Red Hat Training

A Red Hat training course is available for RHEL 8

32.6. 在 IdM 中启用密码重置,而不会在下一次登录时提示用户更改密码

默认情况下,当管理员重置了另一个用户的密码后,密码会在第一次成功登录后过期。作为 IdM 目录管理者,您可以为单个的 IdM 管理员指定以下权限:

  • 它们可以执行密码更改操作,而无需用户在第一次登录时更改其密码。
  • 它们可以绕过密码策略,从而不会应用强度或历史记录强制。
警告

绕过密码策略可能会构成安全威胁。当您选择要授予这些额外特权的用户时要谨慎。

先决条件

  • 您知道目录管理者密码。

流程

  1. 在域中的每个身份管理(IdM)服务器上进行以下更改:

    1. 输入 ldapmodify 命令来修改 LDAP 条目。指定 IdM 服务器的名称和 389 端口,然后按回车:

      $ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389
      Enter LDAP Password:
    2. 输入 Directory Manager 密码。
    3. 输入 ipa_pwd_extop 密码同步条目的可区别的名称,然后按回车

      dn: cn=ipa_pwd_extop,cn=plugins,cn=config
    4. 指定更改的 modify 类型,并按回车:

      changetype: modify
    5. 指定您希望 LDAP 执行哪种类型的修改,以及指定对哪个属性的修改。按回车:

      add: passSyncManagersDNs
    6. passSyncManagersDNs 属性中指定管理用户帐户。属性是多值的。例如,要授予 admin 用户目录管理者重置密码的权力:

      passSyncManagersDNs: \
      uid=admin,cn=users,cn=accounts,dc=example,dc=com
    7. 按回车两次以停止编辑条目。

整个过程如下所示:

$ ldapmodify -x -D "cn=Directory Manager" -W -h server.idm.example.com -p 389
Enter LDAP Password:
dn: cn=ipa_pwd_extop,cn=plugins,cn=config
changetype: modify
add: passSyncManagersDNs
passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com

passSyncManagerDNs 下列出的 admin 用户现在具有额外的特权。