20.3. 外部に保存されたパスワードの変更
ほとんどのパスワードは ldapmodify 操作で変更できますが、通常の LDAP 操作で変更することはできないパスワードがあります。これらのパスワードは、SASL アプリケーションに保存されているパスワードなど、Directory Server 外に保存できます。これらのパスワードは、パスワード変更拡張操作 で変更できます。
Directory Server は RFC 3062 で定義されているパスワード変更操作をサポートするため、ユーザーは標準に準拠した状態で適切なクライアントを使用してパスワードを変更できます。dsidm ユーティリティーは、指定されたユーザーのパスワードの変更を渡します。
# dsidm ldap://server.example.com -D bind_dn -W -b dc=example,dc=com account change_password user newPassword oldPassword
重要
パスワード操作はセキュアな接続 (SASL、TLS、または STARTTLS) に対して実行する必要があります。LDAP クライアントツールでセキュアな接続を使用する方法は、「証明書を使用した認証」を参照してください。
パラメーターの詳細は、dsidm instance_name account change_password --help コマンドの出力を参照してください。
セキュアでないポート上でコマンドを実行する STARTTLS を使用するには、-Z オプションと標準の LDAP ポート番号を指定して dsidm を実行します。パスワード拡張変更操作の形式は以下のとおりです。
# dsidm ldap://server.example.com -Z bind_dn -W -b dc=example,dc=com account change_password user newPassword oldPassword
注記
STARTTLS 接続を機能させるには、「証明書を使用した認証」 で説明されているように、TLS 環境変数を設定する必要があります。
-Z オプションを使用して、強制的に接続を成功させます。
エントリーのパスワードを変更するには、他の操作と同様に dsidm を実行します。アカウントがバインド DN に指定されたものと同じでも、バインド DN を指定する必要があります。以下に例を示します。
# dsidm ldap://server.example.com -Z bind_dn -W -b dc=example,dc=com account change_password user newPassword oldPassword
アクセス制御はパスワードの変更操作に対して適用されます。バインド DN に指定のパスワードを変更する権限がない場合、操作は Insufficient rights エラーを出力して失敗します。
