5.6. 다음 로그인 시 사용자에게 암호 변경을 요청하지 않고 IdM에서 암호 재설정 활성화

기본적으로 관리자가 다른 사용자의 암호를 재설정하면 로그인 후 암호가 만료됩니다. IdM 디렉터리 관리자는 개별 IdM 관리자에게 다음 권한을 지정할 수 있습니다.

  • 사용자가 첫 번째 로그인 시 나중에 암호를 변경할 필요 없이 암호 변경 작업을 수행할 수 있습니다.
  • 암호 정책을 바이패스할 수 있으므로 강점이나 기록 적용이 적용되지 않습니다.
주의

암호 정책을 우회하는 것은 보안 위협 일 수 있습니다. 이러한 추가 권한을 부여할 사용자를 선택할 때는 주의하십시오.

사전 요구 사항

  • Directory Manager 비밀번호를 알고 있습니다.

절차

  1. 도메인의 모든 IdM(Identity Management) 서버에서 다음과 같이 변경합니다.

    1. ldapmodify 명령을 입력하여 LDAP 항목을 수정합니다. IdM 서버 이름과 389 포트의 이름을 지정하고 Enter 키를 누릅니다.

      $ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389
      Enter LDAP Password:
    2. Directory Manager 암호를 입력합니다.
    3. ipa_pwd_extop 암호 동기화 항목의 고유 이름을 입력하고 Enter 키를 누릅니다.

      dn: cn=ipa_pwd_extop,cn=plugins,cn=config
    4. 변경 유형 지정 및 Enter 키를 누릅니다.

      changetype: modify
    5. 실행할 LDAP와 어떤 속성에 대해 수정 유형을 지정합니다. Enter를 누릅니다.

      add: passSyncManagersDNs
    6. passSyncManagersDNs 속성에 관리 사용자 계정을 지정합니다. 속성은 다중 값입니다. 예를 들어 admin 사용자에게 Directory Manager의 전원을 재설정하는 암호를 부여하려면 다음을 수행합니다.

      passSyncManagersDNs: \
      uid=admin,cn=users,cn=accounts,dc=example,dc=com
    7. Enter를 두 번 눌러 항목 편집을 중지합니다.

전체 절차는 다음과 같습니다.

$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389
Enter LDAP Password:
dn: cn=ipa_pwd_extop,cn=plugins,cn=config
changetype: modify
add: passSyncManagersDNs
passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com

passSyncManagerDNs 에 나열된 admin 사용자에게는 이제 추가 권한이 있습니다.