我正在尝试在 OpenLDAP 中实施密码策略。
到目前为止,这就是我的 LDIF 的样子:
dn: cn=module{0},cn=config
changeType: modify
add: olcModuleLoad
olcModuleLoad: ppolicy
dn: olcOverlay=ppolicy,olcDatabase={1}hdb,cn=config
objectClass: olcPpolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=ppolicy,dc=ldaptuto,dc=net
olcPPolicyUseLockout: FALSE
olcPPolicyHashCleartext: TRUE
dn: cn=ppolicy,dc=ldaptuto,dc=net
objectClass: device
objectClass: pwdPolicyChecker
objectClass: pwdPolicy
cn: ppolicy
pwdAllowUserChange: TRUE
pwdAttribute: userPassword
pwdMinLength: 10
pwdCheckQuality: 1
pwdInHistory: 5
pwdMustChange: TRUE
pwdMaxAge: 7776000
pwdMaxFailure: 10
pwdLockout: TRUE
pwdLockoutDuration: 1800
我需要确保当用户更改密码时,新密码与旧密码至少有 2 个位置不同。
我在 LDAP wiki 中没有为此找到任何策略设置。我也试过在网上搜索,没有结果。
我想我可以编写自己的密码检查器,像这样,但是,我没有看到在检查过程中使用了旧密码。
如何实施一项策略以确保新密码与 OpenLDAP 中的旧密码至少有 2 个位置不同?