搜索

6.5. 将其他密码策略选项应用到 IdM 组

download PDF

按照以下流程,在身份管理(IdM)中应用额外的密码策略选项。这个示例描述了如何通过确保新密码不包含用户相应的用户名以及密码不包含两个以上相同的字符来增强 managers 组的密码策略。

先决条件

  • 您以 IdM 管理员身份登录。
  • managers 组存在于 IdM 中。
  • IdM 中存在 managers 密码策略。

步骤

  1. 将用户名检查应用到 managers 组中用户建议的所有新密码:

    $ ipa pwpolicy-mod --usercheck=True managers
    注意

    如果没有指定密码策略的名称,则会修改默认的 global_policy

  2. manager 密码策略中,将相同连续字符的最大数量设置为 2:

    $ ipa pwpolicy-mod --maxrepeat=2 managers

    现在不接受包含 2 个以上连续相同的字符的密码。例如,eR873mUi111YJQ 组合是不可接受的,因为它包含三个连续的 1

验证

  1. 添加名为 test_user 的测试用户:

    $ ipa user-add test_user
    First name: test
    Last name: user
    ----------------------------
    Added user "test_user"
    ----------------------------
  2. 将 test 用户添加到 managers 组:

    1. 在 IdM Web UI 中,点 Identity Groups User Groups
    2. managers
    3. Add
    4. Add users to user group 'managers' 页面中,检查 test_user
    5. 点击 > 箭头将用户移到 Prospect ive 列中。
    6. Add
  3. 重置测试用户的密码:

    1. 进入 Identity Users
    2. 单击 test_user
    3. Actions 菜单中,单击 Reset Password
    4. 输入用户的临时密码。
  4. 在命令行中,尝试为 test_user 获取 Kerberos 票据授予票据 (TGT):

    $ kinit test_user
    1. 输入临时密码。
    2. 系统会通知您必须更改密码。输入包含用户名 test_user 的密码:

      Password expired. You must change it now.
      Enter new password:
      Enter it again:
      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.
      注意

      Kerberos 没有精细的错误密码策略报告,在某些情况下,没有提供拒绝密码的明确原因。

    3. 系统通知您输入的密码被拒绝。输入包含连续三个或多个相同字符的密码:

      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.
      
      Enter new password:
      Enter it again:
    4. 系统通知您输入的密码被拒绝。输入满足 managers 密码策略条件的密码:

      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.
      
      Enter new password:
      Enter it again:
  5. 查看获取的 TGT:

    $ klist
    Ticket cache: KCM:0:33945
    Default principal: test_user@IDM.EXAMPLE.COM
    
    Valid starting       Expires              Service principal
    07/07/2021 12:44:44  07/08/2021 12:44:44  krbtgt@IDM.EXAMPLE.COM@IDM.EXAMPLE.COM

managers 密码策略现在可以为 managers 组中的用户正常工作。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.