套用的密碼策略

目錄伺服器可讓您配置多個密碼策略。本節說明預設密碼策略與專用密碼策略。本節亦會說明當多個密碼策略可套用到指定的帳號時，將強制執行的策略。

第一次建立目錄伺服器實例時，該實例會有預設密碼策略。預設密碼策略會顯示在配置項目 cn=PasswordPolicy,cn=config 中。預設密碼策略會套用到目錄中除目錄管理員以外的所有帳號。

如同在所有目錄伺服器密碼策略中一般，cn=PasswordPolicy,cn=config 具有物件類別 pwdPolicy(5dsoc)。

建立目錄伺服器實例時，密碼策略屬性會保留在 Directory Server 5 相容模式中，以從舊版本升級。在 Directory Server 5 相容模式中，目錄伺服器也會處理具有物件類別 passwordPolicy(5dsoc) 的密碼策略項目。

升級完成後，可以如「Sun Java System Directory Server Enterprise Edition 6.0 Migration Guide」中所述，以完整功能模式使用新密碼策略。目錄應用程式不會感覺到管理動作的進行。

本章包含使用新密碼策略功能的密碼策略配置。

您可以變更預設密碼策略以覆寫預設設定。您可以使用 dsconf(1M) 指令設定預設密碼策略的伺服器特性。這類伺服器特性名稱一般會以 pwd- 前綴為開頭。變更這類特性的設定時，會覆寫該實例的預設密碼策略。但是，複寫不會複製對複本所做的變更。對預設密碼策略所做的變更是實例配置的一部分，而不是目錄資料的一部分。

除了配置預設密碼策略之外，您還可以配置專用密碼策略。專用密碼策略會由目錄樹狀結構中的項目所定義。專用密碼策略項目會有與預設密碼策略相同的物件類別 pwdPolicy(5dsoc)，因此會有相同的策略屬性。由於專用密碼策略為標準目錄項目，策略項目會以標準目錄項目相同的方式進行複寫。

使用者項目透過作業屬性 pwdPolicySubentry(5dsat) 的值參照專用密碼策略。使用者項目參照專用密碼策略時，該策略會覆寫實例的預設密碼策略。在許多部署中，您需要指定使用者角色。您可以設定 pwdPolicySubentry 值配置角色與服務類別 (CoS) 搭配使用，以決定套用到使用者帳號的密碼策略。若要覆寫某個角色所設定的密碼策略，請直接變更使用者項目上的 pwdPolicySubentry 值。

總結本節，一開始會套用預設密碼策略。您可以變更預設密碼策略以覆寫預設值。接著，您可以建立專用密碼策略項目以覆寫預設密碼策略。以角色與 CoS 指定密碼策略時，可以指定個別項目的密碼策略以覆寫 CoS 指定的策略。