在密码过期时允许宽限验证
此过程介绍如何为用户提供宽限验证,以允许用户更改已过期的密码。
宽限验证应该由处理密码策略请求和响应控制的应用程序进行管理。此过程说明了一个简单示例,即如何在应用程序中使用此类控制。
无法使用 DSCC 执行此任务。请使用命令行,如以下过程所述。
-
确保用户可以访问使用密码策略请求和响应控制的应用程序。
应用程序应确保用户正确处理宽限验证。
-
允许应用程序使用密码策略控制。
以下命令将设置一个 ACI,以允许密码管理员角色的成员使用密码策略控制:
$ cat ctrl.ldif dn: oid=1.3.6.1.4.1.42.2.27.8.5.1,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 1.3.6.1.4.1.42.2.27.8.5.1 cn: Password Policy Controls aci: (targetattr != "aci")(version 3.0; acl "Password Policy Controls "; allow( read, search, compare, proxy ) roledn = " ldap:///cn=Password Managers,dc=example,dc=com";) $ ldapmodify -a -D cn=admin,cn=Administrators,cn=config -w - -f ctrl.ldif Enter bind password: adding new entry oid=1.3.6.1.4.1.42.2.27.8.5.1,cn=features,cn=config $
cn=features,cn=config 下条目的唯一用途就是允许您管理对特定操作(使用密码策略请求和响应控制)的访问权限。
-
将密码策略中的 pwdGraceAuthNLimit 设置为密码过期后允许的验证次数。
-
确保应用程序能指导最终用户在宽限验证失效之前正确更改已过期的密码。
- © 2010, Oracle Corporation and/or its affiliates