用户口令管理和登录信息在以下方面进行了更改:
承担角色-所有角色承担都需要口令。在此发行版中,视管理需要,提供来承担角色的口令可以是自己的口令。
关闭期间的扩展登录选项-系统关闭期间,将创建 /etc/nologin 文件。此文件显示一条消息,即系统正在关闭,不可登录。但是,此类关闭不会阻止超级用户登录系统。在此发行版中,当系统中存在 nologin 文件时,分配到 root 角色的用户和分配到 solaris.system.maintenance 授权的用户也不会被阻止。
登录失败计数通知-即使用户帐户未配置为强制实施登录失败,系统也会针对失败的验证尝试次数通知用户。无法正确验证的用户将看到类似以下有关成功验证的消息:
Warning: 2 failed authentication attempts since last successful authentication. The latest at Thu May 24 12:02 2012.
要隐藏此类通知,请创建一个 ~/.hushlogin 文件。
监视和限制 root 访问-在缺省系统配置中,用户无法以 root 身份远程登录。远程登录时,用户必须使用其用户名登录,然后使用 su 命令成为 root 用户。您可以监视已使用 su 命令的用户,以及限制以 root 用户身份访问系统。请参见在 Oracle Solaris 11.2 中确保系统和连接设备的安全 中的监视和限制 root 访问
口令散列算法-此发行版中的缺省口令散列算法为 SHA256。此口令散列类似于以下内容:
$5$cgQk2iUy$AhHtVGx5Qd0.W3NCKjikb8.KhOiA4DpxsW55sP0UnYD
此外,不再有对用户口令的八字符限制。八字符限制仅应用于使用较旧 crypt_unix (5) 算法的口令,为了向下兼容现有的 passwd 文件项和 NIS 映射,保留了该算法。从 Oracle Solaris 11 开始,crypt_sha256 算法为缺省算法。
使用其他 crypt (3c) 算法(包括 SHA256 算法,该算法是 policy.conf 文件中的缺省算法)中的一种算法来对口令进行编码。因此,口令的长度可以远远超过八个字符。请参见 policy.conf(4)。
root 口令更改-如果没有为 root 角色指定所需长度且同时满足其他的口令复杂性要求的口令,则不能再使用系统。
针对 password 命令完善了属性定义-此更改明确了哪些用户帐户可以锁定,哪些用户帐户不可以锁定。主要更改会影响 LK 和 NL 属性定义,体现在以下几个方面:
针对 UNIX 验证锁定该帐户。运行了 passwd –l 命令,或者由于验证失败次数达到了配置的最大允许次数而自动锁定了帐户。请参见 policy.conf(4) 和 user_attr(4) 手册页。
该帐户是 no login 帐户。运行了 passwd –N 命令。