问题1:
我试图了解使用 OpenLDAP 进行用户身份验证的正确方法(例如通过基于表单的身份验证)
初步了解。
1.为OpenLDAP设置管理员用户
2. 在 OpenLDAP (LDIF) 上创建用户 ID ClientA/PWDA
3.使用基于表单的身份验证客户端使用该凭据登录
4. Web组件将使用admin用户登录OpenLDAP并验证ClientA凭证
以上表示ClientA从未登录过OpenLDAP。这是管理员用户正在登录,然后在 OpenLDAP 中验证 ClientA 凭据。
这似乎更符合逻辑。如果 ClientA 凭证通过实际登录 OpenLDAP 进行身份验证,则本质上这意味着 ClientA 本身被视为开发人员。当然ClientA的访问可以通过ACL进行控制,但这不是重点。
这应该是在 OpenLDAP 上验证客户端的正确方法。
1. 使用管理员用户登录 OpenLDAP,然后验证 ClientA 凭据或
2、使用ClientA凭证测试该凭证是否可以登录。
如果答案是 2),那么这就引出问题 2。
问题2:
- 使用管理员用户登录,将 ClientA 的属性shadowexpire 设置为昨天的日期/时间
- 以 ClientA/PWDA 身份重新登录
- ClientA 能够登录。
既然shadowexpire属性已将其设置为昨天的日期,那么ClientA不应该不允许登录吗?
任何帮助都会很棒。
谢谢。
最佳答案
答案是(2),但是 shadowexpire
只是一个对象属性。 OpenLDAP 本身并不关心你对它做了什么。如果您希望 OpenLDAP 强制执行某些内容,请参阅 ppolicy
覆盖层。
关于ldap - OpenLDAP - 用于身份验证的 LDAP 正确程序是什么以及字段 Shadowexpire 的用法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29701730/