7.6. 设计密码策略

目录服务器支持精细的密码策略，这意味着 Directory 服务器在目录树中的任意点定义密码策略。目录服务器在以下级别上定义密码策略：

默认情况下，Directory 服务器包含与全局密码策略相关的条目和属性，这意味着将相同的策略应用于所有用户。要为子树或用户设置密码策略，请在子树或用户级别添加额外的条目，并启用 cn=config 条目的 nsslapd-pwpolicy-local 属性。此属性充当交换机，打开和关闭细粒度密码策略。

您可以使用命令行或 Web 控制台更改密码策略。在命令行中，dsconf pwpolicy 命令更改全局策略，dsconf localpwp 命令会更改本地策略。您可以在 配置密码策略部分找到 设置密码策略 的步骤。

密码策略检查过程

您添加到目录的密码策略条目决定了 Directory 服务器应强制执行的密码策略的类型(global 或 local)。

当用户尝试绑定到目录时，Directory 服务器决定是否为用户条目定义并启用本地策略。目录服务器按以下顺序检查策略设置：

除了绑定请求外，如果请求中存在 userPassword 属性，则在添加和修改操作过程中也会进行密码策略检查。

修改 userPassword 的值会检查两个密码策略设置：

添加和修改 userPassword 的值会检查为密码语法设置的密码策略：

了解可用于为服务器创建密码策略的属性。目录服务器在 cn=config 条目中保存密码策略属性，您可以使用 dsconf 实用程序更改这些设置。

故障的最大数量

此设置在密码策略中启用基于密码的帐户锁定。如果用户尝试登录一定次数并失败，Directory 服务器会锁定该帐户，直到管理员解锁或有选择地通过了一定的时间。使用 passwordMaxFailure 配置参数设置最大故障数。

当登录尝试达到限制时，目录服务器有两种方法来计数登录尝试并锁定帐户：

例如，如果失败限制是三次尝试，可以在第三个失败尝试时锁定帐户(n)，或者在第四次失败尝试时锁定(n+1)。n+1 行为是 LDAP 服务器的历史行为，因此被视为传统行为。较新的 LDAP 客户端预期有一个更严格的硬限制。默认情况下，Directory 服务器使用严格的限制(n)，但您可以在 passwordLegacyPolicy 配置参数中更改旧的行为。

重置后更改密码

目录服务器密码策略可以指定用户在首次登录时或管理员重置密码后更改密码。管理员设置的默认密码通常遵循公司惯例，如用户初始、用户 ID 或公司名称。如果发现这个惯例，这通常是恶意参与者试图破坏系统的第一个值。因此，建议在管理员重置这些密码后要求用户更改密码。

如果您为密码策略配置此设置，则即使禁用了用户定义的密码，用户需要更改密码。如果密码策略不需要或者不允许用户更改密码，则管理员分配的密码不应遵循任何明显的惯例，应该很难发现。

默认配置不需要用户在重置后更改密码。

用户定义的密码

您可以设置密码策略来允许或不允许用户更改自己的密码。良好的密码是强密码策略的关键。良好的密码不应使用普通词语，如字典单词、pet 或子代的名称、生日、用户 ID 或任何可轻松发现的用户的信息（或存储在目录本身中）。良好的密码应包含字母、数字和特殊字符的组合。但是，为了方便起见，用户通常使用易于记住的密码。因此，一些企业选择为用户设置密码，以满足强大密码条件，也不允许用户更改密码。

为用户设置密码有以下缺陷：

默认情况下，允许用户定义的密码。

密码过期

密码策略可允许用户无限期地使用相同的密码，或指定在给定时间后过期的密码。通常，使用较长的密码会被发现。但是，如果密码经常过期，用户可能很难记住它们，并采取措施写出密码。常见策略是使密码每 30 到 90 天过期。即使禁用密码过期时间，服务器也会记住密码过期规格。如果重新启用了密码过期，则密码只在最后一次禁用前设定的时间有效。例如，如果您将密码配置为每 90 天过期，然后禁用并重新启用密码过期，则默认的密码过期持续时间会保留 90 天。

默认情况下，用户密码永不过期。

过期警告

如果您设置了密码过期周期，最好在用户密码过期前向用户发送警告。

当用户绑定到服务器时，目录服务器会显示警告。如果启用了密码过期，默认情况下，Directory 服务器通过使用 LDAP 消息向用户发送警告信息，在用户密码过期前一天。用户客户端应用应支持此功能。

密码过期警告的有效范围为从一到 24,855 天。

宽限期限制

过期的密码 宽限期 意味着用户仍然可以登录到系统，即使其密码已过期。要允许某些用户使用过期密码登录，请在密码过期后指定允许用户的宽限期尝试次数。

默认情况下，Directory 服务器不允许宽限期。

密码语法检查

密码语法检查强制实施密码字符串的规则，以便任何密码都必须满足或超过某些条件。所有密码语法检查都可以在全局、每个子树或每个用户应用。passwordCheckSyntax 属性管理密码语法检查。

默认密码语法要求最小密码长度为八个字符，且密码中没有使用任何普通词语。微小的词语是存储在 uid,cn,sn,givenName,ou, 或 mailattributes 中的任何值。

另外，您可以使用其他形式的密码语法强制，为密码语法提供不同的可选类别：

需要的更多语法类别，其密码越高。

默认情况下禁用密码语法检查。

密码长度

密码策略可能需要用户密码的最短长度。通常，较短的密码更易于破解。密码的建议最小长度为八个字符。这很难破解但很短，用户可以在不写出密码的情况下记住密码。此属性的有效值范围从两个到 512 个字符。

默认情况下，服务器没有最小密码长度。

密码 过期时间：密码策略可阻止用户更改指定时间的密码。当您将 passwordMinAge 属性与 passwordHistory 属性结合使用时，用户无法重复使用旧密码。例如，如果密码最短期限(passwordMinAge)属性为两天，则用户在单个会话期间无法重复更改密码。这可以防止它们通过密码历史记录加以利用，以便他们可以重复利用旧密码。

passwordMinAge 属性的值的有效范围从零到 24 855 天。值为零(0)表示用户可以立即更改密码。

密码历史记录

目录服务器可以在密码历史记录中存储两个到 24 密码。如果密码位于历史记录中，用户无法将其密码重置为旧密码。这可防止用户重复使用容易记住的一些密码。或者，您可以禁用密码历史记录，从而允许用户重复使用密码。

即使密码历史记录关闭，密码也会停留在历史记录中。如果重新打开密码历史记录，用户无法在禁用密码历史记录前重复使用历史记录中的密码。

默认情况下，服务器不会维护密码历史记录。

密码存储方案

密码存储方案指定了在目录中存储目录服务器密码的加密类型。目录服务器支持多个不同的密码存储方案：

密码上次更改时间 The passwordTrackUpdateTime 配置属性会向服务器记录上次更新条目密码的时间戳。目录服务器将密码更改时间保存为用户条目中的操作属性 pwdUpdateTime，它与 modifyTimestamp 或 lastModified 操作属性分开。

默认情况下，服务器不会存储上次更改时间的密码。

目录服务器在复制环境中强制使用密码和帐户锁定策略，如下所示：

目录服务器在目录中复制密码策略信息，如密码年龄、帐户锁定计数器和过期警告计数器。但是，目录服务器不会复制配置信息，如密码语法和密码修改的历史记录。目录服务器在本地存储此信息。

在复制环境中配置密码策略时，请考虑以下点：