Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 22 章 用户身份验证

本章论述了管理用户身份验证机制,包括如何管理用户的密码、SSH 密钥和证书以及如何配置一次性密码(OTP)和智能卡验证的信息。
注意
有关如何使用 Kerberos 登录身份管理(IdM)的文档,请参考 第 5 章 管理 IdM 服务器和服务的基本知识

22.1. 用户密码

22.1.1. 更改和重置用户密码

没有更改其他用户密码的权限只能更改他们自己的个人密码。个人密码以这种方式更改:
管理员和具有密码更改权限的用户可以为新用户设置初始密码,并为现有用户重置密码。密码以这种方式更改:
注意
LDAP 目录管理器(DM)用户可以使用 LDAP 工具更改用户密码。新密码可以覆盖任何 IdM 密码策略。DM 设置的密码在第一次登录后不会过期。

22.1.1.1. Web UI:更改您自己的个人密码

  1. 在右上角,单击 User nameChange password

    图 22.1. 重置密码

    重置密码
  2. 输入新密码。

22.1.1.2. Web UI:重置另一个用户的密码

  1. 选择 IdentityUsers
  2. 单击要编辑的用户的名称。
  3. 单击 ActionsReset password

    图 22.2. 重置密码

    重置密码
  4. 输入新密码,然后单击 Reset Password

    图 22.3. 确认新密码

    确认新密码

22.1.1.3. 命令行:更改或重置其他用户的密码

要更改您自己的个人密码或更改或重置其他用户的密码,请在 ipa user-mod 命令中添加 --password 选项。命令将提示您输入新密码。
$ ipa user-mod user --password
Password:
Enter Password again to verify:
--------------------
Modified user "user"
--------------------
...

22.1.2. 在下一个登录账户为密码更改启用密码重置

默认情况下,当管理员重置另一个用户的密码时,密码会在第一次成功登录后过期。详情请查看 第 22.1.1 节 “更改和重置用户密码”
为确保管理员在首次使用时设置的密码不会过期,请在域中的每个身份管理服务器上进行这些更改:
  • 编辑密码同步条目: cn=ipa_pwd_extop,cn=plugins,cn=config
  • passSyncManagersDNs 属性中指定管理用户帐户。属性是多值的。
例如,使用 ldapmodify 实用程序指定 admin 用户:
$ ldapmodify -x -D "cn=Directory Manager" -W -h ldap.example.com -p 389

dn: cn=ipa_pwd_extop,cn=plugins,cn=config
changetype: modify
add: passSyncManagersDNs
passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com
警告
仅指定需要这些额外权限的用户。在 passSyncManagerDNs 下列出的所有用户都可以:
  • 执行密码更改操作而无需随后的密码重置
  • 绕过密码策略,以便不会应用强度或历史记录强制

22.1.3. 密码失败后解锁用户帐户

如果用户尝试多次使用错误的密码登录,IdM 将锁定用户帐户,这会阻止用户登录。请注意,IdM 不会显示用户帐户已被锁定的任何警告信息。
注意
有关设置允许失败的确切次数和锁定持续时间的详情,请参考 第 28 章 定义密码策略
IdM 在经过指定的时间后自动解锁用户帐户。或者,管理员可以手动解锁用户帐户。

手动解锁用户帐户

要解锁用户帐户,请使用 ipa user-unlock 命令。
$ ipa user-unlock user
-----------------------
Unlocked account "user"
-----------------------
之后,用户可以再次登录。

22.1.3.1. 检查用户帐户的状态

要显示用户的失败登录尝试次数,请使用 ipa user-status 命令。如果显示的数字超过允许的失败登录尝试次数,则会锁定用户帐户。
$ ipa user-status user
-----------------------
Account disabled: False
-----------------------
  Server: example.com
  Failed logins: 8
  Last successful authentication: 20160229080309Z
  Last failed authentication: 20160229080317Z
  Time now: 2016-02-29T08:04:46Z
----------------------------
Number of entries returned 1
----------------------------
默认情况下,IdM 在 Red Hat Enterprise Linux 7.4 及之后的版本中取消启动,不会存储用户最后一次成功 Kerberos 身份验证的时间戳。要启用这个功能,请查看 第 22.2 节 “启用最后成功 Kerberos 身份验证的跟踪”