30、LDAP密码策略叠加层的实现与配置

LDAP密码策略叠加层的实现与配置

在LDAP（轻量级目录访问协议）的应用中，密码策略是保障系统安全和用户账户管理的重要组成部分。本文将详细介绍如何在OpenLDAP中实现和配置密码策略叠加层（Password Policy Overlay）。

1. 密码策略叠加层概述

LDAP的一个扩展提案是在LDAP目录中实现密码策略的标准化方法。密码策略叠加层（ppolicy）实现了“IETF关于LDAP目录的密码策略”草案，该草案很可能很快成为RFC标准。

密码策略提供了账户老化、密码过期、密码强度检查、宽限登录等多种密码维护服务。在OpenLDAP中，密码策略信息存储在目录信息树中，由专门的模式（schema）描述的记录来保存。ppolicy叠加层会监控连接，更新密码信息并在适当的时候强制执行密码策略。

需要注意的是，密码策略是基于userPassword属性操作的。如果使用SASL并将密码存储在目录信息树之外（如sasldb），ppolicy叠加层将无法正常工作。

2. 安装密码策略叠加层的步骤

安装ppolicy叠加层并非一蹴而就，需要以下几个步骤：
1. 包含密码策略模式并加载模块
2. 创建密码策略
3. 配置ppolicy叠加层

3. 设置slapd.conf中的全局指令

首先，需要配置slapd.conf文件的全局（基本）部分。与其他叠加层一样，需要加载ppolicy模块，并包含新的模式文件。以下是相关指令的示例：