4.3. 使用 keystone 进行身份验证

您可以调整 OpenStack Identity 服务(keystone)所需的身份验证安全要求。

当您部署 Red Hat OpenStack Platform (RHOSP)时，可以指定比为服务生成的默认密码更复杂的密码要求。发生这种情况时，服务无法进行身份验证，部署会失败。

您必须首先部署 RHOSP，而无需密码复杂性要求。部署完成后，将 KeystonePasswordRegex 参数添加到您的模板中，然后重新运行部署。

为强化您的环境，实施符合您组织标准的密码复杂性要求。有关 NIST 推荐的密码复杂性要求的详情，请参考附录 A 出版物 88-63B。

Expand

参数	描述
`KeystoneChangePasswordUponFirstUse`	启用此选项要求用户在创建用户时或管理重置时更改密码。
`KeystoneDisableUserAccountDaysInactive`	在被视为"主动"并自动禁用（锁定）前，用户可以经过验证的最大天数。
`KeystoneLockoutDuration`	超过用户帐户的最大数量（如 `KeystoneLockoutFailureAttempts`指定）的最大数量时，用户帐户会被锁定。
`KeystoneLockoutFailureAttempts`	在 `KeystoneLockoutDuration` 指定的秒数内，用户可以在用户帐户锁定前验证的次数上限。
`KeystoneMinimumPasswordAge`	在用户可以更改密码之前必须使用密码的天数。这可防止用户立即更改密码，以擦除密码历史记录并重复使用旧密码。
`KeystonePasswordExpiresDays`	在要求用户更改密码前密码被视为有效的天数。
`KeystonePasswordRegex`	用于验证密码强度要求的正则表达式。
`KeystonePasswordRegexDescription`	以人员使用的语言描述您的密码正则表达式。
`KeystoneUniqueLastPasswordCount`	这将控制在历史记录中保留的之前用户密码迭代的数量，以便强制新创建的密码是唯一的。

其他资源

重复的登录尝试可能是尝试强制攻击的符号。在重复失败登录尝试后，您可以使用 Identity Service 来限制对帐户的访问。

流程