应用哪个密码策略

目录服务器允许您配置多个密码策略。本部分介绍默认密码策略和专用密码策略。本部分还介绍当多个密码策略可应用于给定帐户时应执行哪个策略。

首次创建目录服务器实例时，该实例有一个默认密码策略。默认密码策略在配置条目 cn=PasswordPolicy,cn=config 中表示。默认密码策略将应用于目录中除目录管理员之外的所有帐户。

与所有目录服务器密码策略一样，cn=PasswordPolicy,cn=config 包含对象类 pwdPolicy(5dsoc) 和对象类 sunPwdPolicy(5dsoc)。

创建目录服务器实例时，密码策略属性仍处于 Directory Server 5 兼容模式，以便从早期版本进行升级。在 Directory Server 5 兼容模式下，目录服务器还会处理具有对象类 passwordPolicy(5dsoc) 的密码策略条目。

在升级完成后，可以在完整功能模式下使用新的密码策略，如《Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide》中所述。管理上的变化对目录应用程序没有任何影响。

本章介绍使用新密码策略功能的密码策略配置。

可以更改默认密码策略以覆盖默认设置。可以使用 dsconf(1M) 命令设置默认密码策略的服务器属性。通常，此类服务器属性的名称都以 pwd- 前缀开头。更改此类属性的设置时，将覆盖实例的默认密码策略。但是，复制操作不会复制对副本所做的更改。对默认密码策略所做的更改是实例配置的一部分，而不是目录数据的一部分。

除了配置默认密码策略以外，还可以配置专用密码策略。专用密码策略是由目录树中的条目定义的。专用密码策略条目与默认密码策略具有相同的对象类 pwdPolicy(5dsoc)，因此将使用相同的策略属性。由于专用密码策略是常规的目录条目，因此策略条目的复制方式与常规目录条目的复制方式相同。

用户条目可通过操作属性 pwdPolicySubentry(5dsat) 的值来引用专用密码策略。用户条目引用专用密码策略时，该专用密码策略将覆盖实例的默认密码策略。在许多部署中，您需要指定用户角色。通过设置 pwdPolicySubentry 值，可以将角色配置为与服务类 (Class of Service, CoS) 一起使用，以确定应用于用户帐户的密码策略。要覆盖由角色设置的密码策略，请直接在该用户的条目上更改 pwdPolicySubentry 值。

下面对本部分内容进行一下总结：最初将应用默认密码策略。 您可以更改默认密码策略以覆盖默认值。然后，您可以创建专用密码策略条目以覆盖默认密码策略。使用角色和 CoS 指定密码策略时，可以通过为单个条目指定密码策略来覆盖 CoS 指定的策略。