test

Sun Java System Access Manager 7.1 管理指南

第 9 章 密碼重設服務

Access Manager 提供「密碼重設」服務,可讓使用者重設他們用於存取 Access Manager 所保護的特定服務或應用程式的密碼。「密碼重設」服務屬性由頂層管理員定義,可控制驗證憑證 (以機密提問的形式)、控制新建或現有密碼通知的機制以及設定驗證不正確之使用者的封鎖持續時間。

本章包含下列小節:

註冊密碼重設服務

使用者所屬範圍不需要註冊密碼重設服務。如果使用者所屬組織中不存在密碼重設服務,它將繼承在 [服務配置] 中為此服務定義的值。

Procedure為不同範圍中的使用者註冊密碼重設

  1. 瀏覽至您將為使用者註冊密碼的範圍。

  2. 按一下範圍名稱,然後按一下 [服務] 標籤。

    若尚未加入範圍,按一下 [新增] 按鈕。

  3. 選取 [密碼重設],然後按 [下一步]。

    將會顯示[密碼重設] 服務屬性。有關屬性定義的描述,請參閱線上說明。

  4. 按一下 [完成]。

配置密碼重設服務

註冊密碼重設服務後,該服務必須由擁有管理員權限的使用者配置。

Procedure若要配置服務

  1. 選取要註冊 [密碼重設] 服務的範圍。

  2. 按一下 [服務] 標籤。

  3. 按一下服務清單中的 [密碼重設]。

  4. 會顯示密碼重設屬性,可讓您定義 [密碼重設] 服務的需求。確保已啟用密碼重設服務 (預設為啟用)。至少必須定義以下屬性:

    • 使用者驗證

      • 機密提問

      • 連結 DN

      • 連結密碼

        [連結 DN] 屬性必須包含擁有重設密碼權限的使用者 (例如說明桌面管理員)。由於 Directory Server 有所限制,因此當連結 DN 為 cn=Directory Manager 時,[密碼重設] 便不起作用。

        其餘屬性均為選擇性的。如需服務屬性的描述,請參閱線上說明。

      備註 –

      Access Manager 會自動安裝密碼重設 Web 應用程式,以便產生隨機密碼。但是,您可以寫入自己的外掛程式類別,以產生和通知密碼。請參閱位於以下位置的 Readme.html 檔案,以取得這些外掛程式類別的範例。

      PasswordGenerator:


      AccessManager-base/SUNWam/samples/console/PasswordGenerator

      NotifyPassword:


      AccessManager-base/SUNWam/samples/console/NotifyPassword

  5. 如果使用者要定義其唯一的個人提問,則選取 [啟用個人提問] 屬性。定義屬性後,按一下 [儲存]。

Procedure本土化機密提問

如果您正在執行 Access Manager 本土化版本,並想以特定於您的語言環境的字元集來顯示機密提問,請執行下列動作:

  1. 在 [密碼重設] 服務中,於 [機密提問] 屬性下的 [目前的值] 清單中,增加機密提問關鍵字。例如,favorite-color

  2. 將這個關鍵字與您想顯示此關鍵字值的問題增加到 amPasswordReset.properties 檔案。例如:

    favorite-color=What is your favorite color?

  3. 將相同的關鍵字與本土化的問題增加至位於 /opt/SUNWam/locale 中的 AMPasswordReset_locale.properties。當使用者嘗試變更他們的密碼時,就會顯示本土化的問題。

密碼重設封鎖

密碼重設服務包含封鎖功能,此功能限制使用者正確回答其機密提問前可以嘗試的次數。封鎖功能透過密碼重設服務屬性來配置。如需服務屬性的描述,請參閱線上說明。密碼重設支援兩種類型的封鎖,記憶體封鎖和實體封鎖。

記憶體封鎖

封鎖是暫時的,只有當 [密碼重設失敗封鎖持續時間] 屬性的值大於 0,且 [啟用密碼重設失敗封鎖] 屬性已啟用時時才有效用。該封鎖將防止使用者透過密碼重設 Web 應用程式重設密碼。此封鎖會持續 [密碼重設失敗封鎖持續時間] 中指定的時間,或直到伺服器重新啟動。如需服務屬性的描述,請參閱線上說明。

實體封鎖

該封鎖為一種比較永久的封鎖。當 [密碼重設失敗封鎖計數] 屬性的值設為 0,且 [啟用密碼重設失敗封鎖] 屬性已啟用時,若使用者回答機密提問答案錯誤,其使用者帳號狀態會變更為非作用中。如需服務屬性的描述,請參閱線上說明。

一般使用者的密碼重設

以下小節描述使用者使用密碼重設服務的情況。

自訂密碼重設

啟用了密碼重設服務且管理員定義了屬性後,使用者即可登入 Access Manager 主控台,以便自訂其機密提問。

Procedure若要自訂密碼重設

  1. 在使用者名稱和密碼成功通過認證後,使用者登入主控台。

  2. 在 [使用者設定檔] 頁面中,使用者選取密碼重設選項。系統會顯示 [可用提問回答] 畫面。

  3. 系統會為使用者顯示管理員為服務定義的提問,如:

    • 您的寵物叫什麼名字?

      • 您最喜愛哪個電視節目?

      • 您母親的婚前姓是什麼?

      • 您最喜歡的飯店是哪家?

  4. 使用者可以選取機密提問,最多不超過管理員為範圍定義的最大問題數 (最大問題數在 [密碼重設服務] 中定義)。然後,使用者提供對所選問題的回答。這些問題與回答為重設使用者密碼的依據 (請參閱下一小節)。如果管理員選取了 [啟用個人提問] 屬性,系統會提供文字欄位,讓使用者輸入特有的機密提問及其回答。

  5. 使用者按一下 [儲存]。

重設遺忘密碼

如果使用者遺忘密碼,可使用密碼重設網路應用程式隨機產生新密碼,並通知使用者此新密碼。遺忘密碼的典型情形如下:

Procedure重設遺忘密碼

  1. 使用者從管理員為他們提供的 URL 登入到密碼重設網路應用程式。例如:

    http://hostname:port/ampassword (適用於預設範圍)

    http://hostname: port/deploy_uri/UI/PWResetUserValidation?realm=realmname,其中 realmname 是範圍的名稱。

    備註 –

    若父系範圍的 [密碼重設] 服務沒有啟用,但其子範圍的啟用了,使用者必須使用以下語法存取服務:


    http://hostname: port/deploy_uri/UI/PWResetUserValidation?realm=realmname

  2. 使用者輸入使用者 ID。

  3. 系統向使用者顯示在密碼重設服務中定義且在自訂期間被使用者選取的個人提問。如果使用者先前未登入 [使用者設定檔] 頁面且未自訂個人提問,則不會產生密碼。

    使用者正確回答提問後,系統會產生新密碼並使用電子郵件將其傳送給該使用者。無論使用者是否正確回答了提問,系統均會將嘗試通知傳送給該使用者。為了接收新密碼和嘗試通知,使用者必須在 [使用者設定檔] 頁面中輸入自己的電子郵件位址。

密碼策略

密碼策略是一組規則,用來規範密碼在指定目錄中的使用方式。密碼策略通常透過 Directory Server 主控台定義在 Directory Server 之中。透過強制以下作業,安全密碼策略可以將密碼被容易猜出的風險降到最低:

Directory Server 提供在樹的任一節點設定密碼策略的多種方法,而且存在多種設定策略的方法。如需詳細資訊,請參閱

「Directory Server Enterprise Edition 6.0 管理指南」中的「Directory Server 密碼策略」。

備註 –

在 Directory Server 中,密碼策略包含屬性 passwordExp,用於定義使用者密碼是否會在指定的秒數後過期。如果管理員將 passwordExp 屬性設定為 on,則會設定使用者密碼的過期以及設定 Access Manager 管理帳號 (例如 amldapdsamepuser) 的過期。當 Access Manager 管理員的帳號密碼過期,而一般使用者已登入,則該使用者會看見密碼變更螢幕。但是,Access Manager 不會指定密碼變更螢幕所屬的使用者。在此情況下,此螢幕是專供管理員使用,一般使用者無法變更密碼。

若要解決此問題,管理員必須登入 Directory Server 並變更 amldapdsamepuser 的密碼,或將 passwordExpirationTime 屬性改為未來的某個時間。