8.3. 运行 EPN 工具,向密码即将过期的用户发送电子邮件
您可以使用过期密码通知(EPN)工具向密码即将过期的身份管理 {IdM)用户发送电子邮件。您可以选择以下任一方法:
-
更新
epn.conf
配置文件 并启用 ipa-epn.timer 工具。 -
更新
epn.conf
配置文件,并直接在命令行中运行 EPN 工具。
EPN 工具是无状态的。如果 EPN 工具未能向密码即将在给定日期过期的任何用户发送邮件,则 EPN 工具不会保存这些用户的列表。
先决条件
-
ipa-client-epn
软件包已安装。请参阅 安装过期密码通知工具。 -
如果需要,自定义
ipa-epn
电子邮件模板。请参阅 修改过期密码通知电子邮件模板。
步骤
打开
epn.conf
配置文件。# vi /etc/ipa/epn.conf
根据需要更新
notify_ttls
选项。默认是通知用户其密码将在 28、14、7、3 和 1 天后过期。notify_ttls = 28, 14, 7, 3, 1
- 注意
-
您还必须 激活
ipa-epn.timer
工具,以确保发送电子邮件。
配置 SMTP 服务器和端口:
smtp_server = localhost smtp_port = 25
指定发送电子邮件过期通知的电子邮件地址。任何未成功发送的电子邮件都将返回到此地址。
mail_from = admin-email@example.com
[可选] 如果要使用加密的通信频道,请指定要使用的凭证:
指定 PEM 格式的单个文件的路径,其中包含 EPN 使用的证书与 SMTP 服务器进行身份验证:
smtp_client_cert = /etc/pki/tls/certs/client.pem
- 注意
- EPN 是 SMTP 客户端。证书的目的是客户端身份验证,而不是安全 SMTP 传输。
您可以指定包含私钥的文件的路径。如果未指定,则会从证书文件获取私钥。
smtp_client_key = /etc/pki/tls/certs/client.key
如果私钥加密,请指定解密的密码。
smtp_client_key_pass = Secret123!
-
保存
/etc/ipa/epn.conf
文件。 以 dry-run 模式运行 EPN 工具,来生成一个用户列表,如果您不使用
--dry-run
选项来运行工具,则密码过期电子邮件通知将发送给这些用户。ipa-epn --dry-run [ { "uid": "user5", "cn": "user 5", "krbpasswordexpiration": "2020-04-17 15:51:53", "mail": "['user5@ipa.test']" } ] [ { "uid": "user6", "cn": "user 6", "krbpasswordexpiration": "2020-12-17 15:51:53", "mail": "['user5@ipa.test']" } ] The IPA-EPN command was successful
注意如果返回的用户列表非常大,并且运行工具时没有
--dry-run
选项,这可能会导致您的电子邮件服务器出现问题。不使用
--dry-run
选项运行 EPN 工具,来将到期电子邮件发送给当您在 dry-run 模式下运行 EPN 工具时返回的所有用户的列表:ipa-epn [ { "uid": "user5", "cn": "user 5", "krbpasswordexpiration": "2020-10-01 15:51:53", "mail": "['user5@ipa.test']" } ] [ { "uid": "user6", "cn": "user 6", "krbpasswordexpiration": "2020-12-17 15:51:53", "mail": "['user5@ipa.test']" } ] The IPA-EPN command was successful
您可以将 EPN 添加到任何监控系统,并使用
--from-nbdays
和--to-nbdays
选项调用它,以确定在特定时间范围内将有多少个用户的密码即将过期:# ipa-epn --from-nbdays 8 --to-nbdays 12
注意如果您使用
--from-nbdays
和--to-nbdays
选项调用 EPN 工具,它将自动在 dry-run 模式下执行。
验证
- 运行 EPN 工具,并验证是否已发送电子邮件通知。
其他资源
-
系统上的
ipa-epn
手册页。 -
系统上的
epn.conf
手册页。