Red Hat Summit8장. 인증 구성
이 장에서는 여러 인증 주제를 다룹니다. 다음 주제는 다음과 같습니다.
- 엄격한 암호 및 OTP(한시 암호) 정책 시행.
- 다양한 인증 정보 유형 관리.
- Kerberos로 로그인.
- 기본 제공 인증 정보 유형 비활성화 및 활성화
8.1. 암호 정책
Red Hat Single Sign-On이 영역을 생성하면 암호 정책을 영역과 연결하지 않습니다. 길이, 보안 또는 복잡성에 대한 제한 없이 간단한 암호를 설정할 수 있습니다. 간단한 암호는 프로덕션 환경에서 유해하지 않습니다. Red Hat Single Sign-On에는 관리 콘솔을 통해 사용할 수 있는 암호 정책 세트가 있습니다.
절차
- 메뉴에서 인증을 클릭합니다.
- 암호 정책 탭을 클릭합니다.
- 정책 추가 드롭다운 상자에서 추가할 정책을 선택합니다.
- 선택한 정책과 해당하는 Policy Value 값을 입력합니다.
저장을 클릭합니다.
암호 정책
정책을 저장한 후 Red Hat Single Sign-On은 새 사용자에 대한 정책을 적용하고 기존 사용자가 다음에 로그인할 때 암호를 변경하도록 Update Password 작업을 설정합니다. 예를 들면 다음과 같습니다.
실패한 암호 정책
8.1.1. 암호 정책 유형
8.1.1.1. 해시 알고리즘
암호는 일반 텍스트로 저장되지 않습니다. 스토리지 또는 유효성 검사 전에 Red Hat Single Sign-On은 PBKDF2, PBKDF2-SHA256 및 PBKDF-SHA512 해시 알고리즘을 지원하는 표준 해시 알고리즘 Red Hat Single Sign-On의 암호를 해시합니다.
8.1.1.2. 반복 해시
스토리지 또는 확인 전에 Red Hat Single Sign-On 해시 암호의 횟수를 지정합니다. 기본값은 27,500입니다.
Red Hat Single Sign-On은 암호를 해시하여 암호 데이터베이스에 액세스할 수 있는 적대적인 행위자가 역방향 엔지니어링을 통해 암호를 읽을 수 없도록 합니다.
해시가 높은 반복 값은 더 높은 CPU 전력이 필요하므로 성능에 영향을 줄 수 있습니다.
8.1.1.3. 숫자
암호 문자열에 필요한 숫자 수입니다.
8.1.1.4. 소문자
암호 문자열에 필요한 소문자 수입니다.
8.1.1.5. 대문자
암호 문자열에 필요한 대문자 수입니다.
8.1.1.6. 특수 문자
암호 문자열에 필요한 특수 문자 수입니다.
8.1.1.7. 사용자 이름 없음
암호는 사용자 이름과 같을 수 없습니다.
8.1.1.8. 이메일 없음
암호는 사용자의 이메일 주소와 같을 수 없습니다.
8.1.1.9. 정규 표현식
password는 하나 이상의 정의된 정규식 패턴과 일치해야 합니다.
8.1.1.10. 만료 암호
암호가 유효한 날짜 수입니다. 날짜 수가 만료된 경우 사용자는 암호를 변경해야 합니다.
8.1.1.11. 최근 사용되지 않음
사용자가 이미 비밀번호를 사용할 수 없습니다. Red Hat Single Sign-On은 사용된 암호 기록을 저장합니다. 저장된 이전 암호 수는 Red Hat Single Sign-On에서 구성할 수 있습니다.
8.1.1.12. 암호 블랙리스트
암호는 블랙리스트 파일에 없어야 합니다.
- 블랙리스트 파일은 Unix 라인 종료와 함께 UTF-8 일반 텍스트 파일입니다. 모든 행은 블랙리스트로 지정된 암호를 나타냅니다.
- Red Hat Single Sign-On은 대소문자를 구분하지 않는 방식으로 암호를 비교합니다. 블랙리스트의 모든 암호는 소문자여야 합니다.
- 블랙리스트 파일의 값은 블랙리스트 파일의 이름이어야 합니다.
기본적으로
${jboss.server.data.dir}/password-blacklists/에 대해 블랙리스트 파일이 확인됩니다. 다음을 사용하여 이 경로를 사용자 정의합니다.-
keycloak.password.blacklists.path속성입니다. -
passwordBlacklist정책 SPI 구성의blacklistsPath속성입니다.
-
