Question

我正在使用OpenAM 9.5.4和Open DJ 2.4.5，并且在“重置时强制更改密码”方面存在问题

以下是我设置环境的步骤：

1）在默认领域添加了密码服务：

的iPlanet-AM-密码复位userValidate = UID

的iPlanet-AM-密码复位searchFilter =对象类=人

的iPlanet-AM-密码复位基本DN = DC =的opensso，DC-java中，DC =净

的iPlanet-AM-密码复位锁定持续时间= 0

的iPlanet-AM-密码复位-MAX-NUM-的问句= 5

的iPlanet-AM-密码复位问题=喜爱餐厅

的iPlanet-AM-密码复位bindPasswd = * *

的iPlanet-AM-密码复位故障持续时间= 300

的iPlanet-AM-密码复位通知= com.sun.identity.password.plugins.EmailPassword

的iPlanet-AM-密码复位锁定属性名= inetuserstatus

的iPlanet-AM-密码复位锁定属性值=无活性

的iPlanet-AM-密码复位闭锁-警告用户= 4

iplanet-am-password-reset-bindDN = cn = openssouser，ou = opensso adminusers，dc = opensso，dc = java，dc = net

的iPlanet-AM-密码复位闭锁的电子邮件地址=

的iPlanet-AM-密码复位用户个人问题=真   RequiredValueValidator = com.sun.identity.sm.RequiredValueValidator

的的iPlanet-AM-密码复位力复位=真

的iPlanet-AM-密码重置故障计数= 5

的iPlanet-AM-密码复位故障锁定模式=真

的iPlanet-AM-密码复位选项= com.sun.identity.password.plugins.RandomPasswordGenerator

的iPlanet-AM-密码启用复位=真

2）在OpenDJ中创建了密码策略：

配置密码策略的属性

     Property                                   Value(s)
     -------------------------------------------------------
1)   account-status-notification-handler        -
2)   allow-expired-password-changes             false
3)   allow-user-password-changes                true
4)   default-password-storage-scheme            Salted SHA-1
5)   deprecated-password-storage-scheme         -
6)   expire-passwords-without-warning           false
7)   force-change-on-add                        false
8)   force-change-on-reset                      true
9)   grace-login-count                          0
10)  idle-lockout-interval                      0 s
11)  last-login-time-attribute                  -
12)  last-login-time-format                     -
13)  lockout-duration                           0 s
14)  lockout-failure-count                      0
15)  lockout-failure-expiration-interval        0 s
16)  max-password-age                           2 d
17)  max-password-reset-age                     0 s
18)  min-password-age                           0 s
19)  password-attribute                         userpassword
20)  password-change-requires-current-password  false
21)  password-expiration-warning-interval       1 d
22)  password-generator                         -
23)  password-history-count                     0
24)  password-history-duration                  0 s
25)  password-validator                         -
26)  previous-last-login-time-format            -
27)  require-change-by-time                     -
28)  require-secure-authentication              false
29)  require-secure-password-changes            false

?)   help
f)   finish - apply any changes to the Password Policy
c)   cancel
q)   quit

3）创建虚拟属性以将密码策略分配给一组用户：

配置用户定义虚拟属性的属性

    Property           Value(s)
    -----------------------------------------------------------------------
1)  attribute-type     ds-pwp-password-policy-dn
2)  base-dn            The location of the entry in the server is not taken
                       into account when determining whether an entry is
                       eligible to use this virtual attribute.
3)  conflict-behavior  real-overrides-virtual
4)  enabled            true
5)  filter             (objectClass=*)
6)  group-dn           "cn=Users,ou=groups,dc=opensso,dc=java,dc=net"
7)  value              "cn=OpenSSO Users Policy,cn=Password
                       Policies,cn=config"

?)  help
f)  finish - apply any changes to the User Defined Virtual Attribute
c)  cancel
q)  quit

4）创建了一个用户

当我通过重置密码屏幕回答密码问题时，我收到了重置密码的电子邮件。但是使用新密码（或旧密码）给出了“身份验证错误”

我在OpenDJ控制面板中查看了用户，“pwdReset”属性按预期从“false”更改为“true”。但是，如果我将其更改为“false”，我会对属性进行身份验证，但我不会被迫更改密码。

还有其他人有这个问题吗？

Answer 1

您的设置假设OpenAM 9.5.4完全支持OpenDJ密码策略功能。然而，这种情况并非如此。我建议您检查OpenAM邮件列表的存档，因为已经多次讨论过。

此致

鲁

使用OpenDJ / OpenAM启用“下次登录时强制更改密码”时，身份验证失败

1 个答案: