20.2. 设置密码管理员

Directory Manager 可以向用户或组 添加密码管理员角色。由于需要设置访问控制指令(ACI)，因此建议使用组来只允许单个 ACI 设置来管理所有密码管理员。密码管理员可以执行任何用户密码操作，包括：

强制用户更改密码，
将用户的密码更改为密码策略中定义的其他存储方案，
绕过密码语法检查，
添加已哈希密码。

如第 20.1 节 “设置用户密码” 所述，建议常规密码更新由数据库中的现有角色完成，并带有权限仅更新 userPassword 属性。红帽建议不要将密码管理员帐户用于这些普通任务。

您可以将用户或组指定为密码管理员：

本地策略中。例如：

dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp set ou=people,dc=example,dc=com --pwdadmin "cn=password_admins,ou=groups,dc=example,dc=com"

# dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp set ou=people,dc=example,dc=com --pwdadmin "cn=password_admins,ou=groups,dc=example,dc=com"

Copy to Clipboard

Toggle word wrap

在全局策略中。例如：

dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdadmin "cn=password_admins,ou=groups,dc=example,dc=com"

# dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdadmin "cn=password_admins,ou=groups,dc=example,dc=com"

Copy to Clipboard

Toggle word wrap

注意

您可以在 cn=config 条目下添加新 passwordAdminSkipInfoUpdate: on/off 设置，以对密码管理员执行的密码更新提供精细的控制。当您启用此设置时，密码更新不会更新某些属性，例如 passwordHistory、passwordExpirationTime、passwordRetryCount、pwdReset，以及 passwordExpWarned。

返回顶部

20.2. 设置密码管理员

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links