Ldap Account sperren nach X Logins

german

#1

Hallo,

gibt es eine Möglichkeit zu sagen, einen LDAP Account nach X Fehl- Logins zu sperren??? Zwar gibt es im Container “samba” ja Einstellungen, aber diese gelten ja nur für Samba?!

Ich bräuchte dieses bei zB. 5 fehlgeschlagene binds zum LDAP Server.

lG


#2

Es gibt eine Integration in PAM. Die UCR Variable dazu ist auth/faillog. Im Handbuch ist dies Kapitel Automatisches Sperren von Benutzern nach fehlgeschlagenen Anmeldunge zu finden.

Allerdings fallen die LDAP-Binds nicht darunter, da diese nicht über PAM laufen. Da ist mir keine Lösung bekannt.

Viele Grüße
Stefan Gohmann


#3

Hallo,

es gibt das Modul “slapo-ppolicy”, welches mit dem openldap server bei univention mitgeliefert wird…

Nur bekomme ich es nicht so richtig zum laufen…

Erfahrungen mit dem ppolicy Modul??


#4

Hallo,

habe nun das ppolicy Modul zum laufen gebraucht, eines, wo ich ewig Fehler gesucht habe:

rootdn "cn=admin,dc=unos,dc=local"

Warum existiert diese Zeile standardmäßig in der slapd.conf nicht???

1.) Es wurden hiermit acls definiert
2.) Das ppolicy Modul funktioniert nur mit dieser Zeile korrekt.

Habe es bei mir nun hinzugefügt.

lG


#5

[quote=“DBGTMaster”]Hallo,

habe nun das ppolicy Modul zum laufen gebraucht, eines, wo ich ewig Fehler gesucht habe:

rootdn "cn=admin,dc=unos,dc=local"

Warum existiert diese Zeile standardmäßig in der slapd.conf nicht???
[/quote]

Danke für die Informationen. Die Zeile existiert nicht, da wir dies derzeit über die LDAP ACLs regeln, somit besteht die Möglichkeit die Berechtigungen für cn=admin einzuschränken.

Viele Grüße
Stefan Gohmann


#6

In what situations does the account lockout work?

I have tried to configure it. Afterwards I went to the page https://[my-server]/univention-management-console/ and logged in many times with a wrong password, but the account isn’t locked out.

I used the following settings:



Best practice for securing UCS - info requested
#7

Hello,

the general documentation 6.5. Automatic lockout of users after failed login attempts appears to be not clear enough ([bug]34726[/bug]).
[bug]38559[/bug] mentions that locking is different for the Samba part.

Best Regards,
Dirk