Ldap 密码策略不会引发不同的错误

【问题标题】:Ldap password policy not throwing different errorsLdap 密码策略不会引发不同的错误
【发布时间】:2014-01-05 13:51:06
【问题描述】:

我使用 ppolicy 覆盖并启用 ppolicy_use_lockout 来区分无效密码和锁定帐户。

database    bdb
suffix      "dc=openiam,dc=com"
rootdn      "cn=Manager,dc=openiam,dc=com"
rootpw      "{SSHA}2ttRoo/t5HuMT2nPxtI6goVUML5R2H9h"
# PPolicy Configuration
overlay ppolicy
ppolicy_default "cn=default,ou=policies,dc=openiam,dc=com"
ppolicy_use_lockout
ppolicy_hash_cleartext

我尝试通过多次输入错误密码来锁定用户帐户 (pwdMaxFailure)

用户被锁定,但当我再次尝试登录时,我仍然收到同样的错误:

无效的凭据 (49)

知道为什么我没有得到不同的错误来区分案例吗?

谢谢, 射线。

【问题讨论】:

    标签: java ldap openldap spring-ldap


    【解决方案1】:

    您应该在使用 ldapwhoami 时添加 -e ppolicy 以获取更多信息,例如(密码已过期,保留 3 个宽限登录)

    【讨论】:

      【解决方案2】:

      如果您使用相应的请求控件请求它,您将获得一个告诉您错误的密码策略响应控件。

      请注意,出于password policy draft, section 12 中所述的原因,将其显示给用户是一个坏主意。基本上你会向攻击者泄露信息。

      另请注意,此技术也适用于我现在已更正的my answer to your previous question

      【讨论】:

        猜你喜欢
        • 2019-02-23
        • 1970-01-01
        • 1970-01-01
        • 2020-11-05
        • 1970-01-01
        • 2011-12-12
        • 1970-01-01
        • 2020-01-13
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode