密碼策略與工作表
本節說明密碼策略設定,並提供工作表協助您定義符合您需求的密碼策略。
備註 –
若要使用預設密碼策略,請參閱管理預設密碼策略。
密碼策略設定
在目錄伺服器中指定密碼策略時,會修改或建立包含物件類別 pwdPolicy(5dsoc) 的項目。
定義特定使用者類型的密碼策略時,需要考量下列事項:
-
如何在出現入侵者嘗試破解密碼時封鎖帳號。
如需詳細資訊,請參閱帳號封鎖策略。
-
如何變更密碼。
如需詳細資訊,請參閱密碼變更的策略。
-
允許的密碼值。
如需詳細資訊,請參閱密碼內容的策略。
-
如何處理密碼過期。
如需詳細資訊,請參閱密碼過期的策略。
-
伺服器是否記錄上次成功認證的時間。
請參閱追蹤上次認證時間的策略。
本章後續幾節說明如何處理密碼策略的這幾點。使用定義密碼策略的工作表釐清規劃要執行的各項密碼策略。
帳號封鎖策略
本節說明決定帳號封鎖的策略屬性。
目錄伺服器帳號大致表示使用者項目,以及該使用者在目錄上執行作業所具有的權限。每個帳號會與連結 DN 及使用者密碼相關。當出現入侵者嘗試破解密碼時,希望目錄伺服器會鎖定帳號。鎖定功能可避免入侵者使用帳號進行連結,也能避免入侵者繼續攻擊。
身為管理員,您也可以手動停用共用一個角色的所有使用者之帳號。如需相關指示,請參閱手動鎖定帳號。此外,密碼策略的主要部分必須在無人介入且目錄伺服器鎖定帳號的情況下指定。
首先,您必須指定目錄伺服器可以使用 pwdLockout(5dsat) 在發生太多失敗連結時,自動鎖定帳號。目錄伺服器會記錄嘗試連結帳號的連續失敗次數。您可以使用 pwdMaxFailure(5dsat) 指定在目錄伺服器鎖定帳號之前可允許的連續失敗次數。
目錄伺服器會嚴守密碼策略鎖定帳號。此純粹為機械化作業。帳號鎖定的原因可能不是因為入侵者對帳號發動攻擊,而是因為使用者鍵入的密碼不正確。因此,您可以使用 pwdFailureCountInterval(5dsat) 指定目錄伺服器清除失敗嘗試的記錄之前,等待下一次嘗試的時間。您可以使用 pwdLockoutDuration(5dsat) 指定目錄伺服器自動解除鎖定帳號之前,封鎖應持續的時間。如果使用者的錯誤有正當理由而不是出於惡意,管理員不須介入解除鎖定使用者帳號。
如果在整個複寫拓樸中複寫使用者資料,也會複寫封鎖計數器與封鎖屬性。pwdIsLockoutPrioritized(5dsat) 屬性可決定是否以更高的優先權複寫封鎖屬性的更新,因此在大多數情況下,此屬性應為 TRUE。因此,使用者在遭封鎖之前,僅能嘗試連結至一個複本 pwdMaxFailure 次,當使用者嘗試更多複本時,嘗試次數可能變少。另請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Deployment Planning Guide」中的「Preventing Authentication by Using Global Account Lockout」。包含全域封鎖的文件說明如何確定使用者嘗試 pwdMaxFailure 次,才會在整個複寫拓樸中遭封鎖。
密碼變更的策略
本節說明決定密碼變更的策略屬性。
目錄伺服器在許多部署中是身份識別資料的儲存庫。使用者應該能夠如 pwdAllowUserChange(5dsat) 所指定變更密碼,因此您無須變更密碼。
允許使用者變更密碼之後,可能也要控制使用者可以變更密碼的情況。您可以使用 pwdSafeModify(5dsat) 指定變更密碼的使用者必須先提供正確的現有密碼,才能取代密碼。如需如何修改密碼的範例,請參閱在 pwdSafeModify 為 TRUE 時從指令行修改密碼。您可以使用 pwdInHistory(5dsat) 指定目錄伺服器會記住的密碼數目,避免使用者重複使用相同的密碼。您也可以設定 pwdMinAge(5dsat) 以避免使用者變更密碼過於頻繁。
在許多情況下,可利用管理員身份或是由某些您所管理的應用程式,在目錄中建立使用者項目。您可以指定使用者密碼值在使用者第一次連結至新帳號時進行變更。您也可能需要重設使用者密碼,重設之後,使用者應在下次使用帳號時變更密碼。目錄伺服器具有特定屬性 pwdMustChange(5dsat),您可用以表示當另一個使用者重設密碼值之後,使用者是否必須變更密碼。
您也可以指定目錄伺服器管理員在設定 passwordRootdnMayBypassModsChecks(5dsat) 以變更密碼時,不須遵守策略。
密碼內容的策略
本節說明決定密碼內容的策略屬性。
雖然密碼值一般不會在目錄搜尋中傳回,但是攻擊者可能會取得目錄資料庫的存取權。因此,密碼值一般會以使用 passwordStorageScheme(5dsat) 指定的支援雜湊格式之一儲存。
您可以設定 pwdMinLength(5dsat) 強制密碼至少有指定的字元數。
您也可以設定 pwdCheckQuality(5dsat),強制檢查密碼是否符合最基本的密碼品質定義。強制檢查時,目錄伺服器會檢查密碼是否至少具備最基本的長度。伺服器也會檢查密碼是否不含任何 cn、givenName、mail、ou、sn 或 uid 屬性值。此外,啟用 Strong Password Check (密碼強度檢查) 外掛程式時,目錄伺服器會檢查密碼是否不含外掛程式所用之字典檔案的字串。伺服器也會檢查密碼是否包含不同字元類型的適當混合。
您可以使用 dsconf set-server-prop 指令啟用密碼強度檢查。使用 pwd-strong-check-enabled 特性可啟動外掛程式,並重新啟動伺服器以使變更生效。使用 pwd-strong-check-require-charset 特性可指定密碼所需的字元集。pwd-strong-check-require-charset 特性包含下列值:
- lower
-
新密碼必須包含小寫字元。
- upper
-
新密碼必須包含大寫字元。
- digit
-
新密碼必須包含數字。
- special
-
新密碼必須包含特殊字元。
- any-two
-
新密碼至少必須從上述兩個字元集中,各包含至少一個字元。
- any-three
-
新密碼至少必須從上述三個字元集中,各包含至少一個字元。
pwd-strong-check-require-charset 特性的預設設定為 lower && upper && digit && special。
密碼過期的策略
本節說明決定密碼過期的策略屬性。
若要確保使用者定期變更密碼,請設定 pwdMaxAge(5dsat),以配置目錄伺服器在密碼到達特定存在期限之後,設定密碼為過期。
使用者必須收到密碼即將過期的通知。您可以配置目錄伺服器傳回用以連結的密碼即將過期之警告。使用 pwdExpireWarning(5dsat) 定義過期之前多久,才應在用戶端連結時傳回警告。請注意,用戶端應用程式會收到警告。使用者不會直接收到警告。當用戶端應用程式收到密碼即將過期的警告時,必須通知一般使用者。
您可以設定 pwdGraceAuthNLimit(5dsat),允許使用者以過期的密碼嘗試連結一或多次。如此一來,無法及時變更密碼的使用者仍得以連結以變更密碼。請注意,當使用者使用寬限登入進行連結時,使用者可執行任何作業。寬限登入執行起來就好像密碼尚未過期一般。
目錄伺服器會在每次項目上的密碼有所修改時,更新作業屬性 pwdChangedTime(5dsat)。因此,若要啟用密碼過期,已超過期限的使用者密碼將在您啟用密碼過期時立即過期。若您覺得此運作方式不合用,請使用警告與寬限登入。
追蹤上次認證時間的策略
本節包含密碼策略屬性 pwdKeepLastAuthTime(5dsat) 的用法。
一旦設定 pwdKeepLastAuthTime,目錄伺服器就會在每次使用者認證時,追蹤上次成功連結的時間。時間會記錄在使用者項目的 pwdLastAuthTime(5dsat) 作業屬性中。
由於此運作方式會為每個成功的連結作業增加一個更新,因此預設不會啟用 pwdKeepLastAuthTime 功能。您必須明確地啟用此功能,才能於部署中使用。
定義密碼策略的工作表
此工作表設計用以協助您定義密碼策略,以透過指令行介面或使用目錄服務控制中心 (DSCC) 執行。每個密碼策略各使用一個工作表。
記錄密碼策略項目的 DN 之後,請記錄每個策略區中關於屬性設定的決策。另請記錄使用這些設定的理由。
|
密碼策略工作表 |
|---|
|
密碼策略項目辨別名稱 |
|
dn: cn= |
|
策略區 |
屬性 |
於此處寫入設定 |
於此處寫入使用這些設定的理由 |
|---|---|---|---|
|
帳號封鎖 | |||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
||
|
密碼變更 |
|
|
|
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
||
|
密碼內容 |
|
|
|
|
|
|
||
|
密碼過期 |
|
|
|
|
|
|
||
|
|
|
||
|
追蹤上次認證時間 |
|
|
備註 –
當 pwdCheckQuality 屬性設為 2 時,伺服器可以執行其他檢查。Password Check (密碼檢查) 外掛程式會同時啟用,外掛程式的設定會影響要在新密碼的值上執行之檢查作業。
- © 2010, Oracle Corporation and/or its affiliates