19.4. パスワード有効期限の制限の管理
パスワードポリシーはパスワードが変更されたときに適用されます。したがって、パスワードを設定すると、その時点で有効なパスワードポリシーに準拠します。パスワードポリシーが後で変更されると、その変更はパスワードに適用されず、パスワードに遡って適用されません。
パスワードの有効期限の設定は、グループパスワードポリシーの一部として設定されます。パスワードポリシーの作成および編集 (ポリシーの expiration 属性を含む) は、「パスワードポリシーの作成および編集」で説明されます。
パスワードの有効期限では、関連する属性が 2 つあります。
- パスワードポリシー (
--maxlife
) で指定される最大有効期間設定 - 指定のユーザーのパスワードが期限切れになる実際の日付 (
krbPasswordExpiration
)
パスワードポリシーでパスワードの有効期限を変更しても、ユーザーパスワードが変更されるまで、ユーザーの有効期限は影響を受けません。パスワードの有効期限をすぐに変更する必要がある場合は、ユーザーエントリーを編集して変更できます。
有効期限を強制的に変更するには、ユーザーの
krbPasswordExpiration
属性値をリセットします。これは、ldapmodify を使用してのみ実行できます。単一ユーザーの場合、以下のようにします。
[bjensen@ipaserver ~]$ ldapmodify -D "cn=Directory Manager" -w secret -h ipaserver.example.com -p 389 -vv dn: uid=jsmith,cn=users,cn=accounts,dc=example,dc=com changetype: modify replace: krbpasswordexpiration krbpasswordexpiration: 20140202203734Z -
-f
オプションで LDIF ファイルを ldamodify コマンドで参照して、複数のエントリーを同時に編集できます。
ヒント
管理者がパスワードをリセットすると、以前のパスワードは期限切れになり、ユーザーはパスワードを強制的に更新します。ユーザーがパスワードを更新すると、新しい有効期限を含む新しいパスワードポリシーが自動的に使用されます。