認證使當「強制更改密碼下一步登錄」使用失敗OpenDJ/OpenAM

Question

我使用OpenAM 9.5.4開放DJ 2.4.5，並具有「上電覆位強制更改密碼」

這裏有問題我把步驟設置我的環境：

1）增加了一個密碼服務的默認領域：

• 的iPlanet-AM-密碼復位userValidate = UID
• iplanet-am-password-reset-searchFilter = objectclass = person
• iplanet-am-password-reset-baseDN = dc = opensso，dc-java，dc = net
• iplanet-am-password-reset -lockout-持續時間= 0
• 的iPlanet-AM-密碼重置-MAX-NUM-的問句= 5
• 的iPlanet-AM-密碼復位問題=最喜歡的餐廳
• 的iPlanet-AM-密碼重置 - bindPasswd = * *
• iplanet-am-password-reset-failure-duration = 300
• 的iPlanet-AM-密碼復位通知= com.sun.identity.password.plugins.EmailPassword
• 的iPlanet-AM-密碼復位鎖定屬性名= inetuserstatus
• 的iPlanet-AM-密碼-reset-鎖定屬性值=無活性
• 的iPlanet-AM-密碼復位閉鎖-警告用戶= 4
• 的iPlanet-AM-密碼復位指定binddn = CN = openssouser，OU = OpenSSO的adminusers， dc = opensso，dc = java，dc = net
• iplanet-am-password-reset -lockout-email-address =
• iplanet-am-password-reset-user-p叫做Personal-問題=真 RequiredValueValidator = com.sun.identity.sm.RequiredValueValidator
• 的iPlanet-AM-密碼重置力復位=真
• 的iPlanet-AM-密碼重置失敗計數= 5
• iplanet-am-password-reset-failure -lockout-mode = true
• iplanet-am-password-reset-option = com.sun.identity.password.plugins。
• 復位啓用的iPlanet-AM-密碼RandomPasswordGenerator =真

2）創建於OpenDJ密碼策略：

配置密碼的屬性政策

 Property         Value(s) 
    ------------------------------------------------------- 
1) account-status-notification-handler  - 
2) allow-expired-password-changes    false 
3) allow-user-password-changes    true 
4) default-password-storage-scheme   Salted SHA-1 
5) deprecated-password-storage-scheme   - 
6) expire-passwords-without-warning   false 
7) force-change-on-add      false 
8) force-change-on-reset      true 
9) grace-login-count       0 
10) idle-lockout-interval      0 s 
11) last-login-time-attribute     - 
12) last-login-time-format      - 
13) lockout-duration       0 s 
14) lockout-failure-count      0 
15) lockout-failure-expiration-interval  0 s 
16) max-password-age       2 d 
17) max-password-reset-age      0 s 
18) min-password-age       0 s 
19) password-attribute       userpassword 
20) password-change-requires-current-password false 
21) password-expiration-warning-interval  1 d 
22) password-generator       - 
23) password-history-count      0 
24) password-history-duration     0 s 
25) password-validator       - 
26) previous-last-login-time-format   - 
27) require-change-by-time      - 
28) require-secure-authentication    false 
29) require-secure-password-changes   false 

?) help 
f) finish - apply any changes to the Password Policy 
c) cancel 
q) quit 

3）創建的虛擬屬性的密碼策略分配給一個用戶組：

配置用戶的屬性定義的虛擬屬性

創建了一個用戶

當我經過重置密碼的屏幕回答機密問題

Property   Value(s) 
    ----------------------------------------------------------------------- 
1) attribute-type  ds-pwp-password-policy-dn 
2) base-dn   The location of the entry in the server is not taken 
         into account when determining whether an entry is 
         eligible to use this virtual attribute. 
3) conflict-behavior real-overrides-virtual 
4) enabled   true 
5) filter    (objectClass=*) 
6) group-dn   "cn=Users,ou=groups,dc=opensso,dc=java,dc=net" 
7) value    "cn=OpenSSO Users Policy,cn=Password 
         Policies,cn=config" 

?) help 
f) finish - apply any changes to the User Defined Virtual Attribute 
c) cancel 
q) quit 

4），我得到的電子郵件重置密碼。但使用新密碼（或舊）給出和「身份驗證錯誤」

我在OpenDJ控制面板中查看用戶，「pwdReset」屬性從「false」更改爲「true」，如預期的那樣。但是，如果我將其更改回「false」，我會驗證屬性，但我不會強制更改密碼。

有沒有其他人有這個問題？

Answer 1

您的設置假定OpenAM 9.5.4完全支持OpenDJ密碼策略功能。 但事實並非如此。我建議你檢查一下OpenAM郵件列表的存檔，因爲這已經討論過好幾次了。

問候，

魯