1. Zuhause
  2. Frage und Antwort
  3. Authentifizierung schlägt fehl, wenn „Kraft Passwort ändern bei der nächsten Anmeldung“ enabling mit OpenDJ/OpenAM

Authentifizierung schlägt fehl, wenn „Kraft Passwort ändern bei der nächsten Anmeldung“ enabling mit OpenDJ/OpenAM

2012-04-11 24 views
1

Ich verwende OpenAM 9.5.4 und Open DJ 2.4.5 und Probleme mit der „erzwungenen Passwortänderung auf Reset“Authentifizierung schlägt fehl, wenn „Kraft Passwort ändern bei der nächsten Anmeldung“ enabling mit OpenDJ/OpenAM

hier haben, sind die Schritte, die ich meine Umgebung nahm einzurichten:

1) einen Passwort-Service auf den Standard-Realm hinzugefügt:

  • iplanet-am-Passwort-Reset-userValidate = uid
  • iplanet-am-Passwort-Reset-Suchfilter = objectclass = person
  • iplanet-am-Passwort-Reset-baseDN = dc = opensso, dc-java, dc = net
  • iplanet-am-Passwort-Reset-lockout- Dauer = 0
  • iplanet-am-Passwort-Reset-max-num-of-Fragen = 5
  • iplanet-am-Passwort-Reset-Frage = Lieblings-Restaurant
  • iplanet-am-Passwort-Reset- bindPasswd = * *
  • iplanet-am-Passwort-Reset-Ausfall-Dauer = 300
  • iplanet-am-Passwort-Reset-Benachrichtigung = com.sun.identity.password.plugins.EmailPassword
  • iplanet-am-Passwort-Reset-Lockout-attribute-name = inetUserStatus
  • iplanet-am-Passwort -reset-Lockout-Attribut-Wert = inaktiv
  • iplanet-am-Passwort-Reset-Lockout-warn-user = 4
  • iplanet-am-Passwort-Reset-bindDN = cn = openssouser, ou = opensso Adminusers, dc = opensso, dc = java, dc = netz
  • iplanet-am-kennwort-reset-lockout-email-adresse =
  • iplanet-am-password-reset-user-p ersönliche-Frage = true RequiredValueValidator = com.sun.identity.sm.RequiredValueValidator
  • iplanet-am-Passwort-Reset-force-Reset = true
  • iplanet-am-Passwort-Reset-Ausfall-count = 5
  • iplanet-am-kennwort-reset-failure-lockout-mode = true
  • iplanet-am-kennwort-reset-option = com.sun.identity.password.plugins.RandomPasswordGenerator
  • iplanet-am-Passwort-Reset-enabled = true

2) eine Kennwortrichtlinie in OpenDJ Erstellt:

Konfigurieren Sie die Eigenschaften des Passwort Richtlinie

 Property         Value(s) 
    ------------------------------------------------------- 
1) account-status-notification-handler  - 
2) allow-expired-password-changes    false 
3) allow-user-password-changes    true 
4) default-password-storage-scheme   Salted SHA-1 
5) deprecated-password-storage-scheme   - 
6) expire-passwords-without-warning   false 
7) force-change-on-add      false 
8) force-change-on-reset      true 
9) grace-login-count       0 
10) idle-lockout-interval      0 s 
11) last-login-time-attribute     - 
12) last-login-time-format      - 
13) lockout-duration       0 s 
14) lockout-failure-count      0 
15) lockout-failure-expiration-interval  0 s 
16) max-password-age       2 d 
17) max-password-reset-age      0 s 
18) min-password-age       0 s 
19) password-attribute       userpassword 
20) password-change-requires-current-password false 
21) password-expiration-warning-interval  1 d 
22) password-generator       - 
23) password-history-count      0 
24) password-history-duration     0 s 
25) password-validator       - 
26) previous-last-login-time-format   - 
27) require-change-by-time      - 
28) require-secure-authentication    false 
29) require-secure-password-changes   false 

?) help 
f) finish - apply any changes to the Password Policy 
c) cancel 
q) quit

3) ein virtuelles Attribut Erstellt die Kennwortrichtlinie für eine Gruppe von Benutzern zuweisen:

Konfigurieren Sie die Eigenschaften des benutzerdefinierten virtuellen Attribut

Property   Value(s) 
    ----------------------------------------------------------------------- 
1) attribute-type  ds-pwp-password-policy-dn 
2) base-dn   The location of the entry in the server is not taken 
         into account when determining whether an entry is 
         eligible to use this virtual attribute. 
3) conflict-behavior real-overrides-virtual 
4) enabled   true 
5) filter    (objectClass=*) 
6) group-dn   "cn=Users,ou=groups,dc=opensso,dc=java,dc=net" 
7) value    "cn=OpenSSO Users Policy,cn=Password 
         Policies,cn=config" 

?) help 
f) finish - apply any changes to the User Defined Virtual Attribute 
c) cancel 
q) quit

4)

einen Benutzer erstellt werden, wenn ich die Reset-Passwort-Bildschirme gehen durch die geheime Frage zu beantworten, erhalte ich die E-Mail zum Zurücksetzen des Passworts. Aber mit dem neuen Passwort (oder alt) gibt und "Authentication Error"

Ich schaute auf den Benutzer in der OpenDJ Control Panel, die "pwdReset" -Attribut geändert von "falsch" auf "wahr" wie erwartet. Aber wenn ich es wieder auf "falsch" ändere, authentifiziere ich die Eigenschaft, aber ich bin nicht gezwungen, das Passwort zu ändern.

Hat jemand anderes dieses Problem?

Quelle

2012-04-11 Geoff Skyles

Antwort

0

Ihre Einstellungen gehen davon aus, dass OpenAM 9.5.4 full die OpenDJ-Kennwortrichtlinienfunktionen unterstützt. Dies ist jedoch nicht der Fall. Ich schlage vor, dass Sie das Archiv der OpenAM-Mailingliste überprüfen, da dies mehrfach diskutiert wurde.

Grüße,

Ludo

Quelle

2012-04-23 03:28:55

+0

Ich habe das gleiche Verhalten mit OpenAM 10.0.0 gesehen. Ich fand Mailingliste Posts, die besagt, dass die Funktion nur in der nächtlichen Build ab 9.5.4 verfügbar war - weiß jemand, ob diese Funktion in 10 zusammengeführt wurde oder ist es noch nicht live? – wrschneider

 Verwandte Themen

  • Keine verwandten Themen^_^