第 6 章配置临时密码规则

目录服务器密码策略支持在用户帐户上设置临时密码。如果您为用户分配临时密码，Directory 服务器会拒绝除密码更改以外的任何其他操作，直到用户更改密码。

以下是临时密码的功能：

只有 cn=Directory Manager 帐户才能分配临时密码。
目录服务器只允许身份验证尝试固定的次数，以避免攻击者探测到密码。
目录服务器允许在指定延迟后进行身份验证尝试，以配置临时密码在设置后不直接使用。
目录服务器只允许身份验证尝试指定时间，以便在用户不使用或重置时临时密码过期。
如果身份验证成功，Directory 服务器要求用户在服务器执行任何其他操作前重置密码。

默认情况下禁用临时密码规则。您可以在全局或本地密码策略中配置它们。

6.1. 在全局密码策略中启用临时密码规则
复制链接

为整个目录服务器实例启用临时密码功能：

如果管理员重置了密码，则启用该用户的密码。
在全局密码策略中配置该功能。

如果管理员更新了一个用户的 userPassword 属性，并将 passwordMustChange 属性设置为 on，目录服务器会应用临时密码规则。

流程

配置用户在管理员重置后必须更改密码：

dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdmustchange on

# dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdmustchange on

Copy to Clipboard

Toggle word wrap

在全局密码策略中配置临时密码规则设置：
```
dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwptprmaxuse 5 --pwptprdelayexpireat 3600 --pwptprdelayvalidfrom 60
```
```
# dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwptprmaxuse 5 --pwptprdelayexpireat 3600 --pwptprdelayvalidfrom 60
```
Copy to Clipboard Toggle word wrap
在本例中：
- --pwptprmaxuse 选项将用户可以使用临时密码的最大尝试数设置为 5。
- --pwptprdelayexpireat 选项设置临时密码过期到 3600 秒前的时间(1 小时)。
- --pwptprdelayvalidfrom 选项配置管理员重置用户的密码后，-- pwptprdelayexpireat 会启动 60 秒。

验证

显示存储临时密码规则的属性：

dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy get | grep -i TPR

# dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy get | grep -i TPR
passwordTPRMaxUse: 5
passwordTPRDelayExpireAt: 3600
passwordTPRDelayValidFrom: 60

Copy to Clipboard

Toggle word wrap

返回顶部

第 6 章配置临时密码规则

6.1. 在全局密码策略中启用临时密码规则
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 6 章 配置临时密码规则

6.1. 在全局密码策略中启用临时密码规则复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 6 章配置临时密码规则

6.1. 在全局密码策略中启用临时密码规则
复制链接