28.2. 在 IdM 中密码策略如何工作
所有用户都必须具有用于向 Identity Management(IdM)Kerberos 域进行身份验证的密码。IdM 中的密码策略定义这些用户密码必须满足的要求。
注意
IdM 密码策略在底层 LDAP 目录中设置,但也由 Kerberos 密钥分发中心(KDC)执行。
28.2.1. 支持的密码策略属性
表 28.1 “密码策略属性” 列出 IdM 中密码策略可以定义的属性。
属性 | 介绍 | 示例 |
---|---|---|
Max lifetime | 密码在用户必须重置之前有效的最长时间(以天数为单位)。 |
最大生命周期 = 90
用户密码仅有效 90 天。之后,IdM 会提示用户更改它们。
|
Min lifetime | 必须在两个密码更改操作之间传递的最小时间(以小时为单位)。 |
Min Life = 1
用户更改密码后,他们必须至少等待 1 小时后再重新更改密码。
|
History size |
先前存储的密码数量.用户无法重复利用其密码历史记录中的密码。
|
History size = 0
用户可以重复使用之前的任何密码。
|
Character classes | 用户必须在密码中使用的不同字符类别的数量。字符类为:
当一个字符连续使用三次或更多次时,会将该字符类减一。例如:
|
字符类 = 0
需要的默认类数为 0。要配置数字,请使用
--minclasses 选项运行 ipa pwpolicy-mod 命令。该命令将所需的字符类数设置为 1:
$ ipa pwpolicy-mod --minclasses=1另请参阅下表中的 重要 备注。 |
Min length | 密码中的最少字符数. |
Min length = 8
用户不能使用少于 8 个字符的密码。
|
Max failures | IdM 锁定用户帐户前允许的失败登录的最多次数。另请参阅 第 22.1.3 节 “密码失败后解锁用户帐户”。 |
Max failures = 6
IdM 会锁定用户所在行中输入错误密码 7 次的用户帐户。
|
Failure reset interval | IdM 重置当前失败登录尝试次数的时间(以秒为单位)。 |
Failure reset interval = 60
如果用户在
Max failures 定义的登录尝试失败的次数超过 1 分钟,用户可以尝试再次登录,而不会造成用户帐户锁定的风险。
|
锁定持续时间 | 在 Max failures 中定义的失败登录尝试次数后,用户帐户锁定的时间(以秒为单位)。另请参阅 第 22.1.3 节 “密码失败后解锁用户帐户”。 |
Lockout duration = 600
锁定帐户的用户在 10 分钟内无法登录。
|
重要
如果您一组不同的硬件可能不能使用国际字符和符号,则字符类要求应为英语字母和常用符号。有关密码中字符类策略的更多信息,请参阅红帽知识库 中的哪些字符在密码中有效?
28.2.2. 全局和特定于组的密码策略
默认密码策略是 全局密码策略。除了全局策略外,您还可以创建其他 组密码策略。
- 全局密码策略
- 安装初始 IdM 服务器会自动使用默认设置创建全局密码策略。全局策略规则应用到所有用户,无组密码策略。
- 组密码策略
- 组密码策略应用到对应用户组的所有成员。
对于任何用户,一次只能有一个密码策略生效。如果用户分配了多个密码策略,其中一个将优先于优先级。请参阅 第 28.2.3 节 “密码策略优先级”。
28.2.3. 密码策略优先级
每个组密码策略都有一个 优先级 集。值越低,策略优先级越高。支持最低的优先级值为
0。
- 如果多个密码策略适用于某个用户,则优先级最低的策略优先。其他策略中定义的所有规则都将被忽略。
- 优先级值最低的密码策略适用于所有密码策略属性,即使策略中没有定义的属性也是如此。
全局密码策略没有设置优先级值。当没有为用户设置组策略时,它充当回退策略。全局策略不能优先于组策略。
表 28.2 “根据优先级应用密码策略属性示例” 演示了密码策略优先级在属于两个组并定义了策略的用户示例上工作。
Max lifetime | Min length | |
---|---|---|
组 A 的策略(优先级 0) | 60 | 10 |
组 B 的策略(优先级 1) | 90 | 0(无限制) |
↓ | ↓ | |
用户(组 A 和组 B 的成员) | 60 | 10 |
注意
ipa pwpolicy-show --user=user_name 命令显示哪个策略当前对特定用户生效。