[Samba-it] Chiarimento su attributi ldap
Luigi Iotti
luigi at iotti.biz
Wed Feb 14 07:28:01 MST 2007
> From: samba-it-admin at xsec.it [mailto:samba-it-admin at xsec.it]On Behalf Of
> Cristian Manfredini
> > > A occhio funziona tutto bene, ma facendo un po' di browsing su ldap
> > > con phpldapadmin trovo qualcosa che non mi spiego. In particolare,
> > > vedo che nel Distinguished Name:
> > > sambaDomainName=DOMINIO,dc=azienda,dc=it
> > > sono presenti gli attributi sambaMaxPwdAge e sambaMinPwdLength . Ma
> > > non sembrano riflettere le modifiche da me fatte via pdbedit alle
> > > policy "maximum password age" e "min password length".
> > > Ho provato a cambiarne i valori sia in ldap che con pdbedit sniffando
> > > e "strace-ando", e i valori degli attributi ldap paiono allegramente
> > > ignorati, mentre pdbedit va a scrivere le policy in
> account_policy.tdb.
> > > Ma quegli attributi ldap servono a qualcosa, o vengono ignorati (non
> > > mi dispiacerebbe che fossero scritti in ldap)?
> >
> > Vedi man pdbedit, opzione -y
> > E' un po' una roba cinese il motivo per cui bisogna fare esplicitamente
> > quell'operazione, ero convinto avessimo cambiato il default in 3.0.24,
> > non so se cambia in 3.0.25, se mi ricordo risollevo la questione con
> > Jerry.
>
> Nel mio caso ho eseguito:
> # pdbedit -P "password history" -C 24
> # pdbedit -y -i tdbsam: -e ldapsam:ldap://localhost
>
> per cercare di risolvere il problema che gli utenti possono
> reimmettere una password precedente mente utilizzata. Ma non funziona
> ancora...
Quello che posso dire è che pdbedit -y a me ha funzionato, almeno con le due
policy che uso (vedi sopra). L'unica cosa che ho notato a cui stare attenti
per non allarmarsi inutilmente è che anche dopo avere esportato le policy in
ldap con -y, quando esamini lo stato di una policy con pdbedit -P viene
letto e riportato comunque il valore contenuto nel file tdb, che viene
aggiornato con i valori presenti in ldap ogni tanto (uno o due minuti, a
occhio).
Così, se tu esporti le policy in ldap con -y, poi con un editor ldap cambi
il valore di una policy, poi la esamini con pdbedit -P, per qualche
secondo/minuto ottieni il valore vecchio. Inizialmente questo mi aveva
portato a supporre che tutto il giro non funzionasse.
HTH
More information about the samba-it
mailing list