16.3. 同步密码
目录服务器条目中的密码更改可以使用 Password Sync 工具同步到 Active Directory 条目中的密码属性。
同步密码时,会在本地同步对等点上强制使用密码策略。当目录服务器中更改密码时,Directory 服务器上应用的语法或最小长度要求。当更改的密码与 Windows 服务器同步时,会强制执行 Windows 密码策略。
重要
密码策略本身没有同步。
配置信息保存在本地的且无法同步,包括密码更改历史记录和帐户锁定计数器。
在为同步配置密码策略时,请考虑以下点:
- Password Sync 工具必须在 Windows 计算机上与目录服务器同步的本地安装。
- 密码同步 只能将 Windows 机器链接到单个目录服务器;若要与多个目录服务器实例同步更改,请为多层次复制配置目录服务器。
- 密码过期警告和时间、失败的绑定尝试和其他与密码相关的信息会按服务器在本地强制执行,且不会在同步对等服务器间同步。
- 在配置了与 Windows 服务器的复制协议的目录服务器实例中,将 cn=config 条目中的
nsslapd-unhashed-pw-switch参数设置为 on。 - 所有服务器上都应该执行相同的绑定行为。确保在 Directory 服务器和 Active Directory 服务器上创建相同的或类似的密码策略。
- 为同步创建的条目(例如,服务器身份)需要有永不过期的密码。为确保这些特殊用户有没有过期的密码,请将
passwordExpirationTime属性添加到 Directory Server 条目,并为它赋予 20380119031407Z (有效范围的顶部)。
