32.6. 次回のログイン時にパスワード変更を求められることなく、IdM でパスワードリセットを有効にする
デフォルトでは、管理者が別のユーザーのパスワードをリセットすると、初回のログインに成功したらパスワードが期限切れになります。IdM Directory Manager では、各 IdM 管理者に次の特権を指定できます。
- 初回ログイン後にパスワードの変更をユーザーに要求することなく、パスワードの変更操作を行うことができます。
- 強度や履歴の強制が適用されないようにパスワードポリシーをバイパスします。
パスワードポリシーをバイパスすると、セキュリティー上の脅威になる可能性があります。これらの追加の特権を付与するユーザーを選択するときは注意してください。
前提条件
- Directory Manager のパスワードを把握している。
手順
ドメイン内のすべての Identity Management (IdM) サーバーで、次の変更を行います。
ldapmodify
コマンドを実行して、LDAP エントリーを変更します。IdM サーバーの名前と 389 ポートを指定し、Enter キーを押します。$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389 Enter LDAP Password:
- Directory Manager パスワードを入力します。
ipa_pwd_extop
パスワード同期エントリーの識別名を入力し、Enter キーを押します。dn: cn=ipa_pwd_extop,cn=plugins,cn=config
変更の
modify
型を指定し、Enter キーを押します。changetype: modify
LDAP が実行する修正のタイプと、その属性を指定します。Enter キーを押します。
add: passSyncManagersDNs
passSyncManagersDNs
属性に管理ユーザーアカウントを指定します。属性は多値です。たとえば、admin
ユーザーに、Directory Manager の電源をリセットするパスワードを付与するには、次のコマンドを実行します。passSyncManagersDNs: \ uid=admin,cn=users,cn=accounts,dc=example,dc=com
- Enter キーを 2 回押して、エントリーの編集を停止します。
手順全体を以下に示します。
$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389 Enter LDAP Password: dn: cn=ipa_pwd_extop,cn=plugins,cn=config changetype: modify add: passSyncManagersDNs passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com
passSyncManagerDNs
にリスト表示されている admin
ユーザーに、追加特権が追加されました。