5.6. 在 IdM 中启用密码重置,而不会在下一次登录时提示用户更改密码
默认情况下,当管理员重置了另一个用户的密码后,密码会在第一次成功登录后过期。作为 IdM 目录管理者,您可以为单个的 IdM 管理员指定以下权限:
- 它们可以执行密码更改操作,而无需用户在第一次登录时更改其密码。
- 它们可以绕过密码策略,从而不会应用强度或历史记录强制。
警告
绕过密码策略可能会构成安全威胁。当您选择要授予这些额外特权的用户时要谨慎。
先决条件
- 您知道目录管理者密码。
流程
在域中的每个身份管理(IdM)服务器上进行以下更改:
输入
ldapmodify
命令来修改 LDAP 条目。指定 IdM 服务器的名称和 389 端口,然后按回车:$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389 Enter LDAP Password:
- 输入 Directory Manager 密码。
输入
ipa_pwd_extop
密码同步条目的可区别的名称,然后按回车dn: cn=ipa_pwd_extop,cn=plugins,cn=config
指定更改的
modify
类型,并按回车:changetype: modify
指定您希望 LDAP 执行哪种类型的修改,以及指定对哪个属性的修改。按回车:
add: passSyncManagersDNs
在
passSyncManagersDNs
属性中指定管理用户帐户。属性是多值的。例如,要授予admin
用户目录管理者重置密码的权力:passSyncManagersDNs: \ uid=admin,cn=users,cn=accounts,dc=example,dc=com
- 按回车两次以停止编辑条目。
整个过程如下所示:
$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389 Enter LDAP Password: dn: cn=ipa_pwd_extop,cn=plugins,cn=config changetype: modify add: passSyncManagersDNs passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com
在 passSyncManagerDNs
下列出的 admin
用户现在具有额外的特权。