Stefanelli Mirko wrote:
Salve a tutti,
Da poco tempo lavoro con openLdap, adesso ci è stato richiesto di
integrare alcune policy per rendere il sistema più sicuro. Il modulo
slapo-ppolicy permette alcune personalizzazioni sulle autenticazione al
server Ldap. In particolare dopo tre tentativi di autenticazione (bind)
fornendo una password sbagliata il modulo ppolicy mette tale account in
modalità loked. Dal man del modulo slapo-ppolicy il codice di ritorno di
questo stato dovrebbe evidenziare che l’utente è bloccato (per un tempo
definito da file di configurazione) con il messaggio “Account Locked”,
effettivamente il modulo funziona cioè dopo tre tentativi non permette
l’accesso anche fornendo la password giusta. Ma il codice di ritorno
dell’operazione è sempre 48 (LDAP_INVALID_CREDENTIALS), mentre mi
aspettavo un diverso codice. Qualcuno ha qualche idea o qualche link a
cui fare riferimento?
Leggi bene: il modulo, come da draft-behera-ldap-password-policy, usa il
relativo controllo per ritornare informazioni relative alla policy.
Quindi il comportamento del server e' inalterato a meno che il client
non metta nella richiesta il controllo 1.3.6.1.4.1.42.2.27.8.5.1; in
tale caso, il messaggio di risposta puo' contenere un controllo
1.3.6.1.4.1.42.2.27.8.5.1, il cui valore contiene a sua volta
informazioni relative alla policy. Quindi, per sfruttare tali
informazioni, occorre che il client sia in grado di aggiungere tale
controllo alla richiesta, e di interpretare la relativa risposta.
I client distribuiti con OpenLDAP lo fanno in modo consistente a partire
da 2.3.38, aggiungendo il parametro -e ppolicy.
Ciao, p.
Ing. Pierangelo Masarati
OpenLDAP Core Team
SysNet s.r.l.
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
---------------------------------------
Office: +39 02 23998309
Mobile: +39 333 4963172
Email: [EMAIL PROTECTED]
---------------------------------------
_______________________________________________
OpenLDAP mailing list
[email protected]
https://www.sys-net.it/mailman/listinfo/openldap
