При необходимости можно предоставить пользователям возможность изменять свои пароли Active Directory с портала или приложения Workspace ONE в любое удобное для них время. Пользователи также могут выполнять сброс своих паролей Active Directory на странице входа VMware Identity Manager, если пароль просрочен или если администратор Active Directory сбросил пароль, чтобы пользователь изменил его при следующем входе в систему.
Этот параметр можно включить для всего каталога, выбрав параметр Разрешить изменение паролей на странице «Параметры каталога».
Пользователи могут сменить свои пароли при входе на портал Workspace ONE. Для этого они должны щелкнуть свое имя в правом верхнем углу экрана, выбрать в раскрывающемся меню пункт Учетная запись и щелкнуть ссылку Изменить пароль. В приложении Workspace ONE пользователи могут сменить свои пароли, щелкнув значок меню в виде трех полос и выбрав пункт Пароль.
Пароли с истекшим сроком действия и пароли, сброшенные администратором в Active Directory, можно изменить на странице входа в систему. Если пользователь попытается войти в систему с просроченным паролем, ему будет предложено сбросить пароль. Для этого пользователь должен ввести старый и новый пароль.
Требования, предъявляемые к новым паролям, определяются политикой использования паролей Active Directory. Количество разрешенных попыток также зависит от политики использования паролей Active Directory.
Действуют следующие ограничения.
На функциональном уровне домена Active Directory должна поддерживаться Windows 2008 или более поздние версии ОС.
При добавлении глобального каталога в VMware Identity Manager параметр Разрешить изменение паролей недоступен. При добавлении каталогов можно выбрать параметр «Active Directory с протоколом LDAP» или «Проверка подлинности Windows», используя порт 389 или 636.
Пароль пользователя с различающимся именем для подключения нельзя сбросить из VMware Identity Manager, даже если он просрочен или сброшен администратором Active Directory.
Примечание.Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.
Пароли пользователей, чьи имена для входа содержат многобайтные символы (отличные от ASCII), из VMware Identity Manager сбросить нельзя.
Параметр «Разрешить изменение паролей» невозможно включить для каталогов ACC.
Необходимые условия
На VMware Identity Manager нужно открыть порт 464 для контроллеров домена. В развертывании SaaS для контроллеров домена необходимо открыть на соединителе VMware Identity Manager порт 464.
Параметр Разрешить изменение паролей доступен только для соединителей версии 2016.11.1 и более новых.
Процедура
- В консоли VMware Identity Manager выберите вкладку Управление учетными данными и доступом.
- На странице Каталоги щелкните каталог.
- В разделе Разрешить изменение паролей установите флажок Включить функцию изменения паролей.
- Введите пароль для различающегося имени для подключения в разделе Сведения о пользователе подключения и нажмите кнопку Сохранить.