test

Sun Java System Access Manager 7 2005Q4 管理指南

第 12 章 密码重置服务

Access Manager 提供的“密码重置”服务允许用户重新设置用于访问给定服务或受 Access Manager 保护的应用程序的密码。顶级管理员定义的“密码重置”服务属性控制了用户验证证书(以密码提示问题的形式),还控制了新的或现有密码通知的机制,以及为不正确用户验证设置可能的封锁间隔。

本章包括以下内容:

注册密码重置服务

用户所在领域无需注册“密码重置”服务。如果用户所在组织中不存在“密码重置”服务,它将继承为“服务配置”中的服务定义的值。

Procedure为不同领域中的用户注册密码重置

步骤

  1. 找到要为用户注册密码的领域。

  2. 单击领域名称,然后单击“服务”选项卡。

    如果尚未将其添加到领域,请单击“添加”按钮。

  3. 选择“密码重置”,然后单击“下一步”

    将显示“密码重置”服务属性。有关属性定义的信息,请参阅联机帮助。

  4. 单击“完成”。

配置密码重置服务

注册“密码重置”服务之后,必须由拥有管理员权限的用户配置该服务。

Procedure配置服务

步骤

  1. 选择已注册“密码重置”服务的领域。

  2. 单击“服务”选项卡。

  3. 单击服务列表中的“密码重置”。

  4. 出现“密码重置”属性,它允许定义“密码重置”服务的要求。确保启用“密码重置”服务(默认情况下)。必须至少定义以下属性:

    • 用户验证

      • 密码提示问题

      • 绑定 DN

      • 绑定密码

        “绑定 DN”属性必须包含拥有重置密码权限的用户(例如,帮助台管理员)。由于 Directory Server 中存在限制,因此当绑定 DN 为 cn=Directory Manager 时,“密码重置”将不生效。

        剩余属性则为可选。有关服务属性的说明,请参阅联机帮助。

      注 –

      Access Manager 将自动安装可随机生成密码的“密码重置”Web 应用程序。 但是,您也可写入自己的密码生成和密码通知插件类。有关这些插件类的范例,请参阅位于以下位置的 Readme.html 文件。

      PasswordGenerator:


      AccessManager-base/SUNWam/samples/console/PasswordGenerator

      NotifyPassword:


      AccessManager-base/SUNWam/samples/console/NotifyPassword

  5. 如果用户要定义他/她的唯一个人问题,则选择“已启用个人问题”属性。定义属性后,单击“保存”。

密码重置封锁

“密码重置”服务包含封锁功能,该功能限制了用户尝试正确回答其密码提示问题的次数。封锁功能是通过“密码重置”服务属性来配置的。有关服务属性的说明,请参阅联机帮助。“密码重置”支持两种类型的封锁:内存封锁和物理封锁。

内存封锁

这是一种临时封锁,仅当“密码重置失败封锁时间”属性中的值大于零且启用了“启用密码重置失败封锁”属性时才有效。该封锁将阻止用户通过“密码重置”Web 应用程序重置他们的密码。该封锁将持续到“密码重置失败封锁时间”中指定的时间,或是重新启动服务器前。有关服务属性的说明,请参阅联机帮助。

物理封锁

这是一种更为永久性的封锁。如果将“密码重置失败封锁计数”属性中的值设置为 0 且启用了“启用密码重置失败封锁”属性,则当用户未能正确回答密码提示问题时,其用户帐户的状态将变为不活动。有关服务属性的说明,请参阅联机帮助。

最终用户的密码重置

以下几节介绍“密码重置”服务的用户体验。

自定义密码重置

一旦启用了“密码重置”服务并且管理员定义了属性,用户便可登录到 Access Manager 控制台自定义他们的密码提示问题。

Procedure自定义密码重置

步骤

  1. 用户登录到 Access Manager 控制台,假设“用户名”和“密码”已验证成功。

  2. 在“用户概要文件”页面上,用户选择“密码重置”选项。此时将显示“可用问题答案”屏幕。

  3. 用户可看到管理员为服务定义的可用问题,如:

    • 您的宠物名称?

      • 您喜欢哪个电视节目?

      • 您母亲的娘家姓?

      • 您喜欢哪家餐馆?

  4. 用户选择密码提示问题,最多可选择管理员为领域定义问题的最大数目(“密码重置服务”定义的最大量)。然后,用户提供所选问题的答案。这些问题和答案会成为重置用户密码的基础(请参阅下一节)。如果管理员选择了“已启用个人问题”属性,则提供的文本字段将允许用户输入唯一密码提示问题并提供其答案。

  5. 用户单击“保存”。

重置忘记密码

如果用户忘记他们的密码,Access Manager 将使用“密码重置”Web 应用程序来随机生成新密码并将其告知用户。忘记密码的典型方案如下:

Procedure重置忘记密码

步骤

  1. 用户通过管理员赋予他们的 URL 登录到“密码重置”Web 应用程序。例如:

    http://hostname:port /ampassword(适用于默认领域)

    http://hostname: port/deploy_uri /UI/PWResetUserValidation?realm=realmname, 其中 realmname 为领域名称。

    注 –

    如果没有为父领域但为子领域启用了“密码重置”服务,则用户必须使用以下语法访问服务:


    http://hostname: port/deploy_uri/UI/PWResetUserValidation?realm=realmname

  2. 用户输入用户 ID。

  3. 用户将看到在“密码重置”服务中定义以及自定义期间由用户选择的个人问题。如果用户先前没有登录到“用户概要文件”页面且未自定义个人问题,将不会生成密码。

    一旦用户正确回答了问题,便会生成新密码并通过电子邮件发送给用户。无论用户是否正确回答了问题都将为用户发送尝试通知。为确保接收到新密码和尝试通知,用户必须在“用户概要文件”页面上输入他们的电子邮件地址。

密码策略

安全密码策略可通过执行以下操作将与易被猜中密码相关的风险降至最低:

Directory Server 提供了多种在树中的任意节点设置密码策略的方式,此外还有多种策略设置方式。 有关详细信息,请参阅以下 Directory Server 文档:

http://docs.sun.com/source/816-6700-10/aci.html#14773

http://docs.sun.com/source/816-6698-10/useracct.html#14386