如何在openldap中设置帐户到期日期

Question

我希望在 openldap 中实施新的帐户策略，允许管理员设置用户帐户的到期日期。但是，我在对象类中找不到任何相关属性。

这与 pwdMaxAge 等密码属性无关。此策略的用途是订阅服务。一旦用户订阅服务器达到一定期限，管理员将设置订阅结束的帐户到期日期。如果在到期日期之前，用户将通过身份验证，并且在到期日期之后将无法通过身份验证。

在 openldap 中可以这样做吗？我google了一下，发现微软的ActiveDirectory有AccountExpirationDate属性。

Answer 1

OpenLDAP 或其覆盖层不直接支持帐户过期（甚至在 contrib/ 中也不支持）。

Howard Chu 建议使用ppolicy的pwdMaxAge为此，它可以工作，但我发现这不太理想：如果您已经使用 ppolicy 来处理过期密码（除了过期帐户），它将与这些设置冲突，并且如果您已配置宽限登录（明智的做法），用户可以更改其密码，从而重置过期计时器。

所以这似乎是实现这一点的最佳方法（也是一个很好的方法）方式并非如此）的方法是运行一个外部任务，将（ppolicy 属性）pwdAccountLockedTime 设置为表示手动锁定帐户的幻数，该帐户无法由用户解锁。

pwdAccountLockedTime

此属性包含用户帐户被锁定的时间。如果帐户已被锁定，则密码可能不再用于对目录进行用户身份验证。如果pwdAccountLockedTime设置为000001010000Z，则用户的帐户已被永久锁定，只能由管理员解锁。请注意，帐户锁定仅在pwdLockout密码策略属性设置为“TRUE”时生效。

此外部任务（很可能是一个 cronjob）可以通过以下方式实现：在循环访问用户记录时，从用户记录上的自定义属性（例如 expirationTime）读取到期日期/时间。这样您就可以将到期时间/日期存储在用户记录中，但当然锁定完全依赖于此外部任务的运行。

或者您可以编写自己的覆盖层。

Answer 2

查看密码策略扩展。从 OpenLDAP 2.3 开始支持它。您可能需要编写一些代码来实现所需的扩展请求/响应控件。

如果您使用 OpenLDAP，则可以使用动态对象覆盖。创建帐户时添加objectClass=dynamicObject，并通过动态对象刷新请求设置适当的entryTTL。

Answer 3

如果用户帐户类型为 shadowAccountshadowExpire一个>

Answer 4

从 OpenLDAP 2.5 开始，您可以使用 pwdEndTime 属性来自 ppolicy 覆盖层以实现帐户过期：

来自 规范草案 11：

此属性指定条目的密码对于身份验证无效的时间。无论过期或宽限设置如何，在此时间之后进行的身份验证尝试都将失败。如果此属性不存在，则此限制不适用。

Answer 5

无需详细介绍 - 看看上面提到的 PPolicy 覆盖。有用。你是对的，没有像 AD 中那样的“帐户过期时间”。

一种解决方案是运行计算帐户期限的脚本，添加/修改用户属性 pwdPolicySubentry 并将其设置为策略的 DN，该策略使 1 秒前的密码过期并且不允许用户更改密码。

没有客户端可以解决这个问题，但用户条目实际上仍然完好无损。