9.6. 암호 정책 설계

이는 암호 기반 계정 잠금을 활성화하는 암호 정책의 설정입니다. 사용자가 특정 횟수에 로그인하여 실패하는 경우 관리자가 잠금 해제하거나 선택적으로 일정 시간이 경과할 때까지 해당 계정이 잠깁니다. 이는 passwordMaxFailure 매개변수에 설정됩니다.

실패한 최대 시도 횟수에 도달할 때 로그인 시도를 계산하는 방법은 두 가지가 있습니다. 숫자가 적을 때 계정을 잠그거나 개수가 초과되었을 때만 계정을 잠그는 하드 제한 (n+1)일 수 있습니다. 예를 들어 실패 제한이 세 번 시도한 경우 세 번째 실패 시도 (n ) 또는 네 번째 실패 시도 (n+1)에서 계정을 잠글 수 있습니다. n+1 동작은 LDAP 서버의 과거 동작이므로 기존 동작으로 간주됩니다. 최신 LDAP 클라이언트는 더 엄격한 하드 제한을 기대합니다. 기본적으로 디렉터리 서버는 strict 제한(n)을 사용하지만 passwordLegacyPolicy 매개변수에서 레거시 동작을 활성화할 수 있습니다.

Directory Server 암호 정책은 사용자가 첫 번째 로그인 후 또는 관리자가 암호를 재설정한 후 암호를 변경해야 하는지 여부를 지정할 수 있습니다.

관리자가 설정한 기본 암호는 일반적으로 사용자의 초기, 사용자 ID 또는 회사 이름과 같은 회사 규칙을 따릅니다. 이 규칙이 발견되면 일반적으로 크래커가 시스템에 침입하려는 시도에 사용하는 첫 번째 값입니다. 따라서 사용자는 관리자가 암호를 재설정한 후 암호를 변경해야 합니다. 이 옵션이 암호 정책에 대해 구성된 경우 사용자 정의 암호가 비활성화된 경우에도 암호를 변경해야 합니다.

사용자가 암호를 요구하거나 변경할 수 없는 경우 관리자가 할당한 암호는 명확한 규칙을 따르지 않아야 하며 검색하기 어려울 수 있습니다.

기본 설정에서는 사용자가 암호를 재설정한 후 변경할 필요가 없습니다.

자세한 내용은 9.6.2.3절. “사용자 정의 암호”를 참조하십시오.

암호 정책은 사용자가 자신의 암호를 변경할 수 있도록 허용하거나 설정하지 않도록 설정할 수 있습니다. 좋은 암호는 강력한 암호 정책의 키입니다. 좋은 암호는 간단한 단어를 사용하지 않습니다. 사전, 가사나 자식의 이름, 예기치 않은 사용자 이름, 사용자 ID 또는 쉽게 찾을 수 있는 사용자에 대한 기타 정보(또는 디렉토리 자체에 저장)는 암호에 적합하지 않습니다.

좋은 암호에는 문자, 숫자 및 특수 문자의 조합이 포함되어야 합니다. 그러나 편의를 위해 사용자가 쉽게 기억할 수 있는 암호를 사용하는 경우가 많습니다. 결과적으로 일부 기업은 강력한 암호 기준을 충족하는 사용자의 암호를 설정하고 사용자가 암호를 변경할 수 없도록 합니다.

관리자가 사용자의 암호를 설정하는 경우 다음 두 가지 단점이 있습니다.

기본적으로 사용자 정의 암호는 허용됩니다.

암호 정책을 사용하면 사용자가 동일한 암호를 무기한 사용하거나 지정된 시간 후에 암호가 만료되도록 지정할 수 있습니다. 일반적으로 암호가 더 오래 사용할수록 검색될 가능성이 높아집니다. 그러나 암호가 너무 자주 만료되는 경우 사용자가 암호를 기억하는 데 어려움이 있을 수 있습니다. 일반적인 정책은 30일에서 90일마다 암호가 만료되는 것입니다.

암호 만료가 비활성화된 경우에도 서버는 암호 만료 사양을 기억합니다. 암호 만료가 다시 활성화된 경우 암호가 마지막으로 비활성화되기 전에 설정된 기간 동안만 유효합니다.

예를 들어 90일마다 만료되도록 암호 정책에 대해 설정된 경우 암호 만료가 비활성화되고 다시 활성화된 경우 기본 암호 만료 기간은 90일입니다.

기본적으로 사용자 암호는 만료되지 않습니다.

암호 만료 기간이 설정되어 있으면 암호가 만료되기 전에 사용자에게 경고를 보내는 것이 좋습니다.

사용자가 서버에 바인딩되면 Directory Server가 경고를 표시합니다. 암호 만료가 활성화된 경우 사용자의 클라이언트 애플리케이션에서 이 기능을 지원하는 경우 기본적으로 사용자 암호가 만료되기 전 하루 전에 사용자에게 경고 메시지가 전송됩니다(LDAP 메시지 사용).

전송할 암호 만료 경고의 유효한 범위는 1에서 24,855일 사이입니다.

만료된 암호의 유예 기간은 사용자가 암호가 만료된 경우에도 계속 시스템에 로그인할 수 있음을 의미합니다. 일부 사용자가 만료된 암호를 사용하여 로그인할 수 있도록 하려면 암호가 만료된 후 사용자에게 허용되는 유예 로그인 시도 횟수를 지정합니다.

기본적으로 grace login은 허용되지 않습니다.

암호 구문 검사 에서는 암호 문자열에 대한 규칙을 적용하므로 모든 암호가 특정 기준을 충족하거나 초과해야 합니다. 모든 암호 구문 검사는 하위 트리 또는 사용자별로 전역적으로 적용할 수 있습니다. 암호 구문 검사는 passwordCheckSyntax 특성에 설정됩니다.

기본 암호 구문에는 최소 8자의 암호 길이가 필요하며 암호에는 간단한 단어가 사용되지 않습니다. 간단한 단어는 사용자 항목의 uid,cn,sn,givenName,ou 또는 mail속성에 저장된 모든 값입니다.

또한 다른 형태의 암호 구문 적용이 가능하며 암호 구문에 대한 다양한 선택적 카테고리를 제공할 수 있습니다.

구문 카테고리가 많을수록 암호가 강화됩니다.

기본적으로 암호 구문 검사는 비활성화되어 있습니다.

암호 정책에는 사용자 암호에 대한 최소 길이가 필요할 수 있습니다. 일반적으로 더 짧은 암호는 해독하기가 더 쉽습니다. 암호의 길이는 8자입니다. 크래킹하기가 어려울 만큼 길지만 사용자가 암호를 적어 두지 않고도 암호를 기억할 수 있을 만큼 짧습니다. 이 속성에 유효한 값 범위는 2에서 512자 사이입니다.

기본적으로 최소 암호 길이는 설정되지 않습니다.

암호 정책을 사용하면 사용자가 지정된 시간 동안 암호를 변경하지 못하도록 할 수 있습니다. passwordHistory 속성과 함께 사용하면 사용자가 이전 암호를 재사용하지 못하도록 합니다.

예를 들어 암호 최소 사용 기간(passwordMinAge) 속성이 2일이면 사용자는 단일 세션 중에 암호를 반복적으로 변경할 수 없습니다. 이렇게 하면 이전 암호를 재사용할 수 있도록 암호 기록을 순환하지 못합니다.

이 속성에 유효한 값 범위는 0에서 24,855일 사이입니다. 값 0은 사용자가 암호를 즉시 변경할 수 있음을 나타냅니다.

Directory Server는 암호 기록에 2~24개의 암호를 저장할 수 있습니다. 암호가 기록에 있으면 사용자는 이전 암호로 암호를 재설정할 수 없습니다. 이렇게 하면 사용자가 쉽게 기억할 수 있는 몇 개의 암호를 재사용할 수 없습니다. 또는 암호 기록을 비활성화하여 사용자가 암호를 재사용할 수 있습니다.

암호 기록이 다시 설정되어 있으면 사용자는 암호 기록을 비활성화하기 전에 기록에 있는 암호를 재사용할 수 없도록 암호 기록이 꺼져 있는 경우에도 기록에 남아 있습니다.

서버는 기본적으로 암호 기록을 유지하지 않습니다.

암호 스토리지 스키마는 디렉터리 내에서 Directory Server 암호를 저장하는 데 사용되는 암호화 유형을 지정합니다. Directory Server는 다양한 암호 스토리지 체계를 지원합니다.

passwordTrackUpdateTime 속성은 입력에 대해 암호가 마지막으로 업데이트된 시간 동안 서버에 타임스탬프를 기록하도록 지시합니다. 암호 변경 시간 자체는 사용자 항목 pwdUpdateTime ( modifyTimestamp 또는 last Cryostat 운영 속성과 분리)에 대한 운영 속성으로 저장됩니다.

기본적으로 암호 변경 시간은 기록되지 않습니다.