Red Hat Training
A Red Hat training course is available for RHEL 8
34.3. EPN ツールを実行してパスワードが失効するユーザーへのメール送信
Expiring Password Notification (EPN) ツールを実行してパスワードの期限が切れるユーザーにメールを送信するには、次の手順に従います。
EPN ツールはステートレスです。特定の日付にパスワードが失効するユーザーに対してメールの送信に失敗した場合には、EPN ツールには失敗したユーザーのリストは保存されません。
前提条件
-
ipa-client-epn
パッケージがインストールされている。Expiring Password Notification ツールのインストール を参照してください。 -
必要に応じて、
ipa-epn
メールテンプレートをカスタマイズする。期限切れのパスワード通知テンプレートの変更 を参照してください。
手順
epn.conf
設定ファイルを更新して、今後パスワードが失効するユーザーに通知されるように、EPN ツールのオプションを設定します。# vi /etc/ipa/epn.conf
必要に応じて
notify_ttls
を更新します。デフォルトでは、28、14、7、3 および 1 日以内にパスワードが期限切れになるユーザーに通知します。notify_ttls = 28, 14, 7, 3, 1
SMTP サーバーおよびポートを設定します。
smtp_server = localhost smtp_port = 25
メールで失効通知を送信するメールアドレスを指定します。配信に失敗したメールは以下のアドレスに返されます。
mail_from =admin-email@example.com
-
/etc/ipa/epn.conf
ファイルを保存します。 --dry-run
オプションなしでツールを実行した場合には、EPN ツールをドライランモードで実行し、パスワード失効メールの通知を送信するユーザーのリストを生成します。ipa-epn --dry-run [ { "uid": "user5", "cn": "user 5", "krbpasswordexpiration": "2020-04-17 15:51:53", "mail": "['user5@ipa.test']" } ] [ { "uid": "user6", "cn": "user 6", "krbpasswordexpiration": "2020-12-17 15:51:53", "mail": "['user5@ipa.test']" } ] The IPA-EPN command was successful
注記返されたユーザーのリストが非常に大きく、かつ
--dry-run
オプションなしでツールを実行すると、メールサーバーで問題が発生する可能性があります。ドライランモードで EPN ツールを実行時に返された全ユーザーのリストに失効メールを送信するには、
--dry-run
オプションをなしで EPN ツールを実行します。ipa-epn [ { "uid": "user5", "cn": "user 5", "krbpasswordexpiration": "2020-10-01 15:51:53", "mail": "['user5@ipa.test']" } ] [ { "uid": "user6", "cn": "user 6", "krbpasswordexpiration": "2020-12-17 15:51:53", "mail": "['user5@ipa.test']" } ] The IPA-EPN command was successful
EPN を監視システムに追加して、
--from-nbdays
および--to-nbdays
オプションで EPN を呼び出し、特定の時間内に期限切れになるユーザーパスワード数を確認できます。# ipa-epn --from-nbdays 8 --to-nbdays 12
注記--from-nbdays
および--to-nbdays
で EPN ツールを呼び出すと、自動的にドライランモードで実行されます。
検証手順
- EPN ツールを実行し、メール通知が送信されていることを確認します。
関連情報
-
ipa-epn
の man ページを参照してください。 -
epn.conf
の man ページを参照してください。