openldap ppolicyをユーザ単位に適応する

前回は、全体に適応するデフォルトパスワードポリシーを記述した。
今回は、パスワードポリシーをユーザ単位に適応する方法を記述する。
まず、変化がわかりやすいようにデフォルトパスワードポリシーのpwdMaxAgeを100など短い値に変更しておく。

検証に使用するユーザ

uid=test,ou=system,dc=example,dc=com
uid=test2,ou=system,dc=example,dc=com
下記のようにパスワードの有効期限が切れている状態にする。
個別にパスワードポリシーを適応した際にわかりやすくするため。
# ldapsearch -x -D "uid=test,ou=system,dc=example,dc=com" -W -b "uid=test,ou=system,dc=example,dc=com" -s base -e ppolicy
Enter LDAP Password:
ldap_bind: Invalid credentials (49); Password expired
 
# ldapsearch -x -D "uid=test2,ou=system,dc=example,dc=com" -W -b "uid=test2,ou=system,dc=example,dc=com" -s base -e ppolicy
Enter LDAP Password:
ldap_bind: Invalid credentials (49); Password expired

*ppolicy設定方法

modifyようのファイルを作る。
今回は対象ユーザ「uid=test,ou=system,dc=example,dc=com」が、”パスワード期限切れしない”・”パスワードロックしない”ように変更を行う。
# vi test_modify.ldif
dn: uid=test,ou=system,dc=example,dc=com
changetype: modify
add: objectClass
objectClass: pwdPolicy
-
add: pwdPolicySubentry
pwdPolicySubentry: uid=test,ou=system,dc=example,dc=com
-
add: pwdAttribute
pwdAttribute: userPassword
-
add: pwdlockout
pwdlockout: FALSE
-
add: PwdInHistory
PwdInHistory: 1
-
add: pwdCheckQuality
pwdCheckQuality: 1
-
add: pwdMaxAge
pwdMaxAge: 0
-
add: pwdMinAge
pwdMinAge: 0
※pwdPolicySubentryが大事。これがないと認識しない。
他は、pwdPolicyのattributeを使用する。

*ppolicy適応

# ldapmodify -x -D "cn=Manager,dc=example,dc=com" -W -f test_delete.ldif
modifying entry "uid=test,ou=system,dc=example,dc=com"

*ppolicy確認

# ldapsearch -x -D "uid=test,ou=system,dc=example,dc=com" -W -b "uid=test,ou=system,dc=example,dc=com" -s base -e ppolicy
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <uid=test,ou=system,dc=example,dc=com> with scope baseObject
# filter: (objectclass=*)
# requesting: ALL
#
 
# test, system, example.com
dn: uid=test,ou=system,dc=example,dc=com
cn: test
sn: test
uid: test
mail: ****@aaa.com
description: web
description: ldap
description: web_admin
description: svn
gidNumber: 0
homeDirectory: -
uidNumber: 0
userPassword:: sdfasdfsa
objectClass: inetOrgPerson
objectClass: person
objectClass: posixAccount
objectClass: top
objectClass: pwdPolicy
pwdAttribute: userPassword
pwdLockout: FALSE
pwdInHistory: 1
pwdCheckQuality: 1
pwdMaxAge: 0
pwdMinAge: 0
 
# search result
search: 2
result: 0 Success
 
# numResponses: 2
# numEntries: 1
 
# ldapsearch -x -D "uid=test2,ou=system,dc=example,dc=com" -W -b "uid=test2,ou=system,dc=example,dc=com" -s base -e ppolicy
Enter LDAP Password:
ldap_bind: Invalid credentials (49); Password expired
デフォルトパスワードポリシのmaxage:100を越えてもパスワードの有効期限が切れないこと、パスワードを指定回数間違えてもロックされないことので、これでOK
以上。

このブログの人気の投稿

RAC環境でimpdpをパラレルで実行するとき

環境 oracle enterprise 11.2g rac構成 発生事象 impdpをパラレル実行していたところ、「オープンできません」などのエラーが発生した。 ORA-31693: 表データ・オブジェクト****"."****"は、ロード/アンロードに失敗し、エラーのためスキップされます: ORA-31640: ダンプ・ファイル"****"を読取りのためにオープンできません ORA-19505: ファイル"****"の識別に失敗しました。 ORA-27037: ファイル・ステータスを取得できません。 対処方法 権限の問題かと思ったが、どうやら違うらしい。 下記を参考に「CLUSTER=N」をつけたところ、正常にimpdpが完了した。 http://it-memo.info/?p=1368 rac環境でのimpdpパラレルは、全ノードで実行しているとのこと。 そのため、このパラメータを付与する必要がある。 以上
続きを読む

TrustedInstaller.exe メモリリーク

現象 windows server 2008 R2でTrustedInstaller.exe がメモリリークを起こしている現象を発見した。 TrustedInstaller.exe だけで、1.5GB以上使用していた。 無駄に使っているため、解放したい。 microsoft からも情報があがっていた https://support.microsoft.com/ja-jp/kb/2794283 原因 microsoftからの情報 TrustedInstaller.exe は、明示的に停止処理が実施されない場合、10 分以上のアイドル状態が継続すると、自動的に停止します。 一方、サーバー マネージャーの [最新の情報への更新] が有効 (既定) に構成されている場合、サーバーにインストールされている役割と機能の状態を定期的 (既定では 2 分間隔) に確認します。 この際、TrustedInstaller.exe に対して役割と機能のインストール状態の問い合わせが行われ、TrustedInstaller.exe は要求が行われる度に新しいログ セッションを作成し、そのためのメモリバッファーを確保します。このセッションおよびバッファーは TrustedInstaller.exe プロセスが終了するまで解放されません。 そのため、サーバー マネージャーの [最新の情報への更新] が有効に設定され、かつ、その更新間隔が 10 分以下である場合、TrustedInstaller.exe プロセスはアイドル状態を 10 分以上保つことが出来ず、自動的に停止されません。また、その間 TrustedInstaller.exe プロセスが消費するメモリが増加し続けます。 サーバ windows server 2008 R2 対処方法 microsoftからの情報 方法1 :サーバーマネージャーを終了する ログオン時にサーバー マネージャーが自動的に起動するのを停止するには、サーバー マネージャー上で以下のチェックをオンにします。   [サーバーの概要] – [コンピューター情報] – [ログオン時にこのコンソールを表示しない] 方法2 :サーバーマネージャーの [最新の情報への更新] 機能を無効化する サーバー マネージャー...
続きを読む

ctrl+s 操作が不能に

悩み コマンドラインで、ctrl+s を押すとロックがかかってしまう。 疲れているときにたまにやってしまいます(笑 これをなんとかできないかと調べてみた。 解決方法 ctrl+sをやったときは、ctrl+qで解除できる、。 ctrl + sを無効にする。 bashrcに下記のように追記する。 # vi ~/.bashrc + if [ “$SSH_TTY” != “” ]; then + stty stop undef + fi stty stop undefだけだとscpコマンドで下記のようなエラーがでます。 # scp test localhost: stty: 標準入力: デバイスに対する不適切なioctlです test: not a regular file なので、if [ “$SSH_TTY” != “” ]; then ~~~ fi を入れます。 ◎参考 http://linux.just4fun.biz/%E9%80%86%E5%BC%95%E3%81%8DUNIX%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89/Ctrl%2BS%E3%81%AB%E3%82%88%E3%82%8B%E7%AB%AF%E6%9C%AB%E3%83%AD%E3%83%83%E3%82%AF%E3%82%92%E7%84%A1%E5%8A%B9%E3%81%AB%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95.html こちらに詳しく書いてありました。
続きを読む