本程序說明如何提供使用者寬限認證,讓使用者可以變更過期的密碼。
寬限認證會由處理密碼策略請求與回應控制的應用程式所管理。本程序顯示如何在應用程式中使用控制項的簡單範例。
無法使用 DSCC 執行此作業。請依照此程序中的說明使用指令行。
請確定使用者具有使用密碼策略請求與回應控制的應用程式之存取權。
該應用程式應確保使用者可適當地處理寬限認證。
允許應用程式使用密碼策略控制。
下列指令設定 ACI 可允許 Password Managers 角色成員使用密碼策略控制:
$ cat ctrl.ldif dn: oid=1.3.6.1.4.1.42.2.27.8.5.1,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 1.3.6.1.4.1.42.2.27.8.5.1 cn: Password Policy Controls aci: (targetattr != "aci")(version 3.0; acl "Password Policy Controls "; allow( read, search, compare, proxy ) roledn = " ldap:///cn=Password Managers,dc=example,dc=com";) $ ldapmodify -a -D cn=admin,cn=Administrators,cn=config -w - -f ctrl.ldif Enter bind password: adding new entry oid=1.3.6.1.4.1.42.2.27.8.5.1,cn=features,cn=config $ |
cn=features,cn=config 下的項目之唯一目的,是讓您管理使用密碼策略請求與回應控制的作業之存取權。
將密碼策略中的 pwdGraceAuthNLimit 設為密碼過期後可允許的認證數目。
請確定應用程式會引導一般使用者在寬限認證無效之前,及時變更過期的密碼。