密码过期时用户帐户将被锁定。重置密码时,将对帐户解除锁定。其他用户(如管理员)可以重置密码。重置密码后,目录服务器将对用户帐户解除锁定。目录服务器提供 RFC 3062(LDAP Password Modify Extended Operation)支持。可以使用扩展操作允许目录管理者或目录应用程序通过密码重置对帐户解除锁定。
允许使用密码修改扩展操作时应特别谨慎,如以下过程所示。请仅为您所信任的管理员和应用程序授予访问权限。请勿以明文形式在网络中传送密码。
无法使用 DSCC 执行此任务。请使用命令行,如以下过程所述。
为用户授予对密码管理员或密码管理应用程序的访问权限。
允许密码管理员使用密码修改扩展操作。
以下命令将设置一个 ACI,以允许密码管理员角色的成员在通过 SSL 进行连接时使用密码修改扩展操作:
$ cat exop.ldif dn: oid=1.3.6.1.4.1.4203.1.11.1,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 1.3.6.1.4.1.4203.1.11.1 cn: Password Modify Extended Operation aci: (targetattr != "aci")(version 3.0; acl "Password Modify Extended Operation "; allow( read, search, compare, proxy ) (roledn = " ldap:///cn=Password Managers,dc=example,dc=com" and authmethod = "SSL");) $ ldapmodify -a -D cn=admin,cn=Administrators,cn=config -w - -f exop.ldif Enter bind password: adding new entry oid=1.3.6.1.4.1.4203.1.11.1,cn=features,cn=config $ |
cn=features,cn=config 下的条目允许您管理对特定操作(使用密码修改扩展操作)的访问权限。
让密码管理员重置用户密码。
此步骤将对用户帐户解除锁定,可以使用 ldappasswd(1) 命令完成此步骤。
(可选的)如果用户必须更改密码,请让密码管理员通知用户。
如果管理用户条目的密码策略包含 pwdMustChange: TRUE,则用户必须在重置密码后更改其密码。