4.2. ローカルパスワードポリシーでの一時的なパスワードルールの有効化
特定のユーザーまたはサブツリーの一時パスワード機能を有効にするには、管理者によるパスワードリセット時のユーザーによるパスワード変更を必須にして、ローカルパスワードポリシーで機能を設定します。
管理者がユーザーの userPassword 属性を更新し、passwordMustChange 属性を on に設定すると、Directory Server が次の条件に該当するユーザーに一時パスワードルールを適用します。
- ローカルパスワードポリシーが有効になっている
- ローカルパスワードポリシーが有効になっているサブツリーに保存されている
手順
管理者によるパスワードリセット後のユーザーによるパスワード変更を必須に設定します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdmustchange on一時パスワードルール設定を設定します。
既存のサブツリーの場合:
#
dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp addsubtree --pwptprmaxuse 5 --pwptprdelayexpireat 3600 --pwptprdelayvalidfrom 60 ou=People,dc=example,dc=com既存のユーザーの場合:
#
dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp adduser --pwptprmaxuse 5 --pwptprdelayexpireat 3600 --pwptprdelayvalidfrom 60 uid=example,ou=People,dc=example,dc=com
この例では、以下のようになります。
-
--pwptprmaxuseオプションで、ユーザーが一時パスワードを使用できる最大試行回数を5に設定しています。 -
--pwptprdelayexpireatオプションで、一時パスワードの有効期限が切れるまでの時間を3600秒 (1 時間) に設定しています。 -
--pwptprdelayvalidfromオプションで、管理者がユーザーのパスワードをリセットしてから60秒後に、--pwptprdelayexpireatで設定した時間が開始するように設定しています。
検証
識別名 (DN) のローカルパスワードポリシーを表示します。
#
dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp get <DN> | grep -i TPRpasswordTPRMaxUse: 5 passwordTPRDelayExpireAt: 3600 passwordTPRDelayValidFrom: 60
