4.2. ローカルパスワードポリシーでの一時的なパスワードルールの有効化
特定のユーザーまたはサブツリーの一時パスワード機能を有効にするには、管理者によるパスワードリセット時のユーザーによるパスワード変更を必須にして、ローカルパスワードポリシーで機能を設定します。
管理者がユーザーの userPassword
属性を更新し、passwordMustChange
属性を on
に設定すると、Directory Server が次の条件に該当するユーザーに一時パスワードルールを適用します。
- ローカルパスワードポリシーが有効になっている
- ローカルパスワードポリシーが有効になっているサブツリーに保存されている
手順
管理者によるパスワードリセット後のユーザーによるパスワード変更を必須に設定します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdmustchange on
一時パスワードルール設定を設定します。
既存のサブツリーの場合:
#
dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp addsubtree --pwptprmaxuse 5 --pwptprdelayexpireat 3600 --pwptprdelayvalidfrom 60 ou=People,dc=example,dc=com
既存のユーザーの場合:
#
dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp adduser --pwptprmaxuse 5 --pwptprdelayexpireat 3600 --pwptprdelayvalidfrom 60 uid=example,ou=People,dc=example,dc=com
この例では、以下のようになります。
-
--pwptprmaxuse
オプションで、ユーザーが一時パスワードを使用できる最大試行回数を5
に設定しています。 -
--pwptprdelayexpireat
オプションで、一時パスワードの有効期限が切れるまでの時間を3600
秒 (1 時間) に設定しています。 -
--pwptprdelayvalidfrom
オプションで、管理者がユーザーのパスワードをリセットしてから60
秒後に、--pwptprdelayexpireat
で設定した時間が開始するように設定しています。
検証
識別名 (DN) のローカルパスワードポリシーを表示します。
#
dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp get <DN> | grep -i TPR
passwordTPRMaxUse: 5 passwordTPRDelayExpireAt: 3600 passwordTPRDelayValidFrom: 60