Fórum Root.cz

Hlavní témata => Server => Téma založeno: Honza 05. 09. 2016, 10:09:35

Název: LDAP - jak zjistit, kdy si naposledy uživatel změnil heslo?
Přispěvatel: Honza 05. 09. 2016, 10:09:35

Ahoj všem,

mám dotaz ohledně LDAPu: Jak zjistit, kdy si uživatel naposledy změnil heslo? Našel jsem na to příkaz passwd -S username ale bohužel funguje pouze u roota a webový interface mi také moc nepomohl - vrací špatnou hodnotu. Prosím, jaké jsou jiné možnosti, jak zjistit poslední změnu hesla v LDAPu?

Díky

Název: Re:LDAP - jak zjistit, kdy si naposledy uživatel změnil heslo?
Přispěvatel: Filip Jirsák 05. 09. 2016, 11:27:41

Zjistíte si, v jaké položce to máte v LDAPu uložené, a pak použijete libovolného LDAP klienta – třeba řádkový ldapsearch.

Název: Re:LDAP - jak zjistit, kdy si naposledy uživatel změnil heslo?
Přispěvatel: Aleš Rygl 05. 09. 2016, 12:09:23

Pokud je heslo jediny atribut, ktery ma uzivatel v LDAPu moznost menit, mozna by stacilo vycist tzv. operational  attributes jeho rekordu. Je mezi nimi i modifiersName a modifyTimestamp. Ldapsearchem to udelate pomoci parametru "+"

Název: Re:LDAP - jak zjistit, kdy si naposledy uživatel změnil heslo?
Přispěvatel: David1234 06. 09. 2016, 11:07:31

Ahoj, pokud se nad uživateli uplatňuje politika hesel je nutností ukládat do nějakého atributu v LDAP datum poslední změny hesla. Většinou se atribut jmenuje shadowLastChange.

Další možností je využít (jak již bylo napsáno) modifyTimestamp a modifiersName, ale není to spolehlivé. Stačí aby někdo jiný něco na účtu změnil od poslední změny hesla uživatelem a již tam máš timestamp té poslední změny.

Jinou možností je zapnout auditlog overlay a sledovat změny hesel v něm, popřípadě by bylo možné sledovat tyto změny i ve standartním logu slapd (nedoporučuji).