Сбой аутентификации при включении "Принудительного изменения пароля при следующем входе в систему" ​​с использованием OpenDJ/OpenAM

Я использую OpenAM 9.5.4 и Open DJ 2.4.5 и у меня проблемы с "принудительной сменой пароля при сбросе"

Вот шаги, которые я предпринял, чтобы настроить свою среду:

1) Добавлена ​​служба паролей в область по умолчанию:

• IPlanet-ам-пароль-сброс-userValidate= UID
• IPlanet-ам-пароль-сброс-searchFilter= ObjectClass = человек
• IPlanet-ам-пароль-сброс-окнеРазличающееся_имя_базыполе = dc = OpenSSO, DC-Java, DC = сеть
• IPlanet-ам-пароль сброс-локаут-длительность =0
• IPlanet-ам-пароль-сброс-макс-NUM-оф-вопросы =5
• IPlanet-ам-пароль-сброс-вопрос = любимый-ресторан
• iplanet-am-password-reset-bindPasswd =**
• IPlanet-ам-пароль-сброс безотказная-импульсная =300
• IPlanet-ам-пароль-сброс-уведомление = com.sun.identity.password.plugins.EmailPassword
• IPlanet-ам-пароль-сброс-локаут-атрибут-имя = inetuserstatus
• IPlanet-ам-пароль-сброс-локаут-атрибут-значение = неактивный
• IPlanet-ам-пароль-сброс-локаут-предостерегает пользователь = 4
• iplanet-am-password-reset-bindDN = cn = openssouser, ou = opensso adminusers, dc = opensso, dc = java, dc = net
• IPlanet-ам-пароль-сброс-локаут-электронный-адрес =
• iplanet-am-password-reset-user-personal-question = true RequiredValueValidator = com.sun.identity.sm.RequiredValueValidator
• IPlanet-ам-пароль сброс сила сброс = истина
• IPlanet-ам-пароль сброс при отказе подсчет =5
• IPlanet-ам-пароль сброс безотказная-блокировка режим = истина
• IPlanet-ам-пароль сброс-опция = com.sun.identity.password.plugins.RandomPasswordGenerator
• IPlanet-ам-пароль-сброс-Enabled= правда

2) Создана политика паролей в OpenDJ:

Настройте свойства политики паролей

     Property                                   Value(s)
     -------------------------------------------------------
1)   account-status-notification-handler        -
2)   allow-expired-password-changes             false
3)   allow-user-password-changes                true
4)   default-password-storage-scheme            Salted SHA-1
5)   deprecated-password-storage-scheme         -
6)   expire-passwords-without-warning           false
7)   force-change-on-add                        false
8)   force-change-on-reset                      true
9)   grace-login-count                          0
10)  idle-lockout-interval                      0 s
11)  last-login-time-attribute                  -
12)  last-login-time-format                     -
13)  lockout-duration                           0 s
14)  lockout-failure-count                      0
15)  lockout-failure-expiration-interval        0 s
16)  max-password-age                           2 d
17)  max-password-reset-age                     0 s
18)  min-password-age                           0 s
19)  password-attribute                         userpassword
20)  password-change-requires-current-password  false
21)  password-expiration-warning-interval       1 d
22)  password-generator                         -
23)  password-history-count                     0
24)  password-history-duration                  0 s
25)  password-validator                         -
26)  previous-last-login-time-format            -
27)  require-change-by-time                     -
28)  require-secure-authentication              false
29)  require-secure-password-changes            false

?)   help
f)   finish - apply any changes to the Password Policy
c)   cancel
q)   quit

3) Создан виртуальный атрибут для назначения политики паролей группе пользователей:

Настройте свойства пользовательского виртуального атрибута

    Property           Value(s)
    -----------------------------------------------------------------------
1)  attribute-type     ds-pwp-password-policy-dn
2)  base-dn            The location of the entry in the server is not taken
                       into account when determining whether an entry is
                       eligible to use this virtual attribute.
3)  conflict-behavior  real-overrides-virtual
4)  enabled            true
5)  filter             (objectClass=*)
6)  group-dn           "cn=Users,ou=groups,dc=opensso,dc=java,dc=net"
7)  value              "cn=OpenSSO Users Policy,cn=Password
                       Policies,cn=config"

?)  help
f)  finish - apply any changes to the User Defined Virtual Attribute
c)  cancel
q)  quit

4) Создан пользователь

Когда я иду через экраны "Сброс пароля", отвечаю на секретный вопрос, я получаю электронное письмо для сброса пароля. Но использование нового (или старого) пароля дает и "Ошибка аутентификации"

Я посмотрел на пользователя в панели управления OpenDJ, атрибут "pwdReset" изменился с "false" на "true", как и ожидалось. Но если я изменяю его обратно на "ложь", я аутентифицирую свойство, но я не вынужден менять пароль.

У кого-нибудь еще возникла такая проблема?