El 30 nov 2025, a las 8:58, Camaleón <[email protected]> escribió:
El 2025-11-29 a las 12:58 +0100, Roberto Leon Lopez escribió: El cliente de correo que usas (¿webmail de Gmail?) no respeta el formato de indentado / respuesta de los mensajes, o algo pasa con este correo. > En concreto cuando listas los módulos cargados y ves una línea como: > > oclModuleLoad:: ezJ9cHBvbGlejeSA= > > Eso corresponde al módulo ppolicy que he cargado o no o yo que sé. Ha sido > Gemini quien me ha resaltado que está en Base64 y el uso del doble dos > puntos :: . ¿Y no debe ser así? :-? Si ves que hay algo mal en OpenLDAP lo mejor es que informes del fallo: https://bugs.openldap.org/ > OpenLdap tiene una entrada difícil en general. Ya no es la absurda forma de > representar el módulo que he cargado por algún error de carácter en el > fichero ldif(pero lo carga), lo tuve que borrar además a mano editando el > fichero que encuentras en /etc/ldap/….. porque un modify con delete no > funciona!!!! Es que tienes que encajar en tu mente lo que es un módulo pero > luego aplicar como OVERLAY. Y cuando piensas que ya no habrá nada más nuevo > y quiero profundizar en un módulo ppm que está en el paquete slapd-contrib > resulta que no se carga con olcModuleLoad si no con un > atributo ppolice_check_module . Hace años que lo tuve configurado y tengo vagos recuerdos de su implementación, pero vamos, para el uso que le daba (directorio simple de usuarios) no recuerdo que me diiera mucha guerra ni que fuera en extremo complicado de configurarlo. > Todo este recorrido que hago es porque necesito pasar en el trabajo una > auditoría y evidentemente la política de contraseñas y su reforzado es > fundamental. OpenLDAP es lo más básico pero eso no quitar para que sea > terrible trabajar con él. Luego la gente se engaña buscando alguna GUI > cuando las tripas del servicio es peculiar. > > RedHat y SUSE han dejado OpenLdap en favor de FreeIPA del cual en Debian > sólo tenemos la parte de cliente. Pues mira, si no te convence no es mala idea que vayas buscando un reemplazo¹, aunque parece que OpenLDAP no está muy desactualizado (la útima versión, que es la 2.6, es del año 2021, razonable) y la madurez del proyecto es un grado en cuanto a compatibilidad, nivel de desarrollo, etc. para usarlo en entornos en producción. ¹https://en.wikipedia.org/wiki/List_of_LDAP_software#Server_software Saludos, -- Camaleón Había usado la web de Gmail porque me permite en horas de oficina participar y me aseguré de escribir debajo del cuerpo de la respuesta pero si no es suficiente no podré usarlo, es en casa donde uso un cliente de correo. Respecto a OpenLdap lo que veo es que hay muchos puntos donde es fácil equivocarse. El caso concreto es que oclModuleLoad tiene que ir acompañado del nombre del módulo cargado como por ejemplo puede ser argon2 o ppolicy pero no ese chorizo en base64. El borrado del modulo no se puede hacer con un simple ldapdelete y hay que hacerlo de mala manera tocando directamente el fichero bajo /etc/ldap. Siempre me refiero a Openldap 2.6 que está en Debian 13. La página man de ppolicy hace referencia a los cambios entre la versión 2.5 y 2.6 … https://manpages.debian.org/trixie/slapd-contrib/slapm-ppm.5.en.html Me seguiré peleando con OpenLdap, las otras opciones incluídas en Debian 13 son una en java de Apache y otra el port386 de Fedora.
