管理默认密码策略

默认密码策略将应用于目录实例中未定义专用策略的所有用户。但是，默认密码策略不会应用于目录管理员。有关策略范围的详细信息，请参见应用哪个密码策略。

默认密码策略是可以使用 dsconf 命令进行配置的策略。还可以通过读取 cn=Password Policy,cn=config 查看默认密码策略。

本部分显示了每个策略范围的策略属性以及相关的 dsconf 服务器属性。此外，还介绍了如何查看和更改默认密码策略设置。

密码策略属性和 dsconf 服务器属性之间的关联

下表显示了每个密码策略范围的密码策略属性和相关的 dsconf 服务器属性。

与 pwdCheckQuality 相关的属性可用于配置密码检查插件。因此，这五种属性适用于整个服务器实例，从而也适用于包含 pwdCheckQuality: 2 的其他密码策略。

查看默认密码策略设置

可以使用 dsconf 命令查看默认密码策略设置。

可使用 DSCC 执行此任务。有关信息，请参见目录服务控制中心界面和 DSCC 联机帮助。

1. 读取默认密码策略配置。

   $ dsconf get-server-prop -h host -p port -v -i \ -w password-file | grep ^pwd-

   password-file 包含目录管理员的密码。

   pwd-accept-hashed-pwd-enabled : N/A pwd-check-enabled : off pwd-compat-mode : DS5-compatible-mode pwd-expire-no-warning-enabled : on pwd-expire-warning-delay : 1d pwd-failure-count-interval : 10m pwd-grace-login-limit : disabled pwd-keep-last-auth-time-enabled : off pwd-lockout-duration : 1h pwd-lockout-enabled : off pwd-lockout-repl-priority-enabled : on pwd-max-age : disabled pwd-max-failure-count : 3 pwd-max-history-count : disabled pwd-min-age : disabled pwd-min-length : 6 pwd-mod-gen-length : 6 pwd-must-change-enabled : off pwd-root-dn-bypass-enabled : off pwd-safe-modify-enabled : off pwd-storage-scheme : SSHA pwd-strong-check-dictionary-path : /local/ds6/plugins/words-english-big.txt pwd-strong-check-enabled : off pwd-strong-check-require-charset : lower pwd-strong-check-require-charset : upper pwd-strong-check-require-charset : digit pwd-strong-check-require-charset : special pwd-supported-storage-scheme : CRYPT pwd-supported-storage-scheme : SHA pwd-supported-storage-scheme : SSHA pwd-supported-storage-scheme : NS-MTA-MD5 pwd-supported-storage-scheme : CLEAR pwd-user-change-enabled : on

更改默认密码策略设置

可以通过使用 dsconf 命令设置服务器属性来更改默认密码策略。

在完成此过程之前，请阅读并完成用于定义密码策略的工作单。

可使用 DSCC 执行此任务。有关信息，请参见目录服务控制中心界面和 DSCC 联机帮助。

1. 将工作单中的设置转换为 dsconf 命令属性设置。

2. 使用 dsconf set-server-prop 命令适当地更改默认密码策略属性。

   例如，以下命令允许目录管理员在修改密码时违反默认策略：

   $ dsconf set-server-prop -h host -p port pwd-root-dn-bypass-enabled:on