OpenLDAP に記載されている手順に従ってパスワード ポリシーを作成しましたが、拡張操作によってユーザーのパスワードを変更しても、その効果は見られません。応答制御を取得しましたが、エラーではなく警告しかありません。
それで質問は私の側に何が欠けているのですか?パスワードのリセットに拡張操作を使用するようにパスワード ポリシーを適用するにはどうすればよいですか? パスワード ポリシーを定義すると、OpenLDAP サーバー内の既存のすべてのユーザーに適用されますか? それとも、新規ユーザーのみに適用されますか?
自分自身で ManagerDN アカウントを使用しないでください。すべてのオーバーレイをバイパスし、DIT への無制限のアクセスを提供しますが、これは望ましくありません。
アプリケーションは、構成で適切な権限が与えられている DIT のエントリを持つユーザーとして実行する必要があります。
そのための管理者グループを定義しました。これにより、すべてのアプリケーションと人間の管理者がその一部になり、構成が簡単になります (そして、後で管理者またはアプリケーションを追加/変更するのがはるかに簡単になります)。私のslapd.conf構文は次のようになります。オンライン構文への変換slapd.dは、読者の演習として残されています。独自の DIT に合わせてベース DN などを変更する必要があることに注意してください。おそらく、グループ クラスと属性名も同様です。
access to attrs=userPassword
by dn.exact="cn=Manager,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
by anonymous auth
by self write
by * none
access to *
by self write
by dn="cn=Replicator,dc=XXX,dc=com,c=us" write
by dn.exact="cn=Manager,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=LDAP admins,ou=Groups,dc=XXX,dc=com" write
by group/groupOfUniqueNames/uniqueMember="cn=Applications,ou=Groups,dc=XXX,dc=com" write
by users read
by anonymous search
by * none
このセットアップでは、ユーザーが自分のパスワードを変更することもできるため、その際にユーザーとしてバインドできることに注意してください。