當密碼策略強制執行密碼過期時,部分使用者將無法及時變更密碼。本節顯示如何變更過期的密碼。
目錄伺服器會在每次項目上的密碼有所修改時,更新作業屬性 pwdChangedTime(5dsat)。因此,若要啟用密碼過期,已超過期限的使用者密碼將在您啟用密碼過期時立即過期。若您覺得此運作方式不合用,請使用警告與寬限登入。
本節包含使用密碼修改延伸作業以重設密碼,以及在密碼過期時允許寬限認證的程序。
本節所述的機制旨在供管理員使用,或供處理實際使用者與目錄互動的應用程式使用。您通常會信任應用程式會確認一般使用者使用機制的方式實際上與您所要的方式相同。
使用者帳號會在密碼過期時鎖定。重設密碼時會解除鎖定帳號。管理員等其他使用者可以重設密碼。重設密碼之後,目錄伺服器會解除鎖定使用者帳號。目錄伺服器支援 RFC 3062「LDAP Password Modify Extended Operation」。延伸作業可讓您允許目錄伺服器管理員或目錄應用程式,透過密碼重設以解除鎖定帳號。
如本程序中所示,允許使用密碼修改延伸作業時請小心。請將存取權僅授予所信任的管理員與應用程式。請勿以純文字格式在網路上傳遞密碼。
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
授予使用者密碼管理員或密碼管理應用程式的存取權。
允許密碼管理員存取並使用密碼修改延伸作業。
下列指令設定 ACI 允許 Password Managers 角色成員在 SSL 連線上使用密碼修改延伸作業:
$ cat exop.ldif dn: oid=1.3.6.1.4.1.4203.1.11.1,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 1.3.6.1.4.1.4203.1.11.1 cn: Password Modify Extended Operation aci: (targetattr != "aci")(version 3.0; acl "Password Modify Extended Operation "; allow( read, search, compare, proxy ) (roledn = " ldap:///cn=Password Managers,dc=example,dc=com" and authmethod = "SSL");) $ ldapmodify -a -D cn=admin,cn=Administrators,cn=config -w - -f exop.ldif Enter bind password: adding new entry oid=1.3.6.1.4.1.4203.1.11.1,cn=features,cn=config $ |
cn=features,cn=config 下的項目可讓您管理對於使用密碼修改延伸作業的存取權。
讓密碼管理員重設使用者密碼。
此步驟會解除鎖定使用者帳號,且可以使用 ldappasswd(1) 指令完成。
(可選擇) 如果使用者必須變更密碼,請讓密碼管理員通知使用者。
如果決定使用者項目的密碼策略包含 pwdMustChange: TRUE,使用者必須在重設密碼之後變更密碼。
本程序說明如何提供使用者寬限認證,讓使用者可以變更過期的密碼。
寬限認證會由處理密碼策略請求與回應控制的應用程式所管理。本程序顯示如何在應用程式中使用控制項的簡單範例。
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
請確定使用者具有使用密碼策略請求與回應控制的應用程式之存取權。
該應用程式應確保使用者可適當地處理寬限認證。
允許應用程式使用密碼策略控制。
下列指令設定 ACI 可允許 Password Managers 角色成員使用密碼策略控制:
$ cat ctrl.ldif dn: oid=1.3.6.1.4.1.42.2.27.8.5.1,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 1.3.6.1.4.1.42.2.27.8.5.1 cn: Password Policy Controls aci: (targetattr != "aci")(version 3.0; acl "Password Policy Controls "; allow( read, search, compare, proxy ) roledn = " ldap:///cn=Password Managers,dc=example,dc=com";) $ ldapmodify -a -D cn=admin,cn=Administrators,cn=config -w - -f ctrl.ldif Enter bind password: adding new entry oid=1.3.6.1.4.1.42.2.27.8.5.1,cn=features,cn=config $ |
cn=features,cn=config 下的項目之唯一目的,是讓您管理使用密碼策略請求與回應控制的作業之存取權。
將密碼策略中的 pwdGraceAuthNLimit 設為密碼過期後可允許的認證數目。
請確定應用程式會引導一般使用者在寬限認證無效之前,及時變更過期的密碼。