En los viejos tiempos cuando usábamos el shadow y tdbsam, era relativamente fácil controlar si los usuarios habían puesto claves demasiado débiles. Bastaba con ejecutar john the ripper (john) y él se encargaba de encontrar el fichero de passwords y empezar a crackearlas.
Con la proliferación del sistema SAMBA + LDAP y su habitual hash SSHA, es algo menos inmediato pero he encontrado este enlace de gran utilidad
http://people.binf.ku.dk/~hanne/blog/?postid=37
El único incoveniente es que hay que bajarse una versión de john no oficial. Por tanto no está de más ejecutarlo en una máquina virtual en vez de sobre el propio servidor LDAP.
Suelo utilizar john para controlar claves demasiado obvias, las cuales suelen ser descubiertas en cuestión de minutos. Son especialmente preocupantes los nombres de usuario que prueban los script kiddies (los que coinciden con nombres en inglés como David, Daniel…) puesto que son los que más se suelen escanear. Estos usuarios deben tener especial cuidado con que su clave no sea demasiado obvia. Una buena contramedida es evitar estos nombres de usuario en un sistema al que se pueda acceder con contraseña desde toda Internet.
También podemos ponernos el parche antes de que llegue la herida obligando a SAMBA a chequear la password con cracklib para comprobar si tiene la calidad requerida.