Ich verwende OpenAM 9.5.4 und Open DJ 2.4.5 und Probleme mit der „erzwungenen Passwortänderung auf Reset“Authentifizierung schlägt fehl, wenn „Kraft Passwort ändern bei der nächsten Anmeldung“ enabling mit OpenDJ/OpenAM
hier haben, sind die Schritte, die ich meine Umgebung nahm einzurichten:
1) einen Passwort-Service auf den Standard-Realm hinzugefügt:
- iplanet-am-Passwort-Reset-userValidate = uid
- iplanet-am-Passwort-Reset-Suchfilter = objectclass = person
- iplanet-am-Passwort-Reset-baseDN = dc = opensso, dc-java, dc = net
- iplanet-am-Passwort-Reset-lockout- Dauer = 0
- iplanet-am-Passwort-Reset-max-num-of-Fragen = 5
- iplanet-am-Passwort-Reset-Frage = Lieblings-Restaurant
- iplanet-am-Passwort-Reset- bindPasswd = * *
- iplanet-am-Passwort-Reset-Ausfall-Dauer = 300
- iplanet-am-Passwort-Reset-Benachrichtigung = com.sun.identity.password.plugins.EmailPassword
- iplanet-am-Passwort-Reset-Lockout-attribute-name = inetUserStatus
- iplanet-am-Passwort -reset-Lockout-Attribut-Wert = inaktiv
- iplanet-am-Passwort-Reset-Lockout-warn-user = 4
- iplanet-am-Passwort-Reset-bindDN = cn = openssouser, ou = opensso Adminusers, dc = opensso, dc = java, dc = netz
- iplanet-am-kennwort-reset-lockout-email-adresse =
- iplanet-am-password-reset-user-p ersönliche-Frage = true RequiredValueValidator = com.sun.identity.sm.RequiredValueValidator
- iplanet-am-Passwort-Reset-force-Reset = true
- iplanet-am-Passwort-Reset-Ausfall-count = 5
- iplanet-am-kennwort-reset-failure-lockout-mode = true
- iplanet-am-kennwort-reset-option = com.sun.identity.password.plugins.RandomPasswordGenerator
- iplanet-am-Passwort-Reset-enabled = true
2) eine Kennwortrichtlinie in OpenDJ Erstellt:
Konfigurieren Sie die Eigenschaften des Passwort Richtlinie
Property Value(s)
-------------------------------------------------------
1) account-status-notification-handler -
2) allow-expired-password-changes false
3) allow-user-password-changes true
4) default-password-storage-scheme Salted SHA-1
5) deprecated-password-storage-scheme -
6) expire-passwords-without-warning false
7) force-change-on-add false
8) force-change-on-reset true
9) grace-login-count 0
10) idle-lockout-interval 0 s
11) last-login-time-attribute -
12) last-login-time-format -
13) lockout-duration 0 s
14) lockout-failure-count 0
15) lockout-failure-expiration-interval 0 s
16) max-password-age 2 d
17) max-password-reset-age 0 s
18) min-password-age 0 s
19) password-attribute userpassword
20) password-change-requires-current-password false
21) password-expiration-warning-interval 1 d
22) password-generator -
23) password-history-count 0
24) password-history-duration 0 s
25) password-validator -
26) previous-last-login-time-format -
27) require-change-by-time -
28) require-secure-authentication false
29) require-secure-password-changes false
?) help
f) finish - apply any changes to the Password Policy
c) cancel
q) quit
3) ein virtuelles Attribut Erstellt die Kennwortrichtlinie für eine Gruppe von Benutzern zuweisen:
Konfigurieren Sie die Eigenschaften des benutzerdefinierten virtuellen Attribut
Property Value(s)
-----------------------------------------------------------------------
1) attribute-type ds-pwp-password-policy-dn
2) base-dn The location of the entry in the server is not taken
into account when determining whether an entry is
eligible to use this virtual attribute.
3) conflict-behavior real-overrides-virtual
4) enabled true
5) filter (objectClass=*)
6) group-dn "cn=Users,ou=groups,dc=opensso,dc=java,dc=net"
7) value "cn=OpenSSO Users Policy,cn=Password
Policies,cn=config"
?) help
f) finish - apply any changes to the User Defined Virtual Attribute
c) cancel
q) quit
4)
einen Benutzer erstellt werden, wenn ich die Reset-Passwort-Bildschirme gehen durch die geheime Frage zu beantworten, erhalte ich die E-Mail zum Zurücksetzen des Passworts. Aber mit dem neuen Passwort (oder alt) gibt und "Authentication Error"
Ich schaute auf den Benutzer in der OpenDJ Control Panel, die "pwdReset" -Attribut geändert von "falsch" auf "wahr" wie erwartet. Aber wenn ich es wieder auf "falsch" ändere, authentifiziere ich die Eigenschaft, aber ich bin nicht gezwungen, das Passwort zu ändern.
Hat jemand anderes dieses Problem?
Ich habe das gleiche Verhalten mit OpenAM 10.0.0 gesehen. Ich fand Mailingliste Posts, die besagt, dass die Funktion nur in der nächtlichen Build ab 9.5.4 verfügbar war - weiß jemand, ob diese Funktion in 10 zusammengeführt wurde oder ist es noch nicht live? – wrschneider