OpenLDAP to 389-DS:我能有“命名密码策略”吗？

Question

与OpenLDAP 2.4相比，我试图了解“密码策略”在389-DS中的工作原理：

在OpenLDAP 2.4中，我可以定义多个“命名”密码策略条目，并将它们分配给用户条目。例如，我有一个策略“交互式用户”(个性化)和一个策略“系统用户”(共享帐户)，这两个策略都具有不同的设置。

在389-DS似乎(尽管整个概念似乎完全不同)，我只能选择：

1. 定义适用于每个用户的全局策略。
2. 定义每个用户的单个属性

因此，当我想验证用户是否有一个特定的策略时，这将是相当多的工作。同样，当我更新策略时。

所以我的理解正确吗？即使在389-DS中，我也想定义和使用“命名”密码策略。

Answer 1

似乎您确实没有“命名”密码策略，但似乎有一种机制实际上添加了“Netscape Directory Server部署指南”中描述的属性：“服务类(CoS)允许您以应用程序不可见的方式在条目之间共享属性。使用CoS，某些属性值可能不会与条目本身一起存储。相反，这些属性值是由服务逻辑类生成的，因为条目被发送到客户端应用程序。”

(这个答案仍然不完整；一旦我验证了事情的正常运行，我会更新它)

管理访问控制(红帽目录服务器12)中的第4章:配置基于时间的帐户锁定策略。描述了步骤(创建CoS模板、创建CoS定义条目)，但没有描述后面的概念(例如cosSuperDefinition、cosPointerDefinition)。所以很难应用这个模式。