Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

20.6. 了解密码过期控制

当用户使用有效密码验证目录服务器时,如果密码已过期,将很快过期或需要重置,服务器会将以下 LDAP 控制发回到客户端:
  • 已过期控制(2.16.840.1.113730.3.4.4):表明密码已过期。目录服务器在以下情况下发送这个控制:
    • 密码已过期,并且宽限期已耗尽。服务器拒绝带有 Error 49 消息的绑定。
    • 密码已过期,但宽限期仍然可用。允许绑定。
    • 如果在 cn=config 条目中启用了 passwordMustChange,并且用户在管理员更改后重置密码。允许绑定,但在更改密码之外,任何后续操作都会导致 Error 53 信息。
  • 过期控制(2.16.840.1.113730.3.4.5):表明密码将很快过期。目录服务器在以下情况下发送这个控制:
    • 密码将在 cn=config 条目的 passwordWarning 属性中设置的密码警告周期内过期。
    • 如果在 cn=config 条目的 passwordSendExpiringTime 属性中启用了密码策略配置选项,则始终返回过期控制,无论密码是否在警告周期内。
  • 绑定响应控制(1.3.6.1.4.1.42.2.27.8.5.1):控制包含有关即将过期或很快过期密码状态的详细信息。
    注意
    目录服务器仅在客户端请求绑定响应控制时发送绑定响应控制。例如,如果使用 ldapsearch,您必须将 -e ppolicy 参数传给命令,以请求绑定响应控制。

    例 20.1. 在查询中请求绑定响应控制

    如果您请求 bind 响应控制,例如,通过将 -e ppolicy 参数传给 ldapsearch 命令,服务器会返回有关帐户过期的详细信息。例如: 
    # ldapsearch -D "uid=user_name,dc=example,dc=com" -xLLL -W \
     -b "dc=example,dc=com" -e ppolicy
ldap_bind: Success (0); Password expired (Password expired, 1 grace logins remain)
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat