前提

OpenLDAPでppolicyを有効にすると、アカウントのロックが可能になります。
デフォルトではロック時に認証すると [49 - Invalid Credencials] が返されます。

環境

CentOS 7.6.1810
OpenLDAP 2.4.44

やりたいこと

担当案件ではロックされたことを判別したいという要件のため、パスワード間違いとは別のコードが返るようにしたいのです。
調べたところ olcPPolicyUseLockout という値を TRUE に設定するとロックエラーを返すとのことですが、設定しても相変わらず [49 - Invalid Credencials] が返ってきてしまいます。
各種設定は以下の通りです。ご教示いただけないでしょうか。

スキーマ

[root@localhost openldap]# ldapsearch -Q -LLL -H ldapi:/// -Y EXTERNAL -b cn=schema,cn=config dn
dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}myschema,cn=schema,cn=config
dn: cn={3}ppolicy,cn=schema,cn=config

モジュール設定

[root@localhost openldap]# ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b "cn=config" "(objectClass=olcModuleList)"
dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModuleLoad: {0}ppolicy.la

ppolicy設定

[root@localhost openldap]# ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b "cn=config" "(objectClass=olcPpolicyConfig)"
dn: olcOverlay={0}ppolicy,olcDatabase={2}hdb,cn=config
objectClass: olcPPolicyConfig
olcOverlay: {0}ppolicy
olcPPolicyDefault: cn=default,ou=pwdpolicies,dc=dummy
olcPPolicyHashCleartext: FALSE
olcPPolicyUseLockout: TRUE
olcPPolicyForwardUpdates: FALSE

パスワードポリシー

[root@localhost openldap]# ldapsearch -D cn=Manager,dc=fins -W -b "ou=pwdpolicies,dc=dummy" "(objectClass=pwdPolicy)"
※一部抜粋
dn: cn=default,ou=pwdpolicies,dc=fins
objectClass: device
objectClass: pwdPolicy
pwdAttribute: userPassword
pwdLockout: TRUE
cn: default

行動規範の内容に同意します

回答1件

ベストアンサー

ldapwhoami, ldapsearch などのコマンドで認証する際、"-e ppolicy" を付けると、エラーコードは変わりませんが、Account locked が出力されると思います。

$ ldapwhoami -x -h localhost -D <ロックされているユーザーDN> -w <パスワード>
ldap_bind: Invalid credentials (49)

$ ldapwhoami -x -h localhost -D <ロックされているユーザーDN> -w <パスワード> -e ppolicy
ldap_bind: Invalid credentials (49); Account locked

投稿2019/07/02 14:14