阅读本节可以了解有关配置用户策略的信息。
本节包含以下主题:
Identity Manager 策略通过建立 Identity Manager 帐户 ID、登录和密码特征的约束,对 Identity Manager 用户设置限制。
Identity Manager 还提供专用于审计用户遵循性的审计策略。第 13 章中对审计策略进行了论述。
策略按以下类型分类:
Identity System 帐户策略。建立用户、密码以及验证策略选项和约束。通过“创建组织”和“编辑组织”页以及“创建用户”和“编辑用户”页,可以将 Identity System 帐户策略分配给组织或用户。
您可以设置或选择以下选项:
用户帐户策略选项。指定 Identity Manager 在用户不能正确回答验证问题时如何处理用户帐户。
密码策略选项。设置密码到期日期、到期前的警告时间以及重设选项。
辅助验证策略选项。确定以何种方式向用户显示验证问题、用户是否可以提供自己的验证问题、是否在登录时强制验证,以及是否建立可以向用户显示的问题库。
服务提供者系统帐户策略。可以在服务提供者实现中使用此策略类型,为服务提供者用户建立用户、密码和验证策略选项和约束。通过“创建组织”和“编辑组织”页以及“创建服务提供者用户”和“编辑服务提供者用户”页,可以将策略分配给组织或用户。
字符串质量策略。包括密码、帐户 ID 和验证等策略类型。可用于设置长度规则、字符类型规则、允许的字词以及属性值。此策略类型绑定到每个 Identity Manager 资源,并在每个资源页上进行设置。下图提供了一个示例。
您可以为密码和帐户 ID 设置以下选项和规则:
长度规则。确定最小和最大长度。
字符类型规则。设置字母、数字、大写、小写、重复和顺序字符的最小和最大允许值。
密码重新使用限制。指定在当前密码之前使用的、不能重新使用的密码的数量。当用户试图更改其密码时,新密码将与密码历史记录进行比较,以确保该密码是唯一密码。出于安全原因,以前密码的数字签名将被保存;而新密码将与此进行比较。
禁用的字词和属性值。指定不能作为 ID 或密码的组成部分使用的字词和属性。
可在“策略”页中创建和编辑 Identity Manager 用户策略。要打开该页,请执行以下步骤:
可在 UserUIConfig 配置对象中更改“不得包含”属性允许的设置。
UserUIConfig 中列出的属性如下:
<PolicyPasswordAttributeNames> 属性。策略类型“密码”
<PolicyAccountAttributeNames> 属性。策略类型“帐户 ID”
<PolicyOtherAttributeNames> 属性。策略类型“其他”
通过使用字典策略,Identity Manager 可以对照字词数据库检查密码,以确保密码不会受到简单的字典攻击。Identity Manager 通过将此策略与其他策略设置结合使用的方式来强制设定密码的长度和组成,从而使利用字典也很难猜出在系统中生成或更改的密码。
字典策略扩展了能够用该策略进行设置的密码排除列表。(此列表是使用 "Administrator Interface" 密码 "Edit Policy" 页中的 "Must Not Contain Words" 选项实现的。)
要设置字典策略,必须:
配置字典服务器支持
加载字典
按打开“策略”页中所述打开“策略”页。
单击“配置字典”显示“字典配置”页。
选择并输入数据库信息。
数据库信息包括:
单击“测试”以测试数据库连接。
如果连接测试成功,请单击“加载词”以加载字典。加载任务可能需要几分钟才能完成。
单击“测试”以确保正确加载字典。
可以使用以下步骤来实现字典策略:
按打开“策略”页中所述打开“策略”页。
单击“密码策略”链接以编辑密码策略。
在“编辑策略”页中,选择“根据字典的词检查密码”选项。
单击“保存”以保存更改。
字典策略实现后,系统会根据字典来检查所有更改的或生成的密码。