Red Hat Training

A Red Hat training course is available for RHEL 8

32.6. 次回のログイン時にパスワード変更を求められることなく、IdM でパスワードリセットを有効にする

デフォルトでは、管理者が別のユーザーのパスワードをリセットすると、初回のログインに成功したらパスワードが期限切れになります。IdM Directory Manager では、各 IdM 管理者に次の特権を指定できます。

  • 初回ログイン後にパスワードの変更をユーザーに要求することなく、パスワードの変更操作を行うことができます。
  • 強度や履歴の強制が適用されないようにパスワードポリシーをバイパスします。
警告

パスワードポリシーをバイパスすると、セキュリティー上の脅威になる可能性があります。これらの追加の特権を付与するユーザーを選択するときは注意してください。

前提条件

  • Directory Manager のパスワードを把握している。

手順

  1. ドメイン内のすべての Identity Management (IdM) サーバーで、次の変更を行います。

    1. ldapmodify コマンドを実行して、LDAP エントリーを変更します。IdM サーバーの名前と 389 ポートを指定し、Enter キーを押します。

      $ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389
      Enter LDAP Password:
    2. Directory Manager パスワードを入力します。
    3. ipa_pwd_extop パスワード同期エントリーの識別名を入力し、Enter キーを押します。

      dn: cn=ipa_pwd_extop,cn=plugins,cn=config
    4. 変更の modify 型を指定し、Enter キーを押します。

      changetype: modify
    5. LDAP が実行する修正のタイプと、その属性を指定します。Enter キーを押します。

      add: passSyncManagersDNs
    6. passSyncManagersDNs 属性に管理ユーザーアカウントを指定します。属性は多値です。たとえば、admin ユーザーに、Directory Manager の電源をリセットするパスワードを付与するには、次のコマンドを実行します。

      passSyncManagersDNs: \
      uid=admin,cn=users,cn=accounts,dc=example,dc=com
    7. Enter キーを 2 回押して、エントリーの編集を停止します。

手順全体を以下に示します。

$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389
Enter LDAP Password:
dn: cn=ipa_pwd_extop,cn=plugins,cn=config
changetype: modify
add: passSyncManagersDNs
passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com

passSyncManagerDNs にリスト表示されている admin ユーザーに、追加特権が追加されました。