|
| Sun ONE Directory Server 管理指南 |
使用者連線至目錄伺服器時,系統會驗證該使用者,目錄會根據驗證期間所建立的身份,授與使用者存取權利和資源限制。
本章描述使用者帳戶管理的工作,包括設定目錄的密碼和帳戶鎖定原則,停用帳戶或使用者群組使其無法存取目錄,以及根據使用者的連結 DN 限制使用者可用的系統資源。
Directory Server 5.2 引進了個別密碼原則。可以定義不同的密碼原則,原則數量不限,並將其中任一個原則套用在指定使用者或使用者群組。這樣可以更容易控制不同類型的使用者存取目錄的方式。
本章包含下列章節:
密碼原則概論
安全的密碼原則能透過強制執行下列各項,讓密碼容易被猜測的相關風險降至最低:
- 使用者必須根據排程變更他們的密碼。
- 使用者必須提供非一般的密碼。
- 當使用錯誤密碼連結超過指定次數後,帳戶可能會被鎖定。
自 Directory Server 5.2 起,您可以同時擁有個別和全域的密碼原則。個別密碼原則由樹狀目錄中的次要項目定義,該次要項目再供具有該原則的使用者項目參考。如果使用者項目不參考個別原則,就將 cn=PasswordPolicy,cn=config 中的全域密碼原則套用至該使用者項目上。
下一節說明如何執行密碼原則,以及如何將這些原則指派給使用者和群組。如需詳細資訊,請參閱《Sun ONE Directory Server 部署指南》第 7 章的<設計您的密碼原則>。
防止字典式攻擊
在字典式攻擊中,入侵者會不斷重複猜測密碼,嘗試破解密碼,直到取得授權為止。伺服器提供三種工具來抵抗這類攻擊:
- 密碼語法檢查會確認密碼不符合使用者項目中的 uid、cn、sn、givenName、ou 或 mail 屬性的值。如果密碼符合其中任一個值,伺服器將不允許使用者設定密碼。但是語法檢查無法阻止真正的字典式攻擊,例如入侵者進行字典式攻擊時會嘗試 /usr/dict/words 中的各種組合。
- 最短密碼長度會確保使用者無法設定太短的密碼。要猜對字元數較多的密碼,其難度呈指數增加,或要嘗試所有值。在 Directory Server 中,必須同時啟用密碼語法檢查和最短密碼長度。
- 帳戶鎖定機制會在若干次驗證嘗試失敗後禁止連結。鎖定可能是暫時性的,也可以是永久性的,視您對密碼原則要求的嚴格程度而定。
兩種方式都會有效防止自動的密碼猜測作業。例如,如果允許 5 次嘗試,連續失敗 5 次後就要將使用者帳戶鎖定 5 分鐘,這表示入侵者平均每分鐘只能猜一次,而對打字技術太差的使用者而言只是暫時的不方便。如果是永久鎖定,必須由目錄管理員手動重設使用者的密碼。
複寫環境中的密碼原則
個別和全域的密碼原則都會複寫。因此,可以在主機上定義密碼原則,並允許複寫將原則傳播到複寫的伺服器上。所有您設定的屬性都會被複寫,包括含有密碼記錄 (已經使用的舊密碼) 的操作屬性,以及密碼到期日期。
但是您應該考慮下列對複寫環境中使用密碼原則的影響:
- 當使用者的密碼接近到期日期時,會從每個所連結的複本處收到警告,直到變更密碼為止。
- 當使用者變更他們的密碼後,這項資訊需要一點時間才能在所有的複本上更新。如果使用者變更密碼,然後立即使用新密碼重新連結到其中一個取用者複本上,則連結可能會失敗,直到複本收到更新的密碼為止。
- 每個複本會保留不同的非複寫帳戶鎖定計數器。因此系統在每個單一複本上都強制執行鎖定原則,但在使用者嘗試連結數個複本時卻又避開了鎖定原則。例如,如果您在複寫拓撲內有 10 台伺服器,而且鎖定是在 3 次嘗試後啟用,則入侵者可能可以嘗試猜測密碼 30 次。
複寫雖然讓入侵者有比較多的猜測機會,但跟幾十億個密碼值相比,這個數字就算是微不足道。相較之下,開啟密碼檢查及設定長度超過 6 個字元的密碼,以強迫使用者使用強性密碼,就顯得重要得多。您也應該指示使用者如何選取及記住不是字典上常用字的密碼。最後,應該確定所有目錄管理員使用者都使用非常強性的密碼。
設定全域密碼原則
全域密碼原則適用於目錄中未定義個別原則的所有使用者。但是全域密碼不適用於目錄管理員。
使用主控台設定密碼原則
若要設定或修改 Directory Server 的全域密碼原則:
- 在 Directory Server 主控台 最上層的 [組態] 標籤上,選取 [資料] 節點,然後選取右面板上的 [密碼] 標籤。
- 在 [密碼] 標籤上,設定原則的下列部份:
- 選取 [重設後使用者必須變更密碼] 核取方塊,指定使用者必須在第一次登入後變更他們的密碼。
如果選取這個核取方塊,則只授權目錄管理員可以重設使用者的密碼。一般具管理權限的使用者無法強迫使用者更新他們的密碼。
- 若要允許使用者變更自己的密碼,請選取 [使用者可以變更密碼] 核取方塊。
- 若要限制使用者變更密碼的頻率,請在 [允許在 X 天內變更] 文字方塊中輸入天數。若要允許使用者視需要任意變更自己的密碼,請選取 [無限制] 核取方塊。
- 若要防止使用者一再重複使用同一個密碼,請選取 [保留密碼記錄] 核取方塊,並指定伺服器為每個使用者文字方塊保留的密碼數量。只要密碼仍存在清單中,使用者就無法設定該密碼。為有效起見,也應該限制使用者變更密碼的頻率。
- 如果您不希望使用者密碼過期,請選取 [密碼永久有效] 選項按鈕。
- 否則,請選取 [密碼在 X 日後到期] 選項按鈕,強迫使用者定期變更密碼,然後輸入使用者密碼保持有效的天數。
- 如果選擇讓密碼會到期,則可以在 [在密碼到期前 X 天傳送警告] 欄位中,指定在密碼到期前多久須傳送警告給使用者。
使用者收到警告時,密碼將在原日期到期。取消選取 [無論是否傳送警告,允許到期] 核取方塊,可延長到期時間,讓傳送警告後能有一段完整的警告期間。警告和延期將只會各發生一次。如果使用者在密碼到期後連結,則不寬限登入。
- 如果您希望伺服器檢查使用者密碼的語法,以確定該密碼符合密碼原則所設定的最小需求,請選取 [檢查密碼語法] 核取方塊。然後,在 [密碼最小長度] 文字方塊中指定密碼可接受的最短長度。
- 依預設值,目錄管理員無法重設違反密碼原則的密碼,例如重複使用記錄中的密碼。選取 [允許目錄管理員略過密碼原則] 核取方塊則可允許此作法。
- 從 [密碼加密] 下拉式功能表中,指定您希望伺服器儲存密碼時所使用的加密方法。
- 按一下 [帳戶鎖定] 標籤,並選取 [帳戶必須鎖定] 核取方塊以定義帳戶鎖定原則:
- 輸入登入失敗次數和登入失敗期間,失敗必須在這段期間發生該次數後才會觸動鎖定。
- 選取 [永遠鎖定] 選項按鈕,讓鎖定成為永久性,直到目錄管理員重設使用者密碼為止。
- 否則,選取 [鎖定持續期間] 選項按鈕,並輸入使用者帳戶將暫時鎖定的分鐘數。
- 完成密碼原則的變更後,請按一下 [儲存]。將立即強制執行新的全域密碼原則。
從指令行設定密碼原則
全域密碼原則由 cn=Password Policy, cn=config 項目的屬性定義。請使用 ldapmodify 公用程式變更此項目中的全域原則。
有關密碼原則中所有可能屬性的定義,請參閱《Sun ONE Directory Server 參考手冊》第 4 章的< cn=Password Policy >。
例如,預設狀況下會關閉密碼語法和長度檢查,並停用帳戶鎖定。使用下列指令可開啟語法檢查,將最短長度設成 8,並啟用 5 分鐘的暫時性鎖定,在連續 5 次錯誤的密碼嘗試後將帳戶鎖定:
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn:cn=Password Policy,cn=config
changetype:modify
replace:passwordCheckSyntax
passwordCheckSyntax:on
-
replace:passwordMinLength
passwordMinLength: 8
-
replace:passwordLockout
passwordLockout:on
-
replace:passwordMaxFailure
passwordMaxFailure: 5
-
replace:passwordLockoutDuration
passwordLockoutDuration: 300
-
replace:passwordUnlock
passwordUnlock:on管理個別密碼原則
個別密碼原則定義於含 passwordPolicy 物件類別的次要項目中。原則可定義在樹狀目錄的任何位置,但是其 DN 的格式必須是 cn=policy name,subtree。使用 Directory Server 主控台或指令行公用程式定義密碼原則後,在所要的使用者項目中設定 passwordPolicySubentry 屬性即可指派密碼原則。
在這一節中,我們舉例說明為樹狀子目錄根部位在 dc=example,dc=com 的 Example.com 執行臨時員工的密碼原則。
使用主控台定義原則
- 在 Directory Server 主控台最上層的 [目錄] 標籤上,顯示要定義個別密碼原則次要項目的項目。
- 以滑鼠右鍵按一下項目,並選取 [新增] > [密碼原則]。或者,以滑鼠左鍵按一下項目以選取該項目,再從 [物件] 功能表中選擇 [新增] > [密碼原則]。
顯示 [密碼原則] 項目的自訂編輯器。
- 在 [一般] 欄位中,輸入此原則的名稱和選用描述。這個名稱將成為定義原則的次要項目的 cn 命名屬性值。
- 按一下 [密碼] 標籤以設定原則的下列部分:
- 選取 [重設後使用者必須變更密碼] 核取方塊,指定使用者必須在第一次登入後變更他們的密碼。
如果選取這個核取方塊,則只授權目錄管理員可以重設使用者的密碼。一般具管理權限的使用者無法強迫使用者更新他們的密碼。
- 若要允許使用者變更自己的密碼,請選取 [使用者可以變更密碼] 核取方塊。
- 若要限制使用者變更密碼的頻率,請在 [允許在 X 天內變更] 文字方塊中輸入天數。若要允許使用者視需要任意變更自己的密碼,請選取 [無限制] 核取方塊。
- 若要防止使用者一再重複使用同一個密碼,請選取 [保留密碼記錄] 核取方塊,並指定伺服器為每個使用者文字方塊保留的密碼數量。只要密碼仍存在清單中,使用者就無法設定該密碼。為有效起見,您也應該限制使用者變更密碼的頻率。
- 如果不希望使用者密碼過期,請選取 [密碼永久有效] 選項按鈕。
- 否則,請選取 [密碼在 X 日後到期] 選項按鈕,強迫使用者定期變更密碼,然後輸入使用者密碼保持有效的天數。
- 如果選擇讓密碼會到期,則可以指定在密碼到期前多久須傳送警告給使用者。請在 [在密碼到期前 X 天傳送警告] 文字中,輸入要在密碼到期前傳送警告的天數。
使用者收到警告時,密碼將在原日期到期。取消選取 [無論是否傳送警告,允許到期] 核取方塊,可延長到期時間,讓傳送警告後能有一段完整的警告期間。警告和延期將只會各發生一次。如果使用者在密碼到期後連結,則不寬限登入。
- 如果您希望伺服器檢查使用者密碼的語法,以確定該密碼符合密碼原則所設定的最小需求,請選取 [檢查密碼語法] 核取方塊。然後,在 [密碼最小長度] 文字方塊中指定密碼可接受的最短長度。
- 依預設值,目錄管理員無法重設違反密碼原則的密碼,例如重複使用記錄中的密碼。選取 [允許目錄管理員略過密碼原則] 核取方塊則可允許此作法。
- 從 [密碼加密] 下拉式功能表中,指定您希望伺服器儲存密碼時所使用的加密方法。
- 按一下 [鎖定] 標籤,並選取 [帳戶必須鎖定] 核取方塊以定義帳戶鎖定原則:
- 輸入登入失敗次數和登入失敗期間,失敗必須在這段期間發生該次數後才會觸動鎖定。
- 選取 [永遠鎖定] 選項按鈕,讓鎖定成為永久性,直到目錄管理員重設使用者密碼為止。
- 否則,選取 [鎖定持續期間] 選項按鈕,並輸入使用者帳戶將暫時鎖定的分鐘數。
- 在自訂編輯器中按一下 [確定] 以儲存原則,並建立其次要項目。
從指令行定義原則
對於此密碼原則,想像您希望臨時員工的密碼在 100 天 (8,640,000 秒) 後到期,而且從密碼到期前 3 天 (259,200 秒) 起,會在使用者連結時傳回到期警告。開啟語法檢查以強制對密碼安全性進行最基本的檢查,並強制鎖定以防止入侵者企圖透過字典式攻擊破解密碼。至於原則的其他部份,則套用預設值。
在 dc=example,dc=com 下加入下列次要項目,藉以在 Example.com 樹狀子目錄中定義此密碼原則:
ldapmodify -a -h host -p port -D "cn=Directory Manager" -w password
dn:cn=TempPolicy,dc=example,dc=com
objectClass:top
objectClass:passwordPolicy
objectClass:LDAPsubentry
cn:TempPolicy
passwordStorageScheme:SSHA
passwordChange:on
passwordMustChange:on
passwordCheckSyntax:on
passwordExp:on
passwordExp:on
passwordMinLength: 6
passwordMaxAge: 8640000
passwordMinAge: 0
passwordWarning: 259200
passwordInHistory: 6
passwordLockout:on
passwordMaxFailure: 3
passwordUnlock:on
passwordLockoutDuration: 3600
passwordResetFailureCount: 600有關密碼原則中所有可能屬性的定義,請參閱《Sun ONE Directory Server 參考手冊》第 4 章的< cn=Password Policy >。
指定密碼原則
指派個別密碼原則包括指向適當的原則次要項目。可以將原則加入單一項目中作為 passwordPolicySubentry 的值,或者可用 CoS 和角色來管理原則。您也必須設定存取控制,以防止使用者修改套用在使用者上的密碼原則。
使用主控台
Directory Server 主控台提供了介面,可用於管理指派給使用者或群組的密碼原則:
- 在 Directory Server 主控台最上層的 [目錄] 標籤上,顯示要指派或修改個別密碼原則的使用者項目或群組項目。
- 以滑鼠右鍵按一下項目,並選取快顯功能表中的 [設定密碼原則]。或者,在項目上按一下滑鼠左鍵以選取項目,然後選擇 [物件] 功能表中的 [設定密碼原則]。
- [密碼原則] 對話方塊告訴您此項目適用哪個密碼原則:
- 如果適用全域原則,請按一下 [指派] 選擇樹狀目錄中任何位置的密碼原則次要項目。
- 如果已定義個別原則,則可取代、移除或編輯該原則。按一下 [編輯原則] 將啟動指名的原則次要項目的自訂編輯器。
指派或取代密碼原則將啟動目錄瀏覽器對話方塊,在此處可以找到顯示小鑰匙圖示的密碼原則次要項目。
- 如果已變更原則,請在 [密碼原則] 對話方塊中按一下 [確定]。新原則將立即生效。
從指令行
若要將密碼原則指派給使用者項目或群組項目,請將密碼原則的 DN 加入成為 passwordPolicySubentry 屬性的值。例如,下列指令將指派 cn=TempPolicy,dc=example,dc=com 給 Barbara Jensen:
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn:uid=bjensen,ou=People,dc=example,dc=com
changetype:modify
add:passwordPolicySubentry
passwordPolicySubentry:cn=TempPolicy,dc=example,dc=com使用角色和 CoS
將使用者依角色分組時,可以使用 CoS 以指向適當的原則次要項目。如需使用角色和 CoS 的詳細資訊,請參閱第 5 章<進階項目管理>。
舉例來說,下列指令會為 Example.com 的臨時員工建立篩選的角色,並指派 cn=TempPolicy,dc=example,dc=com 給擁有該角色的員工:
ldapmodify -a -h host -p port -D "cn=Directory Manager" -w password
dn:cn=TempFilter,ou=people,dc=example,dc=com
objectclass:top
objectclass:LDAPsubentry
objectclass:nsRoleDefinition
objectclass:nsComplexRoleDefinition
objectclass:nsFilteredRoleDefinition
cn:TempFilter
nsRoleFilter:(&(objectclass=person)(status=contractor))
description:filtered role for temporary employees
dn:cn=PolTempl,dc=example,dc=com
objectclass:top
objectclass:nsContainer
dn:cn="cn=TempFilter,ou=people,dc=example,dc=com",
cn=PolTempl,dc=example,dc=com
objectclass:top
objectclass:extensibleObject
objectclass:LDAPsubentry
objectclass:costemplate
cosPriority: 1
passwordPolicySubentry:cn=TempPolicy,dc=example,dc=com
dn:cn=PolCoS,dc=example,dc=com
objectclass:top
objectclass:LDAPsubentry
objectclass:cosSuperDefinition
objectclass:cosClassicDefinition
cosTemplateDN:cn=PolTempl,dc=example,dc=com
cosSpecifier:nsRole
cosAttribute:passwordPolicySubentry operational具有 contractor 狀態的使用者現在變成須遵守 cn=TempPolicy,dc=example,dc=com 密碼原則。
保護個別密碼原則
若要防止使用者修改所套用的密碼原則,您也必須在根項目加入類似以下的 ACI:
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn:dc=example,dc=com
changetype:modify
add:aci
aci:(targetattr != "passwordPolicySubentry")(version 3.0; acl
"Allow self entry modification except for passwordPolicySubentry";
allow (write) (userdn ="ldap:///self");)重設使用者密碼
目錄將密碼值儲存在使用者項目的 userPassword 屬性中。根據伺服器的帳戶控制設定值,使用者可以依照您指定的密碼原則,使用標準工具來設定 userPassword,例如 ldapmodify。
如果發生永久的帳戶鎖定 (在密碼原則中,使用者操作屬性 accountUnlockTime 為 0,且 passwordUnlock 為 off),則可將密碼重設為目錄管理員以解除使用者帳戶的鎖定。例如,假設 Example.com 目錄的使用者 Barbara Jensen 因為忘記又一再猜錯密碼,而被永久鎖定:
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn:uid=bjensen,ou=People,dc=example,dc=com
changetype:modify
replace:userPassword
userPassword:ChAnGeMe如果密碼原則中的 passwordMustChange 為 on,Barbara 在下一次連結後必須變更密碼。記得告訴她,您已經將密碼改成 ChAnGeMe (最好是透過安全的管道)。
停用與啟用使用者與角色
可以暫時地停用單一使用者帳戶或一組帳戶。一旦停用後,該使用者便無法連結至目錄。驗證作業將會失敗。
本節中的程序可用來以相同方式停用使用者和角色。然而當您停用角色時,停用的是角色的成員,而不是角色項目本身。如需關於角色的一般資訊,以及角色如何與存取控制互動的特殊資訊,請參閱第 5 章<進階項目管理>。
使用主控台設定使用者與角色啟用
- 在 Directory Server 主控台最上層的 [目錄] 標籤上,瀏覽樹狀目錄,以顯示要停用或重新啟用的使用者項目或角色項目。
- 連按兩下項目以顯示自訂編輯器,再按一下左欄中的 [帳戶] 標籤。
右面板中顯示項目的啟用狀態。
- 按一下按鈕以停用或啟用與此項目對應的使用者或角色。編輯器中使用者或角色圖示上會顯示一個紅色方塊,並有一長條穿過,表示項目即將停用。
- 按一下 [確定] 關閉對話方塊,儲存項目新的啟用狀態。
開啟自訂編輯器有一個捷徑,只要選取項目,再從 [物件] 功能表中選擇 [啟用] 或 [停用] 即可。
可以從 [主控台] 的 [檢視] > [顯示] 功能表中選取 [停用狀態],即可檢視任何目錄物件的啟用狀態。然後,所有停用項目的圖示就會顯示有紅色長條穿過。不論使用者項目是直接停用,或是透過角色成員關係停用,都會顯示使用者項目正確的啟用狀態。
從指令行設定使用者與角色啟用
若要停用使用者帳戶或角色的成員,請使用 ns-inactivate.pl 指令檔 (在 Solaris 套裝軟體中是 directoryserver account-inactivate)。若要啟用或重新啟用使用者或角色,請使用 ns-activate.pl 指令檔 (在 Solaris 套裝軟體中是 directoryserver account-inactivate)。這些指令檔的指令會因平台而異:
下列指令顯示如何使用 perl 指令檔停用再重新啟用 Barbara Jensen 的使用者帳戶:
ns-inactivate.pl -h host -p port -D "cn=Directory Manager" -w password \
-I "uid=bjensen,ou=People,dc=example,dc=com"ns-activate.pl -h host -p port -D "cn=Directory Manager" -w password \
-I "uid=bjensen,ou=People,dc=example,dc=com"在這兩組指令中,-I 選項指定要設定啟用狀態的使用者或角色的 DN。
如需詳細資訊,請參閱《Sun ONE Directory Server 參考手冊》第 2 章的
與<ns-activate.pl>。 設定個別資源限制
可以使用與目錄連結之用戶端應用程式上的特殊操作屬性值,控制搜尋作業的伺服器限制。可以設定下列搜尋作業限制:
- 詳盡尋找限制用於指定將為搜尋作業檢查的最大項目數。
- 大小限制用於指定伺服器在回應搜尋作業時,傳回用戶端應用程式的最大項目數。
- 時間限制用於指定伺服器處理搜尋作業所耗費時間的最大值。
- 閒置逾時用於指定伺服器在中斷連線之前,用戶端與伺服器的連線可以閒置的時間。
注意 目錄管理員可以預設使用無限制的資源。
您對特定使用者設定的資源限制,其優先順序高於您在全域伺服器組態中所設定的預設資源限制。您應該確認儲存個別資源限制的屬性受到保護,不會被包含使用者項目的尾碼上的下列 ACI 自我修改:
(targetattr != "nsroledn || aci || nsLookThroughLimit || nsSizeLimit || nsTimeLimit || nsIdleTimeout || passwordPolicySubentry || passwordExpirationTime || passwordExpWarned || passwordRetryCount || retryCountResetTime || accountUnlockTime || passwordHistory || passwordAllowChangeTime")(version 3.0; acl "Allow self entry modification except for nsroledn, aci, resource limit attributes, passwordPolicySubentry and password policy state attributes"; allow (write)userdn ="ldap:///self";)
使用主控台設定資源限制
- 在 Directory Server 主控台最上層的 [目錄] 標籤上,瀏覽樹狀目錄,以顯示要設定資源限制的使用者。
- 連按兩下項目以顯示自訂編輯器,並在左欄中按一下 [帳戶] 標籤。右面板中顯示目前在項目上設定的限制。
- 在四個文字欄位中為上述的資源限制輸入值。輸入值 -1 表示該資源沒有限制。
- 完成時按一下 [確定],以儲存新限制。
從指令行設定資源限制
使用 ldapmodify 指令可以在使用者項目上設定下列屬性,以限制該使用者的資源使用情形:
例如,可以依下列方式執行 ldapmodify 以設定項目的大小限制:
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn:uid=bjensen,ou=People,dc=example,dc=com
changetype:modify
add:nsSizeLimit
nsSizeLimit: 500ldapmodify 陳述式將 nsSizeLimit 屬性加入 Barbara Jensen 的項目中,並將其搜尋傳回的大小限制為 500 個項目。