]> git.sur5r.net Git - openldap/blob - tests/scripts/test022-ppolicy
Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_4
[openldap] / tests / scripts / test022-ppolicy
1 #! /bin/sh
2 # $OpenLDAP$
3 ## This work is part of OpenLDAP Software <http://www.openldap.org/>.
4 ##
5 ## Copyright 1998-2014 The OpenLDAP Foundation.
6 ## All rights reserved.
7 ##
8 ## Redistribution and use in source and binary forms, with or without
9 ## modification, are permitted only as authorized by the OpenLDAP
10 ## Public License.
11 ##
12 ## A copy of this license is available in the file LICENSE in the
13 ## top-level directory of the distribution or, alternatively, at
14 ## <http://www.OpenLDAP.org/license.html>.
15
16 echo "running defines.sh"
17 . $SRCDIR/scripts/defines.sh
18
19 if test $PPOLICY = ppolicyno; then 
20         echo "Password policy overlay not available, test skipped"
21         exit 0
22 fi 
23
24 mkdir -p $TESTDIR $DBDIR1
25
26 $SLAPPASSWD -g -n >$CONFIGPWF
27 echo "rootpw `$SLAPPASSWD -T $CONFIGPWF`" >$TESTDIR/configpw.conf
28
29 echo "Starting slapd on TCP/IP port $PORT1..."
30 . $CONFFILTER $BACKEND $MONITORDB < $PPOLICYCONF > $CONF1
31 $SLAPD -f $CONF1 -h $URI1 -d $LVL $TIMING > $LOG1 2>&1 &
32 PID=$!
33 if test $WAIT != 0 ; then
34     echo PID $PID
35     read foo
36 fi
37 KILLPIDS="$PID"
38
39 USER="uid=nd, ou=People, dc=example, dc=com"
40 PASS=testpassword
41
42 sleep 1
43
44 echo "Using ldapsearch to check that slapd is running..."
45 for i in 0 1 2 3 4 5; do
46         $LDAPSEARCH -s base -b "$MONITOR" -h $LOCALHOST -p $PORT1 \
47                 'objectclass=*' > /dev/null 2>&1
48         RC=$?
49         if test $RC = 0 ; then
50                 break
51         fi
52         echo "Waiting 5 seconds for slapd to start..."
53         sleep 5
54 done
55 if test $RC != 0 ; then
56         echo "ldapsearch failed ($RC)!"
57         test $KILLSERVERS != no && kill -HUP $KILLPIDS
58         exit $RC
59 fi
60
61 echo /dev/null > $TESTOUT
62
63 echo "Using ldapadd to populate the database..."
64 # may need "-e relax" for draft 09, but not yet.
65 $LDAPADD -D "$MANAGERDN" -h $LOCALHOST -p $PORT1 -w $PASSWD < \
66         $LDIFPPOLICY >> $TESTOUT 2>&1
67 RC=$?
68 if test $RC != 0 ; then
69         echo "ldapadd failed ($RC)!"
70         test $KILLSERVERS != no && kill -HUP $KILLPIDS
71         exit $RC
72 fi
73
74 echo "Testing account lockout..."
75 $LDAPSEARCH -h $LOCALHOST -p $PORT1 -D "$USER" -w wrongpw >$SEARCHOUT 2>&1
76 sleep 2
77 $LDAPSEARCH -h $LOCALHOST -p $PORT1 -D "$USER" -w wrongpw >>$SEARCHOUT 2>&1
78 sleep 2
79 $LDAPSEARCH -h $LOCALHOST -p $PORT1 -D "$USER" -w wrongpw >>$SEARCHOUT 2>&1
80 sleep 2
81 $LDAPSEARCH -e ppolicy -h $LOCALHOST -p $PORT1 -D "$USER" -w wrongpw >> $SEARCHOUT 2>&1
82 $LDAPSEARCH -e ppolicy -h $LOCALHOST -p $PORT1 -D "$USER" -w $PASS >> $SEARCHOUT 2>&1
83 COUNT=`grep "Account locked" $SEARCHOUT | wc -l`
84 if test $COUNT != 2 ; then
85         echo "Account lockout test failed"
86         test $KILLSERVERS != no && kill -HUP $KILLPIDS
87         exit 1
88 fi
89
90 echo "Waiting 20 seconds for lockout to reset..."
91 sleep 20
92
93 $LDAPSEARCH -e ppolicy -h $LOCALHOST -p $PORT1 -D "$USER" -w $PASS \
94         -b "$BASEDN" -s base >> $SEARCHOUT 2>&1
95 RC=$?
96 if test $RC != 0 ; then
97         echo "ldapsearch failed ($RC)!"
98         test $KILLSERVERS != no && kill -HUP $KILLPIDS
99         exit $RC
100 fi
101
102 echo "Testing password expiration"
103 echo "Waiting 20 seconds for password to expire..."
104 sleep 20
105
106 $LDAPSEARCH -e ppolicy -h $LOCALHOST -p $PORT1 -D "$USER" -w $PASS \
107         -b "$BASEDN" -s base > $SEARCHOUT 2>&1
108 sleep 2
109 $LDAPSEARCH -e ppolicy -h $LOCALHOST -p $PORT1 -D "$USER" -w $PASS \
110         -b "$BASEDN" -s base >> $SEARCHOUT 2>&1
111 sleep 2
112 $LDAPSEARCH -e ppolicy -h $LOCALHOST -p $PORT1 -D "$USER" -w $PASS \
113         -b "$BASEDN" -s base >> $SEARCHOUT 2>&1
114 sleep 2
115 $LDAPSEARCH -e ppolicy -h $LOCALHOST -p $PORT1 -D "$USER" -w $PASS \
116         -b "$BASEDN" -s base >> $SEARCHOUT 2>&1
117 RC=$?
118 if test $RC = 0 ; then
119         echo "Password expiration failed ($RC)!"
120         test $KILLSERVERS != no && kill -HUP $KILLPIDS
121         exit 1
122 fi
123
124 COUNT=`grep "grace logins" $SEARCHOUT | wc -l`
125 if test $COUNT != 3 ; then
126         echo "Password expiration test failed"
127         test $KILLSERVERS != no && kill -HUP $KILLPIDS
128         exit 1
129 fi
130
131 echo "Resetting password to clear expired status"
132 $LDAPPASSWD -h $LOCALHOST -p $PORT1 \
133         -w secret -s $PASS \
134         -D "$MANAGERDN" "$USER" >> $TESTOUT 2>&1
135 RC=$?
136 if test $RC != 0 ; then
137         echo "ldappasswd failed ($RC)!"
138         test $KILLSERVERS != no && kill -HUP $KILLPIDS
139         exit $RC
140 fi
141
142 echo "Filling password history..."
143 $LDAPMODIFY -v -D "$USER" -h $LOCALHOST -p $PORT1 -w $PASS >> \
144         $TESTOUT 2>&1 << EOMODS
145 dn: uid=nd, ou=People, dc=example, dc=com
146 changetype: modify
147 delete: userpassword
148 userpassword: $PASS
149 -
150 replace: userpassword
151 userpassword: 20urgle12-1
152
153 dn: uid=nd, ou=People, dc=example, dc=com
154 changetype: modify
155 delete: userpassword
156 userpassword: 20urgle12-1
157 -
158 replace: userpassword
159 userpassword: 20urgle12-2
160
161 dn: uid=nd, ou=People, dc=example, dc=com
162 changetype: modify
163 delete: userpassword
164 userpassword: 20urgle12-2
165 -
166 replace: userpassword
167 userpassword: 20urgle12-3
168
169 dn: uid=nd, ou=People, dc=example, dc=com
170 changetype: modify
171 delete: userpassword
172 userpassword: 20urgle12-3
173 -
174 replace: userpassword
175 userpassword: 20urgle12-4
176
177 dn: uid=nd, ou=People, dc=example, dc=com
178 changetype: modify
179 delete: userpassword
180 userpassword: 20urgle12-4
181 -
182 replace: userpassword
183 userpassword: 20urgle12-5
184
185 dn: uid=nd, ou=People, dc=example, dc=com
186 changetype: modify
187 delete: userpassword
188 userpassword: 20urgle12-5
189 -
190 replace: userpassword
191 userpassword: 20urgle12-6
192
193 EOMODS
194 RC=$?
195 if test $RC != 0 ; then
196         echo "ldapmodify failed ($RC)!"
197         test $KILLSERVERS != no && kill -HUP $KILLPIDS
198         exit $RC
199 fi
200 echo "Testing password history..."
201 $LDAPMODIFY -v -D "$USER" -h $LOCALHOST -p $PORT1 -w 20urgle12-6 >> \
202         $TESTOUT 2>&1 << EOMODS
203 dn: uid=nd, ou=People, dc=example, dc=com
204 changetype: modify
205 delete: userPassword
206 userPassword: 20urgle12-6
207 -
208 replace: userPassword
209 userPassword: 20urgle12-2
210
211 EOMODS
212 RC=$?
213 if test $RC = 0 ; then
214         echo "ldapmodify failed ($RC)!"
215         test $KILLSERVERS != no && kill -HUP $KILLPIDS
216         exit 1
217 fi
218
219 echo "Testing forced reset..."
220
221 $LDAPMODIFY -v -D "$MANAGERDN" -h $LOCALHOST -p $PORT1 -w $PASSWD >> \
222         $TESTOUT 2>&1 << EOMODS
223 dn: uid=nd, ou=People, dc=example, dc=com
224 changetype: modify
225 replace: userPassword
226 userPassword: $PASS
227 -
228 replace: pwdReset
229 pwdReset: TRUE
230
231 EOMODS
232 RC=$?
233 if test $RC != 0 ; then
234         echo "ldapmodify failed ($RC)!"
235         test $KILLSERVERS != no && kill -HUP $KILLPIDS
236         exit $RC
237 fi
238
239 $LDAPSEARCH -e ppolicy -h $LOCALHOST -p $PORT1 -D "$USER" -w $PASS \
240         -b "$BASEDN" -s base > $SEARCHOUT 2>&1
241 RC=$?
242 if test $RC = 0 ; then
243         echo "Forced reset failed ($RC)!"
244         test $KILLSERVERS != no && kill -HUP $KILLPIDS
245         exit 1
246 fi
247
248 COUNT=`grep "Operations are restricted" $SEARCHOUT | wc -l`
249 if test $COUNT != 1 ; then
250         echo "Forced reset test failed"
251         test $KILLSERVERS != no && kill -HUP $KILLPIDS
252         exit 1
253 fi
254
255 echo "Clearing forced reset..."
256
257 $LDAPMODIFY -v -D "$MANAGERDN" -h $LOCALHOST -p $PORT1 -w $PASSWD >> \
258         $TESTOUT 2>&1 << EOMODS
259 dn: uid=nd, ou=People, dc=example, dc=com
260 changetype: modify
261 delete: pwdReset
262
263 EOMODS
264 RC=$?
265 if test $RC != 0 ; then
266         echo "ldapmodify failed ($RC)!"
267         test $KILLSERVERS != no && kill -HUP $KILLPIDS
268         exit $RC
269 fi
270
271 $LDAPSEARCH -e ppolicy -h $LOCALHOST -p $PORT1 -D "$USER" -w $PASS \
272         -b "$BASEDN" -s base > $SEARCHOUT 2>&1
273 RC=$?
274 if test $RC != 0 ; then
275         echo "Clearing forced reset failed ($RC)!"
276         test $KILLSERVERS != no && kill -HUP $KILLPIDS
277         exit $RC
278 fi
279
280 echo "Testing Safe modify..."
281
282 $LDAPPASSWD -h $LOCALHOST -p $PORT1 \
283         -w $PASS -s failexpect \
284         -D "$USER" >> $TESTOUT 2>&1
285 RC=$?
286 if test $RC = 0 ; then
287         echo "Safe modify test 1 failed ($RC)!"
288         test $KILLSERVERS != no && kill -HUP $KILLPIDS
289         exit 1
290 fi
291
292 sleep 2
293
294 OLDPASS=$PASS
295 PASS=successexpect
296
297 $LDAPPASSWD -h $LOCALHOST -p $PORT1 \
298         -w $OLDPASS -s $PASS -a $OLDPASS \
299         -D "$USER" >> $TESTOUT 2>&1
300 RC=$?
301 if test $RC != 0 ; then
302         echo "Safe modify test 2 failed ($RC)!"
303         test $KILLSERVERS != no && kill -HUP $KILLPIDS
304         exit $RC
305 fi
306
307 echo "Testing length requirement..."
308 # check control in response (ITS#5711)
309 $LDAPPASSWD -h $LOCALHOST -p $PORT1 \
310         -w $PASS -a $PASS -s 2shr \
311         -D "$USER" -e ppolicy > ${TESTOUT}.2 2>&1
312 RC=$?
313 cat ${TESTOUT}.2 >> $TESTOUT
314 if test $RC = 0 ; then
315         echo "Length requirement test failed ($RC)!"
316         test $KILLSERVERS != no && kill -HUP $KILLPIDS
317         exit 1
318 fi
319 COUNT=`grep "Password fails quality" ${TESTOUT}.2 | wc -l`
320 if test $COUNT != 1 ; then
321         echo "Length requirement test failed"
322         test $KILLSERVERS != no && kill -HUP $KILLPIDS
323         exit 1
324 fi
325 COUNT=`grep "Password is too short for policy" ${TESTOUT}.2 | wc -l`
326 if test $COUNT != 1 ; then
327         echo "Control not returned in response"
328         test $KILLSERVERS != no && kill -HUP $KILLPIDS
329         exit 1
330 fi
331
332 echo "Testing hashed length requirement..."
333
334 $LDAPMODIFY -h $LOCALHOST -p $PORT1 -D "$USER" -w $PASS > \
335         ${TESTOUT}.2 2>&1 << EOMODS
336 dn: $USER
337 changetype: modify
338 delete: userPassword
339 userPassword: $PASS
340 -
341 add: userPassword
342 userPassword: {MD5}xxxxxx
343
344 EOMODS
345 RC=$?
346 cat ${TESTOUT}.2 >> $TESTOUT
347 if test $RC = 0 ; then
348         echo "Hashed length requirement test failed ($RC)!"
349         test $KILLSERVERS != no && kill -HUP $KILLPIDS
350         exit 1
351 fi
352 COUNT=`grep "Password fails quality" ${TESTOUT}.2 | wc -l`
353 if test $COUNT != 1 ; then
354         echo "Hashed length requirement test failed"
355         test $KILLSERVERS != no && kill -HUP $KILLPIDS
356         exit 1
357 fi
358
359 echo "Testing multiple password add/modify checks..."
360
361 $LDAPMODIFY -h $LOCALHOST -p $PORT1 -D "$MANAGERDN" -w $PASSWD >> \
362         $TESTOUT 2>&1 << EOMODS
363 dn: cn=Add Should Fail, ou=People, dc=example, dc=com
364 changetype: add
365 objectClass: inetOrgPerson
366 cn: Add Should Fail
367 sn: Fail
368 userPassword: firstpw
369 userPassword: secondpw
370 EOMODS
371 RC=$?
372 if test $RC = 0 ; then
373         echo "Multiple password add test failed ($RC)!"
374         test $KILLSERVERS != no && kill -HUP $KILLPIDS
375         exit 1
376 fi
377
378 $LDAPMODIFY -h $LOCALHOST -p $PORT1 -D "$MANAGERDN" -w $PASSWD >> \
379         $TESTOUT 2>&1 << EOMODS
380 dn: $USER
381 changetype: modify
382 add: userPassword
383 userPassword: firstpw
384 userPassword: secondpw
385 EOMODS
386 RC=$?
387 if test $RC = 0 ; then
388         echo "Multiple password modify add test failed ($RC)!"
389         test $KILLSERVERS != no && kill -HUP $KILLPIDS
390         exit 1
391 fi
392
393 $LDAPMODIFY -h $LOCALHOST -p $PORT1 -D "$MANAGERDN" -w $PASSWD >> \
394         $TESTOUT 2>&1 << EOMODS
395 dn: $USER
396 changetype: modify
397 replace: userPassword
398 userPassword: firstpw
399 userPassword: secondpw
400 EOMODS
401 RC=$?
402 if test $RC = 0 ; then
403         echo "Multiple password modify replace test failed ($RC)!"
404         test $KILLSERVERS != no && kill -HUP $KILLPIDS
405         exit 1
406 fi
407
408 if test "$BACKLDAP" != "ldapno" && test "$SYNCPROV" != "syncprovno"  ; then 
409 echo ""
410 echo "Setting up policy state forwarding test..."
411
412 mkdir $DBDIR2
413 sed -e "s,$DBDIR1,$DBDIR2," < $CONF1 > $CONF2
414 echo "Starting slapd consumer on TCP/IP port $PORT2..."
415 $SLAPD -f $CONF2 -h $URI2 -d $LVL $TIMING > $LOG2 2>&1 &
416 PID=$!
417 if test $WAIT != 0 ; then
418     echo PID $PID
419     read foo
420 fi
421 KILLPIDS="$KILLPIDS $PID"
422
423 echo "Configuring syncprov on provider..."
424 if [ "$SYNCPROV" = syncprovmod ]; then
425         $LDAPADD -D cn=config -H $URI1 -y $CONFIGPWF <<EOF >> $TESTOUT 2>&1
426 dn: cn=module,cn=config
427 objectclass: olcModuleList
428 cn: module
429 olcModulePath: $TESTWD/../servers/slapd/overlays
430 olcModuleLoad: syncprov.la
431
432 EOF
433         RC=$?
434         if test $RC != 0 ; then
435                 echo "ldapadd failed for moduleLoad ($RC)!"
436                 test $KILLSERVERS != no && kill -HUP $KILLPIDS
437                 exit $RC
438         fi
439 fi
440
441 $LDAPADD -D cn=config -H $URI1 -y $CONFIGPWF <<EOF >> $TESTOUT 2>&1
442 dn: olcOverlay={1}syncprov,olcDatabase={1}$BACKEND,cn=config
443 objectClass: olcOverlayConfig
444 objectClass: olcSyncProvConfig
445 olcOverlay: {1}syncprov
446
447 EOF
448 RC=$?
449 if test $RC != 0 ; then
450     echo "ldapadd failed for provider database config ($RC)!"
451     test $KILLSERVERS != no && kill -HUP $KILLPIDS
452     exit $RC
453 fi
454
455 echo "Using ldapsearch to check that slapd is running..."
456 for i in 0 1 2 3 4 5; do
457         $LDAPSEARCH -s base -b "$MONITOR" -H $URI2 \
458                 'objectclass=*' > /dev/null 2>&1
459         RC=$?
460         if test $RC = 0 ; then
461                 break
462         fi
463         echo "Waiting 5 seconds for slapd to start..."
464         sleep 5
465 done
466 if test $RC != 0 ; then
467         echo "ldapsearch failed ($RC)!"
468         test $KILLSERVERS != no && kill -HUP $KILLPIDS
469         exit $RC
470 fi
471
472 echo "Configuring syncrepl on consumer..."
473 if [ "$BACKLDAP" = ldapmod ]; then
474         $LDAPADD -D cn=config -H $URI2 -y $CONFIGPWF <<EOF >> $TESTOUT 2>&1
475 dn: cn=module,cn=config
476 objectclass: olcModuleList
477 cn: module
478 olcModulePath: $TESTWD/../servers/slapd/back-ldap
479 olcModuleLoad: back_ldap.la
480
481 EOF
482         RC=$?
483         if test $RC != 0 ; then
484                 echo "ldapadd failed for moduleLoad ($RC)!"
485                 test $KILLSERVERS != no && kill -HUP $KILLPIDS
486                 exit $RC
487         fi
488 fi
489 $LDAPMODIFY -D cn=config -H $URI2 -y $CONFIGPWF <<EOF >> $TESTOUT 2>&1
490 dn: olcOverlay={0}chain,olcDatabase={-1}frontend,cn=config
491 changetype: add
492 objectClass: olcOverlayConfig
493 objectClass: olcChainConfig
494 olcOverlay: {0}chain
495
496 dn: olcDatabase=ldap,olcOverlay={0}chain,olcDatabase={-1}frontend,cn=config
497 changetype: add
498 objectClass: olcLDAPConfig
499 objectClass: olcChainDatabase
500 olcDBURI: $URI1
501 olcDbIDAssertBind: bindmethod=simple
502   binddn="cn=manager,dc=example,dc=com"
503   credentials=secret
504   mode=self
505
506 dn: olcDatabase={1}$BACKEND,cn=config
507 changetype: modify
508 add: olcSyncrepl
509 olcSyncrepl: rid=1
510   provider=$URI1
511   binddn="cn=manager,dc=example,dc=com"
512   bindmethod=simple
513   credentials=secret
514   searchbase="dc=example,dc=com"
515   type=refreshAndPersist
516   retry="3 5 300 5"
517 -
518 add: olcUpdateref
519 olcUpdateref: $URI1
520 -
521
522 dn: olcOverlay={0}ppolicy,olcDatabase={1}$BACKEND,cn=config
523 changetype: modify
524 replace: olcPPolicyForwardUpdates
525 olcPPolicyForwardUpdates: TRUE
526 -
527
528 EOF
529 RC=$?
530 if test $RC != 0 ; then
531         echo "ldapmodify failed ($RC)!"
532         test $KILLSERVERS != no && kill -HUP $KILLPIDS
533         exit $RC
534 fi
535
536 echo "Waiting for consumer to sync..."
537 sleep $SLEEP1
538
539 echo "Testing policy state forwarding..."
540 $LDAPSEARCH -H $URI2 -D "$USER" -w wrongpw >$SEARCHOUT 2>&1
541 RC=$?
542 if test $RC != 49 ; then
543         echo "ldapsearch should have failed with 49, got ($RC)!"
544         test $KILLSERVERS != no && kill -HUP $KILLPIDS
545         exit 1
546 fi
547
548 $LDAPSEARCH -H $URI1 -D "$MANAGERDN" -w $PASSWD -b "$USER" \* \+ >> $SEARCHOUT 2>&1
549 COUNT=`grep "pwdFailureTime" $SEARCHOUT | wc -l`
550 if test $COUNT != 1 ; then
551         echo "Policy state forwarding failed"
552         test $KILLSERVERS != no && kill -HUP $KILLPIDS
553         exit 1
554 fi
555
556 # End of chaining test
557
558 fi
559
560 test $KILLSERVERS != no && kill -HUP $KILLPIDS
561
562 echo ">>>>> Test succeeded"
563
564 test $KILLSERVERS != no && wait
565
566 exit 0