パスワード・ポリシー属性の指定変更

以下の情報を参考にして、パスワード・ポリシー属性を指定変更します。

以下を最初に行う必要があります。

ディレクトリー管理者は、パスワード・ポリシー操作属性を変更し、サーバー管理制御 (LDAP コマンド行ユーティリティーの -k オプション) を使用して、特定項目の正規のパスワード・ポリシー動作を指定変更することができます。

userPassword 属性を設定する時に pwdChangedTime 属性を将来の先の日付に設定することによって、特定アカウントのパスワードが満了しないようにすることができます。以下の例は、時刻を 2200 年 1 月 1 日深夜 12 時に設定しています。
```
> ldapmodify -D cn=root -w ? -k
dn: uid=wasadmin,cn=users,o=ibm
changetype: modify
replace: pwdChangedTime
pwdChangedTime: 22000101000000Z
```
次のように、pwdAccountLockedTime と pwdFailureTime の属性を除去することによって、過大なログイン失敗数のためにロックされたアカウントをアンロックできます。
```
> ldapmodify -D cn=root -w ? -k
dn: uid=user1,cn=users,o=ibm
changetype: modify
delete: pwdAccountLockedTime
-
delete: pwdFailureTime
```

次のように、pwdChangedTime を変更し、pwdExpirationWarned と pwdGraceUseTime の属性を消去して、満了したアカウントをアンロックすることができます。

> ldapmodify -D cn=root -w ? -k
dn: uid=user1,cn=users,o=ibm
changetype: modify
replace: pwdChangedTime
pwdChangedTime: 20040826000000Z
-
delete: pwdExpirationWarned
-
delete: pwdGraceUseTime

次のように、pwdReset 属性を設定して、「パスワードを変更する必要がある」状況を消去または設定することができます。

> ldapmodify -D cn=root -w ? -k
dn: uid=user1,cn=users,o=ibm
changetype: modify
delete: pwdReset

> ldapmodify -D cn=root -w ? -k
dn: uid=user2,cn=users,o=ibm
changetype: modify
replace: pwdReset
pwdReset: TRUE

アカウントは、ibm-pwdAccountLocked 操作属性を TRUE に設定することによって、管理のためにロックすることができます。
書き込みアクセス権が必要となる属性のユーザー設定は ibm-pwdAccountLocked 属性で、これは CRITICAL アクセス・クラス中に定義されます。
```
> ldapmodify -D uid=useradmin,cn=users,o=ibm -w ?
dn: uid=user1,cn=users,o=ibm
changetype: modify
replace: ibm-pwdAccountLocked
ibm-pwdAccountLocked: TRUE
```
この属性を FALSE に設定することによって、アカウントをアンロックできます。この方法でアカウントをアンロックした場合は、パスワードの失敗が多いためか、あるいはパスワード有効期限のためかにかかわらず、ロックされているアカウントの状況には影響しません。
書き込みアクセス権が必要となる属性のユーザー設定は ibm-pwdAccountLocked 属性で、これは CRITICAL アクセス・クラス中に定義されます。
```
> ldapmodify -D uid=useradmin,cn=users,o=ibm -w ?
dn: uid=user1,cn=users,o=ibm
changetype: modify
replace: ibm-pwdAccountLocked
ibm-pwdAccountLocked: FALSE
```