test

Sun Java System Access Manager 7.1 管理指南

第 9 章 密码重置服务

Access Manager 提供的“密码重置”服务允许用户重新设置用于访问给定服务或受 Access Manager 保护的应用程序的密码。顶级管理员定义的“密码重置”服务属性控制了用户验证证书(以密码提示问题的形式),还控制了新的或现有密码通知的机制,以及为不正确用户验证设置可能的锁定间隔。

本章包括以下内容:

注册密码重置服务

用户所在领域无需注册“密码重置”服务。如果用户所在组织中不存在“密码重置”服务,它将继承为“服务配置”中的服务定义的值。

Procedure为不同领域中的用户注册密码重置

  1. 找到要为用户注册密码的领域。

  2. 单击领域名称,然后单击“服务”选项卡。

    如果尚未将其添加到领域,请单击“添加”按钮。

  3. 选择“密码重置”,然后单击“下一步”

    将显示“密码重置”服务属性。有关属性定义的信息,参见联机帮助。

  4. 单击“完成”。

配置密码重置服务

注册“密码重置”服务之后,必须由拥有管理员权限的用户配置该服务。

Procedure配置服务

  1. 选择已注册“密码重置”服务的领域。

  2. 单击“服务”选项卡。

  3. 单击服务列表中的“密码重置”。

  4. 出现“密码重置”属性,它允许定义“密码重置”服务的要求。确保启用“密码重置”服务(默认情况下)。必须至少定义以下属性:

    • 用户验证

      • 保密问题

      • 绑定 DN

      • 绑定密码

        “绑定 DN”属性必须包含拥有重置密码权限的用户(例如,帮助台管理员)。由于 Directory Server 中存在限制,因此当绑定 DN 为 cn=Directory Manager 时,“密码重置”将不生效。

        剩余属性则为可选。有关服务属性的说明,参见联机帮助。

      注 –

      Access Manager 将自动安装可随机生成密码的“密码重置”Web 应用程序。 但是,您也可写入自己的密码生成和密码通知插件类。有关这些插件类的范例,参见位于以下位置的 Readme.html 文件。

      PasswordGenerator:


      AccessManager-base/SUNWam/samples/console/PasswordGenerator

      NotifyPassword:


      AccessManager-base/SUNWam/samples/console/NotifyPassword

  5. 如果用户要定义他/她的唯一个人问题,则选择“已启用个人问题”属性。定义属性后,单击“保存”。

Procedure本地化密码提示问题

如果运行的是 Access Manager 的本地化版本并希望以特定于语言环境的字符集来显示密码提示问题,则执行以下操作:

  1. 向“密码重置”服务中“保密的问题”属性下的“当前值”列表添加密码提示问题关键字。例如,favorite-color

  2. amPasswordReset.properties 文件添加关键字,并附带要显示该关键字值的问题。例如:

    favorite-color=What is your favorite color?

  3. 将带本地化问题的相同关键字添加到位于 /opt/SUNWam/locale 内的 AMPasswordReset_locale.properties 中。当用户尝试更改其密码时,将显示本地化问题。

密码重置锁定

“密码重置”服务包含锁定功能,该功能限制了用户尝试正确回答其密码提示问题的次数。锁定功能是通过“密码重置”服务属性来配置的。有关服务属性的说明,参见联机帮助。“密码重置”支持两种类型的锁定:内存锁定和物理锁定。

内存锁定

这是一种临时锁定,仅当“密码重置失败锁定时间”属性中的值大于零且启用了“启用密码重置失败锁定”属性时才有效。该锁定将阻止用户通过“密码重置”Web 应用程序重置他们的密码。该锁定将持续到“密码重置失败锁定时间”中指定的时间,或是重新启动服务器前。有关服务属性的说明,参见联机帮助。

物理锁定

这是一种更为永久性的锁定。如果将“密码重置失败锁定计数”属性中的值设置为 0 且启用了“启用密码重置失败锁定”属性,则当用户未能正确回答密码提示问题时,其用户帐户的状态将变为不活动。有关服务属性的说明,参见联机帮助。

最终用户的密码重置

以下几节介绍“密码重置”服务的用户体验。

自定义密码重置

一旦启用了“密码重置”服务并且管理员定义了属性,用户便可登录到 Access Manager 控制台自定义他们的密码提示问题。

Procedure自定义密码重置

  1. 用户登录到 Access Manager 控制台,假设“用户名”和“密码”已验证成功。

  2. 在“用户概要文件”页面上,用户选择“密码重置”选项。此时将显示“可用问题答案”屏幕。

  3. 用户可看到管理员为服务定义的可用问题,如:

    • 您的宠物名称?

      • 您喜欢哪个电视节目?

      • 您母亲的娘家姓?

      • 您喜欢哪家餐馆?

  4. 用户选择密码提示问题,最多可选择管理员为领域定义问题的最大数目(“密码重置服务”定义的最大量)。然后,用户提供所选问题的答案。这些问题和答案会成为重置用户密码的依据(参见下一节)。如果管理员选择了“已启用个人问题”属性,则提供的文本字段将允许用户输入唯一密码提示问题并提供其答案。

  5. 用户单击“保存”。

重置忘记密码

如果用户忘记他们的密码,Access Manager 将使用“密码重置”Web 应用程序来随机生成新密码并将其告知用户。忘记密码的典型方案如下:

Procedure重置忘记密码

  1. 用户通过管理员赋予他们的 URL 登录到“密码重置”Web 应用程序。例如:

    http://hostname:port /ampassword(适用于默认领域)

    http://hostname: port/deploy_uri /UI/PWResetUserValidation?realm=realmname, 其中 realmname 为领域名称。

    注 –

    如果没有为父领域但为子领域启用了“密码重置”服务,则用户必须使用以下语法访问服务:


    http://hostname: port/deploy_uri/UI/PWResetUserValidation?realm=realmname

  2. 用户输入用户 ID。

  3. 用户将看到在“密码重置”服务中定义以及自定义期间由用户选择的个人问题。如果用户先前没有登录到“用户概要文件”页面且未自定义个人问题,将不会生成密码。

    一旦用户正确回答了问题,便会生成新密码并通过电子邮件发送给用户。无论用户是否正确回答了问题都将为用户发送尝试通知。为确保接收到新密码和尝试通知,用户必须在“用户概要文件”页面上输入他们的电子邮件地址。

密码策略

密码策略是一组规则,用于管理密码在给定目录中的使用方式。通常通过 Directory Server 控制台在 Directory Server 中定义密码策略。安全密码策略可通过执行以下操作将与易被猜中密码相关的风险降至最低:

Directory Server 提供了多种在树中的任意节点设置密码策略的方式,此外还有多种策略设置方式。 有关详细信息,参阅

Directory Server Enterprise Edition 6.0 管理指南中的“Directory Server 密码策略”。

注 –

在 Directory Server 中,密码策略包含属性 passwordExp,该属性定义了用户密码在给定秒数后是否会过期。如果管理员将 passwordExp 属性设置为 on,这将设置最终用户密码的失效期以及 Access Manager 管理帐户(例如 amldapdsamepuser)的失效期。当 Access Manager 管理员的帐户密码到期并且有最终用户登录时,该用户将收到密码更改屏幕。但是,Access Manager 不会指定密码更改屏幕属于哪个用户。在这种情况下,屏幕供管理员使用,而最终用户将无法更改密码。

要解决这一问题,管理员必须登录到 Directory Server 中并更改 amldapdsamepuser 的密码,或将 passwordExpirationTime 属性更改为将来的某个时间。