Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

20.5. 配置临时密码规则

目录服务器密码策略支持在用户帐户上设置临时密码。如果您为用户分配临时密码,Directory 服务器会拒绝密码更改的任何其他操作,直到用户更改密码为止。
以下是临时密码的功能:
  • 只有 cn=Directory Manager 帐户才能分配临时密码。
  • 目录服务器只允许验证尝试固定次数以避免攻击者探测密码。
  • 目录服务器允许在指定延迟后尝试身份验证,来配置临时密码在设置后无法使用。
  • 目录服务器只允许身份验证尝试指定时间,以便在用户不使用或重置时临时密码过期。
  • 如果身份验证成功,目录服务器要求用户在服务器执行任何其他操作前重置密码。
默认情况下禁用临时密码规则。您可以在全局或本地密码策略中配置它们。

20.5.1. 在全局密码策略中启用临时密码规则
复制链接

为整个目录服务器实例启用临时密码功能:
  1. 如果管理员重置了密码,则启用该用户必须更改其密码。
  2. 在全局密码策略中配置该功能。
如果管理员更新了一个用户的 userPassword 属性,并将 passwordMustChange 属性设置为 on,目录服务器会应用临时密码规则。

流程

  1. 配置用户在管理员重置后更改密码: 
    # dsconf -D "cn=Directory Manager" ldap://server.example.com  pwpolicy set --pwdmustchange on
    Copy to Clipboard Toggle word wrap
  2. 在全局密码策略中配置临时密码规则设置: 
    # dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwptprmaxuse 5 --pwptprdelayexpireat 3600 --pwptprdelayvalidfrom 60
    Copy to Clipboard Toggle word wrap
    在本例中:
    • --pwptprmaxuse 选项设置用户可以在 5 中使用临时密码的最大尝试次数。
    • --pwptprdelayexpireat 选项可将临时密码过期前的时间设置为 3600 秒(1 小时)
    • --pwptprdelayvalidfrom 选项配置在管理员重置用户密码后设置的时间 in- pwptprdelayexpireat 后启动 60 秒。

验证

  • 显示存储临时密码规则的属性: 
    # dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy get | grep -i TPR
passwordTPRMaxUse: 5
passwordTPRDelayExpireAt: 3600
passwordTPRDelayValidFrom: 60
    Copy to Clipboard Toggle word wrap

20.5.2. 在本地密码策略中启用临时密码规则
复制链接

要为特定用户或子树启用临时密码功能,请在管理员重置时更改密码,并在本地密码策略中配置该功能。
如果管理员更新了一个用户的 userPassword 属性,并将 passwordMustChange 属性设置为 on,目录服务器会应用临时密码规则,如果用户:
  • 启用了本地密码策略
  • 存储在启用了本地密码策略的子树中

流程

  1. 配置用户在管理员重置后更改密码: 
    # dsconf -D "cn=Directory Manager" ldap://server.example.com  pwpolicy set --pwdmustchange on
    Copy to Clipboard Toggle word wrap
  2. 配置临时密码规则设置:
    • 对于子树: 
      # dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp addsubtree --pwptprmaxuse 5 --pwptprdelayexpireat 3600 --pwptprdelayvalidfrom 60 ou=People,dc=example,dc=com
      Copy to Clipboard Toggle word wrap
    • 对于用户: 
      # dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp adduser --pwptprmaxuse 5 --pwptprdelayexpireat 3600 --pwptprdelayvalidfrom 60 uid=example,ou=People,dc=example,dc=com
      Copy to Clipboard Toggle word wrap
    请注意,您只能在存在的条目上设置本地密码策略。
    在这些示例中:
    • --pwptprmaxuse 选项设置用户可以在 5 中使用临时密码的最大尝试次数。
    • --pwptprdelayexpireat 选项可将临时密码过期前的时间设置为 3600 秒(1 小时)。
    • -pwptprdelayvalidfrom 选项配置在管理员重置用户密码后设置的时间 in- pwptprdelayexpireat 后启动 60 秒。

验证

  • 显示可分辨名称(DN)的本地密码策略: 
    # dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp get distinguished_name | grep -i TPR
passwordTPRMaxUse: 5
passwordTPRDelayExpireAt: 3600
passwordTPRDelayValidFrom: 60
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat