Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 7 章 分配密码管理员权限

Directory Manager 可将 密码管理员 角色分配给用户或一组用户。由于密码管理员需要具有适当权限的访问控制指令(ACI),因此红帽建议您配置组以允许单个 ACI 设置来管理所有密码管理员。

在以下情况下使用密码管理员角色很有用:

  • 设置一条提示,强制用户在下一次登录时更改密码
  • 将用户的密码改为密码策略中定义的不同存储方案
重要

密码管理员可以执行任何用户密码操作。当使用密码管理员帐户或 Directory Manager (root DN)设置密码时,会绕过密码策略且未验证。不要将这些帐户用于常规用户密码管理。红帽建议在数据库中的现有角色下执行常规密码更新,其权限只更新 userPassword 属性。

注意

您可以在 cn=config 条目下添加新的 passwordAdminSkipInfoUpdate: on/off 设置,以提供对密码管理员执行的密码保护的精细控制。当您启用此设置时,密码更新不会更新某些属性,例如 passwordHistory,passwordExpirationTime,passwordRetryCount,pwdReset, 和 passwordExpWarned

7.1. 在全局策略中分配密码管理员权限
复制链接

在全局策略中,您可以将密码管理员角色分配给用户或一组用户。红帽建议您配置组以允许单个访问控制指令(ACI)设置来管理所有密码管理员。

先决条件

  • 您已创建了一个名为 password_admins 的组,其中包含您要为其分配密码管理员角色的所有用户。

流程

  1. 创建 ACI 来为密码管理员角色定义权限: 

    # ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x << EOF
dn: ou=people,dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr="userPassword || nsAccountLock || userCertificate || nsSshPublicKey")(targetfilter="(objectClass=nsAccount)")(version 3.0; acl "Enable user password reset"; allow (write, read)(groupdn="ldap:///cn=password_admins,ou=groups,dc=example,dc=com");)
EOF
    Copy to Clipboard Toggle word wrap

  2. 为组分配密码管理员角色: 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdadmin "cn=password_admins,ou=groups,dc=example,dc=com"
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat