可以使用与创建和修改其他目录条目相同的方式来创建和修改专用密码策略。以下过程说明如何使用文本编辑器在 LDIF 中编写密码策略条目。接下来,可以在 ldapmodify 命令中使用 -a 选项将该密码策略条目添加到目录。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
如果没有特殊说明,此处显示的示例数据均来自 Example.ldif。
完成要创建的策略的密码策略工作单。
用于定义密码策略的工作单中提供了样例。
根据工作单,在 LDIF 中编写密码策略条目。
例如,以下策略条目将为 Example.com 的临时员工指定密码策略,Example.com 的子树根为 dc=example,dc=com:
dn: cn=TempPolicy,dc=example,dc=com objectClass: top objectClass: pwdPolicy objectClass: sunPwdPolicy objectClass: LDAPsubentry cn: TempPolicy pwdAttribute: userPassword pwdCheckQuality: 2 pwdLockout: TRUE pwdLockoutDuration: 300 pwdMaxFailure: 3 pwdMustChange: TRUE
除了默认密码策略设置之外,此处显示的策略还指定其他行为。系统将执行密码质量检查。连续出现三次失败绑定之后,帐户将被锁定五分钟(300 秒)。重置密码后必须更改密码。为用户帐户指定策略后,此处明确指定的设置将覆盖默认密码策略。
将密码策略条目添加到目录。
例如,以下命令将为 dc=example,dc=com 下的 Example.com 临时员工添加密码策略。该密码策略已保存到名为 pwp.ldif 的文件中。
$ ldapmodify -a -D uid=kvaughan,ou=people,dc=example,dc=com -w - -f pwp.ldif Enter bind password: adding new entry cn=TempPolicy,dc=example,dc=com $ ldapsearch -D uid=kvaughan,ou=people,dc=example,dc=com -w --b dc=example,dc=com \ "(&(objectclass=ldapsubentry)(cn=temppolicy))" Enter bind password: version: 1 dn: cn=TempPolicy,dc=example,dc=com objectClass: top objectClass: pwdPolicy objectClass: LDAPsubentry cn: TempPolicy pwdCheckQuality: 2 pwdLockout: TRUE pwdLockoutDuration: 300 pwdMaxFailure: 3 pwdMustChange: TRUE $ |
如 Example.ldif 中所示,kvaughan 是具有 dc=example,dc=com 条目修改权限的人力资源经理。Vaughan 的绑定密码(如 Example.ldif 中所示)为 bribery。
要指定您所定义的策略将要管理的用户帐户,请参见为单个帐户指定密码策略或使用角色和 CoS 指定密码策略。