minimale Lebenesdauer von Passwörtern
Anzahl der Fehlversuche
Bei n - Fehlversuchen sperre des Accounts



Ich habe zwar schon etwas "ge-googelt", bisher habe ich aber noch keine Idee wie ich alle Informationen im Verzeichnis speichern kann, bzw. wie ich alle Fehlversuche erkenne und dann den Account sperre.

Hat vielleicht jemand von euch eine Idee für die Umsetzung?

Danke

Hopfe

hopfe
06.02.2006, 14:04
So ich habe 2 Lösungen gefunden, jedoch keine die meine Ansprüche zu 100% deckt. Am einfachsten ist die Verwendung des Fedora Directory Servers (http://directory.fedora.redhat.com/wiki/Main_Page).

Mir persönlich gefällt die Lösung (http://www.openldap.org/software/man.cgi?query=slapo-ppolicy&apropos=0&sektion=0&manpath=OpenLDAP+2.X-Devel&format=html) über Openldap besser, leider ist die dafür benötigte openLDAP Version noch nicht Stabil genug für den produktiven Einsatz.

theton
06.02.2006, 20:10
All das, was du machen willst, ist eigentlich kein Problem, solange du ein passendes Schema dafuer nutzt. Da spielt die Version von LDAP garkeine Rolle.

hopfe
08.02.2006, 18:36
Wenn du das Schema kennst oder weißt wie ich die Checks aktivieren kann, wäre ich für jeden tipp dankbar.

theton
08.02.2006, 21:44
Hmm, fuer cyrus gab's da mal was. Wird z.B. in der Uni Potsdam benutzt. Aber wie das genau hiess, weiss ich nicht mehr und ob dort Passwort-History mit drin is, bin ich mir auch net sicher, doch das liesse sich ja problemlos ergaenzen. Im Zweifel wirst du dir wohl ein eigenes Schema schreiben muessen. :D