Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

3.7. パスワード管理者権限の割り当て

Directory Manager は、パスワード管理者 ロールをユーザーまたはグループに割り当てることができます。パスワード管理者は適切なパーミッションを持つアクセス制御命令 (ACI) を必要とするため、単一の ACI セットですべてのパスワード管理者を管理できるようにグループを設定することを推奨します。

パスワード管理者ロールを使用すると、次のシナリオで役立ちます。

  • 次回のログイン時にパスワードの変更をユーザーに強制する属性を設定する
  • ユーザーのパスワードを、パスワードポリシーで定義されている別のストレージスキームに変更する
重要

パスワード管理者は、すべてのユーザーパスワード操作を実行できます。パスワード管理者アカウントまたは Directory Manager (root DN) を使用してパスワードを設定すると、パスワードポリシーは回避され、検証されません。これらのアカウントは、通常のユーザーパスワードの管理には使用しないでください。Red Hat は、userPassword 属性のみを更新する権限を持つデータベース内の既存のロールで通常のパスワード更新を実行することを推奨します。

注記

新しい passwordAdminSkipInfoUpdate: on/off 設定を cn=config エントリーに追加すると、パスワード管理者が実行するパスワード更新をきめ細かく制御できます。この設定を有効にすると、パスワードの更新では、passwordHistorypasswordExpirationTimepasswordRetryCountpwdReset、および passwordExpWarned などの特定の属性は更新されません。

3.7.1. グローバルポリシーでのパスワード管理者権限の割り当て
リンクのコピー

グローバルポリシーでは、パスワード管理者ロールをユーザーまたはユーザーグループに割り当てることができます。Red Hat では、単一のアクセス制御命令 (ACI) セットですべてのパスワード管理者を管理できるようにグループを設定することを推奨します。

前提条件

  • パスワード管理者ロールを割り当てるすべてのユーザーを含む、password_admins という名前のグループを作成した。

手順

  1. パスワード管理者ロールの権限を定義する ACI を作成します。 

    # ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x << EOF
dn: ou=people,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="userPassword || nsAccountLock || userCertificate || nsSshPublicKey")(targetfilter="(objectClass=nsAccount)")(version 3.0; acl "Enable user password reset"; allow (write, read)(groupdn="ldap:///cn=password_admins,ou=groups,dc=example,dc=com");)
EOF
    Copy to Clipboard Toggle word wrap

  2. パスワード管理者ロールをグループに割り当てます。 

    # dsconf <instance_name> pwpolicy set --pwdadmin "cn=password_admins,ou=groups,dc=example,dc=com"
    Copy to Clipboard Toggle word wrap

3.7.2. ローカルポリシーでのパスワード管理者権限の割り当て
リンクのコピー

ローカルポリシーでは、パスワード管理者ロールをユーザーまたはユーザーグループに割り当てることができます。Red Hat では、単一のアクセス制御命令 (ACI) セットですべてのパスワード管理者を管理できるようにグループを設定することを推奨します。

前提条件

  • パスワード管理者ロールを割り当てるすべてのユーザーを含む、password_admins という名前のグループを作成した。

手順

  1. パスワード管理者ロールの権限を定義する ACI を作成します。 

    # ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com -x << EOF
dn: ou=people,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="userPassword || nsAccountLock || userCertificate || nsSshPublicKey")(targetfilter="(objectClass=nsAccount)")(version 3.0; acl "Enable user password reset"; allow (write, read)(groupdn="ldap:///cn=password_admins,ou=groups,dc=example,dc=com");)
EOF
    Copy to Clipboard Toggle word wrap

  2. パスワード管理者ロールをグループに割り当てます。 

    # dsconf <instance_name> localpwp set ou=people,dc=example,dc=com --pwdadmin "cn=password_admins,ou=groups,dc=example,dc=com"
    Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat