20.2. 设置密码管理员
Directory Manager 可将 密码管理员 角色添加到用户或一组用户。由于需要设置访问控制指令(ACI),因此建议使用组来允许一个 ACI 集来管理所有密码管理员。密码管理员可以执行任何用户密码操作,包括:
- 强制用户更改密码,
- 将用户的密码改为密码策略中定义的不同存储方案,
- 绕过密码语法检查,
- 并添加已哈希密码。
如 第 20.1 节 “设置用户密码” 所述,建议由数据库中的现有角色完成普通密码更新,并有权更新
userPassword 属性。红帽建议不要将密码管理员帐户用于这些普通任务。
您可以将用户或组指定为密码管理员:
- 在本地策略中。例如:
# dsconf -D "cn=Directory Manager" ldap://server.example.com localpwp set ou=people,dc=example,dc=com --pwdadmin "cn=password_admins,ou=groups,dc=example,dc=com"
- 在全局策略中。例如:
# dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdadmin "cn=password_admins,ou=groups,dc=example,dc=com"
注意
您可以在 cn=config 条目下添加新的
passwordAdminSkipInfoUpdate: on/off 设置,以提供对密码管理员执行的密码保护的精细控制。当您启用此设置时,密码更新不会更新某些属性,例如 passwordHistory,passwordExpirationTime,passwordRetryCount,pwdReset, 和 passwordExpWarned。
