7.3. Exécution de l'outil EPN pour envoyer des courriels aux utilisateurs dont les mots de passe arrivent à expiration

Cette procédure décrit comment exécuter l'outil EPN (Expiring Password Notification) pour envoyer des courriels aux utilisateurs dont le mot de passe arrive à expiration.

Note

L'outil EPN est sans état. Si l'outil EPN n'envoie pas de courrier électronique aux utilisateurs dont les mots de passe expirent un jour donné, il n'enregistre pas la liste de ces utilisateurs.

Conditions préalables

Procédure

  1. Mettez à jour le fichier de configuration epn.conf pour définir les options permettant à l'outil EPN d'avertir les utilisateurs de l'expiration prochaine de leur mot de passe. 

    # vi /etc/ipa/epn.conf

  2. Mettez à jour le site notify_ttls si nécessaire. Par défaut, les utilisateurs dont les mots de passe expirent dans 28, 14, 7, 3 et 1 jour(s) sont avertis. 

    notify_ttls = 28, 14, 7, 3, 1

  3. Configurez votre serveur SMTP et votre port : 

    smtp_server = localhost
smtp_port = 25

  4. Indiquez l'adresse électronique à partir de laquelle la notification d'expiration du courrier électronique est envoyée. Les courriels non délivrés sont renvoyés à cette adresse. 

    mail_from =admin-email@example.com
  5. Enregistrez le fichier /etc/ipa/epn.conf.

  6. Exécutez l'outil EPN en mode "dry-run" pour générer une liste des utilisateurs auxquels la notification par e-mail de l'expiration du mot de passe serait envoyée si vous exécutiez l'outil sans l'option --dry-run. 

    ipa-epn --dry-run
[
    {
     "uid": "user5",
     "cn": "user 5",
     "krbpasswordexpiration": "2020-04-17 15:51:53",
     "mail": "['user5@ipa.test']"
    }
]
[
    {
     "uid": "user6",
     "cn": "user 6",
     "krbpasswordexpiration": "2020-12-17 15:51:53",
     "mail": "['user5@ipa.test']"
     }
]
The IPA-EPN command was successful
    Note

    Si la liste des utilisateurs renvoyée est très importante et que vous exécutez l'outil sans l'option --dry-run, cela peut entraîner un problème avec votre serveur de messagerie.

  7. Exécutez l'outil EPN sans l'option --dry-run pour envoyer des courriels d'expiration à la liste de tous les utilisateurs renvoyés lorsque vous avez exécuté l'outil EPN en mode "dry run" : 

    ipa-epn
[
  {
     "uid": "user5",
     "cn": "user 5",
     "krbpasswordexpiration": "2020-10-01 15:51:53",
     "mail": "['user5@ipa.test']"
  }
]
[
  {
    "uid": "user6",
    "cn": "user 6",
    "krbpasswordexpiration": "2020-12-17 15:51:53",
    "mail": "['user5@ipa.test']"
  }
]
The IPA-EPN command was successful

  8. Vous pouvez ajouter EPN à n'importe quel système de surveillance et l'invoquer avec les options --from-nbdays et --to-nbdays pour déterminer combien de mots de passe d'utilisateurs vont expirer dans un délai spécifique : 

    # ipa-epn --from-nbdays 8 --to-nbdays 12
    Note

    Si vous invoquez l'outil EPN avec les options --from-nbdays et --to-nbdays, il est automatiquement exécuté en mode "dry-run".

Verification steps

  • Exécutez l'outil EPN et vérifiez qu'une notification par courrier électronique est envoyée.

Ressources supplémentaires

  • Voir la page de manuel ipa-epn.
  • Voir la page de manuel epn.conf.