本节包含《Sun Identity Manager 8.1 Business Administrator’s Guide》的新信息和文档更正内容:
将在“安全性”一章中添加以下信息:
现在,Identity Manager 提供了登录恢复验证以作为基于“忘记密码”安全问题的登录的替代方法。登录恢复验证实现了一个消息混淆选项,该选项可使用相同的普通结果消息呈现所有错误和成功,以此来抵御帐户收集攻击。从功能上讲,这种登录恢复方法与“忘记用户 ID”方法使用相同的系统,并且这两个选项使用相同的配置属性。不过,登录恢复验证还会重置用户的密码,并通过电子邮件将登录信息和密码发送到用户的电子邮件地址。(ID-18052)
可通过重定向“忘记密码”按钮将登录恢复方法配置为替代提问式登录,也可以在登录页上启用新的“登录恢复”按钮。您可以通过修改系统配置文件来配置这两种方法。
要将“忘记密码”按钮重定向到“登录恢复”,请配置以下内容:
ui.web.user.questionLogin.forceLoginRecovery = true ui.web.admin.questionLogin.forceLoginRecovery = true |
要使用“登录恢复”按钮而不是“忘记密码”按钮,请配置以下内容:
ui.web.user.disableLoginRecovery = false ui.web.admin.disableLoginRecovery = false ui.web.user.disableForgotPassword = true ui.web.admin.disableForgotPassword = true ui.web.user.disableForgotUserId = true ui.web.admin.disableForgotUserId = true |
默认情况下,将在 loginRecovery.jsp 文件中启用混淆消息选项,以帮助登录恢复系统抵御帐户收集攻击。您可以在 lookupUserId.jsp 文件中设置该相同选项。