4.3. 使用 keystone 进行身份验证

您可以调整 OpenStack Identity 服务(keystone)所需的身份验证安全要求。

部署 Red Hat OpenStack Platform (RHOSP)时，可以指定密码要求比为服务生成的默认密码更复杂。发生这种情况时，服务无法进行身份验证，部署会失败。

您最初必须部署 RHOSP，而无需密码复杂性要求。部署完成后，将 KeystonePasswordRegex 参数添加到您的模板中，然后重新运行部署。

要强化您的环境，请实施满足您机构标准的密码复杂性要求。有关 NIST 建议密码复杂性要求的详情，请参考发布 88-63B，附录 A。

Expand

表 4.1. Identity 服务身份验证参数
参数	描述
`KeystoneChangePasswordUponFirstUse`	启用此选项要求用户在创建用户时或管理重置时更改密码。
`KeystoneDisableUserAccountDaysInactive`	在被视为"主动"并自动禁用（锁定）前，用户可以经过验证的最大天数。
`KeystoneLockoutDuration`	超过用户帐户的失败尝试次数上限（如 `KeystoneLockoutFailureAttempts`指定）的最大数量时，将锁定用户帐户数。
`KeystoneLockoutFailureAttempts`	在 `KeystoneLockoutDuration` 指定的秒数内，用户可以在用户帐户锁定前验证的次数上限。
`KeystoneMinimumPasswordAge`	在用户可以更改密码之前必须使用密码的天数。这可防止用户立即更改密码，以擦除密码历史记录并重复使用旧密码。
`KeystonePasswordExpiresDays`	在要求用户更改密码之前，密码被视为有效的天数。
`KeystonePasswordRegex`	用于验证密码强度要求的正则表达式。
`KeystonePasswordRegexDescription`	以人员使用的语言描述您的密码正则表达式。
`KeystoneUniqueLastPasswordCount`	这将控制在历史记录中保留的之前用户密码迭代的数量，以便强制新创建的密码是唯一的。

重复失败的登录尝试可能是尝试进行暴力攻击的签名。在重复登录尝试失败后，您可以使用 Identity Service 限制对帐户的访问。

先决条件

流程

返回顶部