Salve a tutti, sto indagando sulla possibilità tecnica di impostare delle politiche di cambio password per gli utenti di un database LDAP. In particolare vorrei forzarli a cambiare la loro password entro un ragionevole periodo di tempo dall'ultimo cambio. Già sapevo che per queste necessità c'è l'overlay ppolicy e l'ho testato creando una policy. Ho visto che ad ogni cambio password l'overlay aggiorna con il timestamp attuale l'attributo pwdChangedTime della entry che si è cambiata la password. Se l'entry non si è mai cambiata la password prima dell'attivazione della policy di tipo ppolicy questo attributo non esiste e la politica non entra in vigore Questo pone il seguente problema: In un albero già popolato ed in produzione come faccio a forzare gli utenti a cambiarsi la password senza scatenare una rivolta popolare? Semplice: imposto l'attributo pwdChangedTime a mano con un timestamp odierno e poi informo gli utenti che dovranno cambiarsi la password in un tempo futuro. Non funziona così: ho scoperto che non posso scrivere (tramite ldapmodify ed autenticandomi come rootdn) l'attributo pwdChangedTime. Sembrerebbe che l'unico modo che ho per aggiungere ad ogni utente l'attributo necessario sia quello di spegnere il servizio slapd effettuare lo slapcat dell'albero, modificare il dump aggiungendo a tutte le entry l'attributo pwdChangedTime valorizzato alla data attuale, sovrascrivere il vecchio albero con il nuovo appena generato e riavviare li servizio slapd. Questo comporterebbe una fermata del servizio che vorrei evitare... Altrimenti come posso fare?
Michele Codutti Centro Servizi Informatici e Telematici (CSIT) Universita' degli Studi di Udine via Delle Scienze, 208 - 33100 UDINE tel +39 0432 558928 fax +39 0432 558911 e-mail: michele.codutti at uniud.it _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
