El 28 nov 2025, a las 16:48, Camaleón <[email protected]> escribió:
El 2025-11-27 a las 19:43 +0100, Roberto Leon Lopez escribió: Hola Roberto, El mié, 26 nov 2025 a las 18:25, Roberto Leon Lopez (<[email protected]>) escribió: En su momento estuve ensayando en Debian 12 con el paquete OpenLDAP y el refuerzo de contraseñas no estaba bien implementado. En Debian 13 tienes que cargar el módulo ppolicy pero es mi sorpresa la etiqueta que no se corresponde a lo cargado y no es de fiar. Cargo el módulo en OpenLDAP con un simple ldif: dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: ppolicy Y al comprobar que dicho módulo está cargada te quedas a cuadros con lo que veo: dn: cn=module{0},cn=config objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModulePath: {0}back_mdb olcModulePath: {1}argon2 olcModulePath: ezJ9cHBvbGlejeSA Efectivamente ese último módulo corresponde a ppolicy, lo carga pero eso no es de fiar, y mi idea era montar un servicio LDAP en una empresa pero así no me la juego. De openLDAP (LDAP) estoy un poco pez. ¿Qué ves de extraño / malo en el módulo? ¿Qué es lo que quieres hacer, qué te falla o qué no te gusta? Perdonarme, el listado correcto es: dn: cn=module{0},cn=config objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap oclModuleLoad: {0}back_mdb oclModuleLoad: {1}argon2 oclModuleLoad:: ezJ9cHBvbGlejeSA= Le he preguntado a Gemini que me ha corregido el error del listado y además me indica que el nombre del módulo está en Base64 y en ese caso se usa doble dos puntos en oclModuleLoad:: . Llegado aquí uno piensa que con un ldif podemos indicar un delete del oclModuleLoad:: pero no funciona, hay que borrar a mano en el fichero /etc/ldap/slapd.d/cn=config/cn=module{0}.ldif . En fin, la curva de aprendizaje más cositas propias de Openldap. Nota mental: A ver si la Comunidad de Debian se agencia una IA libre, la pone a escanear / indexar todas las listas de correo y de la web oficial / wiki de Debian para que se instruya un poco y la deja libremente evolucionar como un usuario más de esta lista >:-P **** Nombre de la IA: debIA E-mail del bot: [email protected] **** Saludos, -- Camaleón En concreto cuando listas los módulos cargados y ves una línea como: oclModuleLoad:: ezJ9cHBvbGlejeSA= Eso corresponde al módulo ppolicy que he cargado o no o yo que sé. Ha sido Gemini quien me ha resaltado que está en Base64 y el uso del doble dos puntos :: . OpenLdap tiene una entrada difícil en general. Ya no es la absurda forma de representar el módulo que he cargado por algún error de carácter en el fichero ldif(pero lo carga), lo tuve que borrar además a mano editando el fichero que encuentras en /etc/ldap/….. porque un modify con delete no funciona!!!! Es que tienes que encajar en tu mente lo que es un módulo pero luego aplicar como OVERLAY. Y cuando piensas que ya no habrá nada más nuevo y quiero profundizar en un módulo ppm que está en el paquete slapd-contrib resulta que no se carga con olcModuleLoad si no con un atributo ppolice_check_module . Todo este recorrido que hago es porque necesito pasar en el trabajo una auditoría y evidentemente la política de contraseñas y su reforzado es fundamental. OpenLDAP es lo más básico pero eso no quitar para que sea terrible trabajar con él. Luego la gente se engaña buscando alguna GUI cuando las tripas del servicio es peculiar. RedHat y SUSE han dejado OpenLdap en favor de FreeIPA del cual en Debian sólo tenemos la parte de cliente.
