LDAP - jak zjistit, kdy si naposledy uživatel změnil heslo?

[Honza]

Ahoj všem,

mám dotaz ohledně LDAPu: Jak zjistit, kdy si uživatel naposledy změnil heslo? Našel jsem na to příkaz passwd -S username ale bohužel funguje pouze u roota a webový interface mi také moc nepomohl - vrací špatnou hodnotu. Prosím, jaké jsou jiné možnosti, jak zjistit poslední změnu hesla v LDAPu?

Díky

[Reklama]

[Filip Jirsák]

Zjistíte si, v jaké položce to máte v LDAPu uložené, a pak použijete libovolného LDAP klienta – třeba řádkový ldapsearch.

[Aleš Rygl]

Pokud je heslo jediny atribut, ktery ma uzivatel v LDAPu moznost menit, mozna by stacilo vycist tzv. operational  attributes jeho rekordu. Je mezi nimi i modifiersName a modifyTimestamp. Ldapsearchem to udelate pomoci parametru "+"

[David1234]

Ahoj, pokud se nad uživateli uplatňuje politika hesel je nutností ukládat do nějakého atributu v LDAP datum poslední změny hesla. Většinou se atribut jmenuje shadowLastChange.

Další možností je využít (jak již bylo napsáno) modifyTimestamp a modifiersName, ale není to spolehlivé. Stačí aby někdo jiný něco na účtu změnil od poslední změny hesla uživatelem a již tam máš timestamp té poslední změny.

Jinou možností je zapnout auditlog overlay a sledovat změny hesel v něm, popřípadě by bylo možné sledovat tyto změny i ve standartním logu slapd (nedoporučuji).