5.6. 다음 로그인 시 사용자에게 암호 변경을 요청하지 않고 IdM에서 암호 재설정 활성화
기본적으로 관리자가 다른 사용자의 암호를 재설정하면 로그인 후 암호가 만료됩니다. IdM 디렉터리 관리자는 개별 IdM 관리자에게 다음 권한을 지정할 수 있습니다.
- 사용자가 첫 번째 로그인 시 나중에 암호를 변경할 필요 없이 암호 변경 작업을 수행할 수 있습니다.
- 암호 정책을 바이패스할 수 있으므로 강점이나 기록 적용이 적용되지 않습니다.
주의
암호 정책을 우회하는 것은 보안 위협 일 수 있습니다. 이러한 추가 권한을 부여할 사용자를 선택할 때는 주의하십시오.
사전 요구 사항
- Directory Manager 비밀번호를 알고 있습니다.
절차
도메인의 모든 IdM(Identity Management) 서버에서 다음과 같이 변경합니다.
ldapmodify명령을 입력하여 LDAP 항목을 수정합니다. IdM 서버 이름과 389 포트의 이름을 지정하고 Enter 키를 누릅니다.$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389 Enter LDAP Password:
- Directory Manager 암호를 입력합니다.
ipa_pwd_extop암호 동기화 항목의 고유 이름을 입력하고 Enter 키를 누릅니다.dn: cn=ipa_pwd_extop,cn=plugins,cn=config
변경유형 지정 및 Enter 키를 누릅니다.changetype: modify
실행할 LDAP와 어떤 속성에 대해 수정 유형을 지정합니다. Enter를 누릅니다.
add: passSyncManagersDNs
passSyncManagersDNs속성에 관리 사용자 계정을 지정합니다. 속성은 다중 값입니다. 예를 들어admin사용자에게 Directory Manager의 전원을 재설정하는 암호를 부여하려면 다음을 수행합니다.passSyncManagersDNs: \ uid=admin,cn=users,cn=accounts,dc=example,dc=com
- Enter를 두 번 눌러 항목 편집을 중지합니다.
전체 절차는 다음과 같습니다.
$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389 Enter LDAP Password: dn: cn=ipa_pwd_extop,cn=plugins,cn=config changetype: modify add: passSyncManagersDNs passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com
passSyncManagerDNs 에 나열된 admin 사용자에게는 이제 추가 권한이 있습니다.
