6.6. 将其他密码策略选项应用到 IdM 组

按照以下流程，在身份管理(IdM)中应用额外的密码策略选项。这个示例描述了如何通过确保新密码不包含用户相应的用户名以及密码不包含两个以上相同的字符来增强 managers 组的密码策略。

先决条件

您以 IdM 管理员身份登录。
managers 组存在于 IdM 中。
IdM 中存在 managers 密码策略。

流程

将用户名检查应用到 managers 组中用户建议的所有新密码：
```
ipa pwpolicy-mod --usercheck=True managers
```
```
$ ipa pwpolicy-mod --usercheck=True managers
```
Copy to Clipboard Toggle word wrap
注意
如果没有指定密码策略的名称，则会修改默认的 global_policy。
在 manager 密码策略中，将相同连续字符的最大数量设置为 2：
```
ipa pwpolicy-mod --maxrepeat=2 managers
```
```
$ ipa pwpolicy-mod --maxrepeat=2 managers
```
Copy to Clipboard Toggle word wrap
现在不接受包含连续两个以上相同字符的密码。例如，eR873mUi111YJQ 组合是不可接受的，因为它包含三个连续的 1。

验证

添加名为 test_user 的测试用户：

ipa user-add test_user

$ ipa user-add test_user
First name: test
Last name: user
----------------------------
Added user "test_user"
----------------------------

Copy to Clipboard

Toggle word wrap

将 test 用户添加到 managers 组：
1. 在 IdM Web UI 中，点 Identity Groups User Groups。
2. 点 managers。
3. 点 Add。
4. 在 Add users to user group 'managers' 页面中，检查 test_user。
5. 点击 > 箭头将用户移到 Prospect ive 列中。
6. 点 Add。
重置测试用户的密码：
1. 进入 Identity Users。
2. 单击 test_user。
3. 在 Actions 菜单中，单击 Reset Password。
4. 输入用户的临时密码。

在命令行中，尝试为 test_user 获取 Kerberos 票据授予票据 (TGT)：

kinit test_user

$ kinit test_user

Copy to Clipboard

Toggle word wrap

输入临时密码。

系统会通知您必须更改密码。输入包含用户名 test_user 的密码：

Password expired. You must change it now.
Enter new password:
Enter it again:
Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Password expired. You must change it now.
Enter new password:
Enter it again:
Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Copy to Clipboard

Toggle word wrap

注意

Kerberos 没有精细的错误密码策略报告，在某些情况下，没有提供拒绝密码的明确原因。

系统通知您输入的密码被拒绝。输入包含连续三个或多个相同字符的密码：

Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Enter new password:
Enter it again:

Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Enter new password:
Enter it again:

Copy to Clipboard

Toggle word wrap

系统通知您输入的密码被拒绝。输入满足 managers 密码策略条件的密码：

Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Enter new password:
Enter it again:

Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Enter new password:
Enter it again:

Copy to Clipboard

Toggle word wrap

查看获取的 TGT:

klist

$ klist
Ticket cache: KCM:0:33945
Default principal: test_user@IDM.EXAMPLE.COM

Valid starting       Expires              Service principal
07/07/2021 12:44:44  07/08/2021 12:44:44  krbtgt@IDM.EXAMPLE.COM@IDM.EXAMPLE.COM

Copy to Clipboard

Toggle word wrap

managers 密码策略现在可以为 managers 组中的用户正常工作。

返回顶部

6.6. 将其他密码策略选项应用到 IdM 组

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links