Access Manager 提供「密碼重設」服務,可讓使用者重設他們用於存取 Access Manager 所保護的特定服務或應用程式的密碼。「密碼重設」服務屬性由頂層管理員定義,可控制驗證憑證 (以機密提問的形式)、控制新建或現有密碼通知的機制以及設定驗證不正確之使用者的鎖定持續時間。
本章包含下列小節:
使用者所屬範圍不需要註冊密碼重設服務。如果使用者所屬組織中不存在密碼重設服務,它將繼承在 [服務配置] 中為此服務定義的值。
瀏覽至您將為使用者註冊密碼的範圍。
按一下範圍名稱,然後按一下 [服務] 標籤。
若尚未加入範圍,按一下 [新增] 按鈕。
選取 [密碼重設],然後按一下 [下一步]。
將會顯示[密碼重設] 服務屬性。有關屬性定義,請參閱線上說明。
按一下 [完成]。
註冊密碼重設服務後,該服務必須由擁有管理員權限的使用者配置。
選取要註冊 [密碼重設] 服務的範圍。
按一下 [服務] 標籤。
按一下服務清單中的 [密碼重設]。
會顯示密碼重設屬性,可讓您定義 [密碼重設] 服務的需求。確保已啟用密碼重設服務 (預設為啟用)。至少必須定義以下屬性:
使用者驗證
機密提問
連結 DN
連結密碼
[連結 DN] 屬性必須包含擁有重設密碼權限的使用者 (例如說明桌面管理員)。由於 Directory Server 有所限制,因此當連結 DN 為 cn=Directory Manager 時,[密碼重設] 便不起作用。
其餘屬性均為選擇性的。如需服務屬性的描述,請參閱線上說明。
Access Manager 會自動安裝密碼重設 Web 應用程式,以便產生隨機密碼。但是,您可以寫入自己的外掛程式類別,以產生和通知密碼。請參閱位於以下位置的 Readme.html 檔案,以取得這些外掛程式類別的範例。
PasswordGenerator:
AccessManager-base/SUNWam/samples/console/PasswordGenerator |
NotifyPassword:
AccessManager-base/SUNWam/samples/console/NotifyPassword |
如果使用者要定義其唯一的個人提問,則選取 [啟用個人提問] 屬性。定義屬性後,按一下 [儲存]。
密碼重設服務包含鎖定功能,此功能限制使用者正確回答其機密提問前可以嘗試的次數。鎖定功能透過密碼重設服務屬性來配置。如需服務屬性的描述,請參閱線上說明。密碼重設支援兩種類型的鎖定,記憶體鎖定和實體鎖定。
鎖定是暫時的,只有當 [密碼重設失敗鎖定持續時間] 屬性的值大於 0,且 [啟用密碼重設失敗鎖定] 屬性已啟用時時才有效用。該鎖定將防止使用者透過密碼重設 Web 應用程式重設密碼。此鎖定會持續 [密碼重設失敗鎖定持續時間] 中指定的時間,或直到伺服器重新啟動。如需服務屬性的描述,請參閱線上說明。
該鎖定為一種比較永久的鎖定。當 [密碼重設失敗鎖定計數] 屬性的值設為 0,且 [啟用密碼重設失敗鎖定] 屬性已啟用時,若使用者回答機密提問答案錯誤,其使用者帳號狀態會變更為非作用中。如需服務屬性的描述,請參閱線上說明。
以下小節描述使用者使用密碼重設服務的情況。
啟用了密碼重設服務且管理員定義了屬性後,使用者即可登入 Access Manager 主控台,以便自訂其機密提問。
在使用者名稱和密碼成功通過認證後,使用者登入主控台。
在 [使用者設定檔] 頁面中,使用者選取密碼重設選項。系統會顯示 [可用提問回答] 畫面。
系統會為使用者顯示管理員為服務定義的提問,如:
使用者可以選取機密提問,最多不超過管理員為範圍定義的最大問題數 (最大問題數在 [密碼重設服務] 中定義)。然後,使用者提供對所選問題的回答。這些問題與回答為重設使用者密碼的依據 (請參閱下一小節)。如果管理員選取了 [啟用個人提問] 屬性,系統會提供文字欄位,讓使用者輸入特有的機密提問及其回答。
使用者按一下 [儲存]。
如果使用者遺忘密碼,可使用密碼重設網路應用程式隨機產生新密碼,並通知使用者此新密碼。遺忘密碼的典型情形如下:
使用者從管理員為他們提供的 URL 登入到密碼重設網路應用程式。例如:
http://hostname:port /ampassword (預設範圍)
或
http://hostname: port/deploy_uri /UI/PWResetUserValidation?realm=realmname,其中 realmname 是範圍的名稱。
若父系範圍的 [密碼重設] 服務沒有啟用,但其子範圍的啟用了,使用者必須使用以下語法存取服務:
http://hostname: port/deploy_uri/UI/PWResetUserValidation?realm=realmname |
使用者輸入使用者 ID。
系統向使用者顯示在密碼重設服務中定義且在自訂期間被使用者選取的個人提問。如果使用者先前未登入 [使用者設定檔] 頁面且未自訂個人提問,則不會產生密碼。
使用者正確回答提問後,系統會產生新密碼並使用電子郵件將其傳送給該使用者。無論使用者是否正確回答了提問,系統均會將嘗試通知傳送給該使用者。為了接收新密碼和嘗試通知,使用者必須在 [使用者設定檔] 頁面中輸入自己的電子郵件位址。
透過強制以下作業,安全密碼策略可以將密碼被容易猜出的風險降到最低:
使用者必須依據排程變更密碼。
使用者必須提供比較特殊的密碼。
數次輸入錯誤密碼後,系統可能會鎖定帳戶。
Directory Server 提供在樹的任一節點設定密碼策略的多種方法,而且存在多種設定策略的方法。如需詳細資訊,請參閱以下 Directory Server 文件:
http://docs.sun.com/source/816-6700-10/aci.html#14773
http://docs.sun.com/source/816-6698-10/useracct.html#14386