重置已过期的密码

密码策略执行密码过期时，某些用户可能未及时更改密码。本部分说明如何更改已过期的密码。

注 –

每次修改条目上的密码时，目录服务器都会更新操作属性 pwdChangedTime(5dsat)。因此，如果您准备启用密码过期，则已超过存留期限的用户密码会在您启用密码过期后立即过期。如果您不希望发生这种情况，请使用警告和宽限登录。

本部分包含使用密码修改扩展操作重置密码以及在密码过期时允许宽限验证的过程。

本部分介绍的机制可供管理员使用，或者供处理用户与目录之间实际交互的应用程序使用。通常，您需要依赖于应用程序来确保最终用户使用机制的方式实际上与预期相同。

使用密码修改扩展操作重置密码

密码过期时用户帐户将被锁定。重置密码时，将对帐户解除锁定。其他用户(如管理员)可以重置密码。重置密码后，目录服务器将对用户帐户解除锁定。目录服务器提供 RFC 3062(

允许使用密码修改扩展操作时应特别谨慎，如以下过程所示。请仅为您所信任的管理员和应用程序授予访问权限。请勿以明文形式在网络中传送密码。

无法使用 DSCC 执行此任务。请使用命令行，如以下过程所述。

为用户授予对密码管理员或密码管理应用程序的访问权限。

允许密码管理员使用密码修改扩展操作。

以下命令将设置一个 ACI，以允许密码管理员角色的成员在通过 SSL 进行连接时使用密码修改扩展操作：

$ cat exop.ldif

dn: oid=1.3.6.1.4.1.4203.1.11.1,cn=features,cn=config

objectClass: top

objectClass: directoryServerFeature

oid: 1.3.6.1.4.1.4203.1.11.1

cn: Password Modify Extended Operation

aci: (targetattr != "aci")(version 3.0;

acl "Password Modify Extended Operation

"; allow( read, search, compare, proxy ) (roledn = "

ldap:///cn=Password Managers,dc=example,dc=com" and authmethod = "SSL");)

$ ldapmodify -a -D cn=admin,cn=Administrators,cn=config -w - -f exop.ldif

Enter bind password:

adding new entry oid=1.3.6.1.4.1.4203.1.11.1,cn=features,cn=config

$

cn=features,cn=config 下的条目允许您管理对特定操作(使用密码修改扩展操作)的访问权限。

让密码管理员重置用户密码。

此步骤将对用户帐户解除锁定，可以使用 ldappasswd(1) 命令完成此步骤。

(可选的)如果用户必须更改密码，请让密码管理员通知用户。

如果管理用户条目的密码策略包含 pwdMustChange: TRUE，则用户必须在重置密码后更改其密码。

在密码过期时允许宽限验证

此过程介绍如何为用户提供宽限验证，以允许用户更改已过期的密码。

宽限验证应该由处理密码策略请求和响应控制的应用程序进行管理。此过程说明了一个简单示例，即如何在应用程序中使用此类控制。

无法使用 DSCC 执行此任务。请使用命令行，如以下过程所述。

确保用户可以访问使用密码策略请求和响应控制的应用程序。

应用程序应确保用户正确处理宽限验证。

允许应用程序使用密码策略控制。

以下命令将设置一个 ACI，以允许密码管理员角色的成员使用密码策略控制：

$ cat ctrl.ldif

dn: oid=1.3.6.1.4.1.42.2.27.8.5.1,cn=features,cn=config

objectClass: top

objectClass: directoryServerFeature

oid: 1.3.6.1.4.1.42.2.27.8.5.1

cn: Password Policy Controls

aci: (targetattr != "aci")(version 3.0; acl "Password Policy Controls

"; allow( read, search, compare, proxy ) roledn = "

ldap:///cn=Password Managers,dc=example,dc=com";)

$ ldapmodify -a -D cn=admin,cn=Administrators,cn=config -w - -f ctrl.ldif

Enter bind password:

adding new entry oid=1.3.6.1.4.1.42.2.27.8.5.1,cn=features,cn=config

$

cn=features,cn=config 下条目的唯一用途就是允许您管理对特定操作(使用密码策略请求和响应控制)的访问权限。

将密码策略中的 pwdGraceAuthNLimit 设置为密码过期后允许的验证次数。

确保应用程序能指导最终用户在宽限验证失效之前正确更改已过期的密码。