5.6. Permettre la réinitialisation du mot de passe dans l'IdM sans demander à l'utilisateur de changer de mot de passe lors de la prochaine connexion
Par défaut, lorsqu'un administrateur réinitialise le mot de passe d'un autre utilisateur, le mot de passe expire après la première connexion réussie. En tant que gestionnaire de l'annuaire IdM, vous pouvez spécifier les privilèges suivants pour les administrateurs IdM individuels :
- Ils peuvent effectuer des opérations de changement de mot de passe sans exiger des utilisateurs qu'ils modifient leur mot de passe lors de leur première connexion.
- Ils peuvent contourner la politique en matière de mots de passe de sorte qu'aucune force ou historique n'est appliquée.
Le contournement de la politique de mot de passe peut constituer une menace pour la sécurité. Faites preuve de prudence lorsque vous sélectionnez les utilisateurs auxquels vous accordez ces privilèges supplémentaires.
Conditions préalables
- Vous connaissez le mot de passe du gestionnaire de répertoire.
Procédure
Sur chaque serveur de gestion des identités (IdM) du domaine, effectuez les modifications suivantes :
Entrez la commande
ldapmodify
pour modifier les entrées LDAP. Indiquez le nom du serveur IdM et le port 389, puis appuyez sur Entrée :$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389 Enter LDAP Password:
- Saisissez le mot de passe du gestionnaire de répertoire.
Saisissez le nom distinctif de l'entrée de synchronisation du mot de passe
ipa_pwd_extop
et appuyez sur Entrée :dn : cn=ipa_pwd_extop,cn=plugins,cn=config
Spécifiez le type de modification
modify
et appuyez sur Entrée :changetype : modify
Indiquez le type de modification que vous souhaitez que LDAP exécute et à quel attribut. Appuyez sur Entrée :
ajouter : passSyncManagersDNs
Spécifiez les comptes d'utilisateurs administratifs dans l'attribut
passSyncManagersDNs
. Cet attribut a plusieurs valeurs. Par exemple, pour accorder à l'utilisateuradmin
les pouvoirs de réinitialisation du mot de passe de Directory Manager :passSyncManagersDNs: \ uid=admin,cn=users,cn=accounts,dc=example,dc=com
- Appuyez deux fois sur Enter pour arrêter la modification de l'entrée.
L'ensemble de la procédure se déroule comme suit :
$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389 Enter LDAP Password: dn: cn=ipa_pwd_extop,cn=plugins,cn=config changetype: modify add: passSyncManagersDNs passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com
L'utilisateur admin
, répertorié sous passSyncManagerDNs
, dispose désormais de privilèges supplémentaires.