第 8 章 配置身份验证
本章涵盖了几个身份验证主题。这些主题包括:
- 强制严格的密码和一次性密码(OTP)策略。
- 管理不同的凭据类型。
- 使用 Kerberos 登录.
- 禁用并启用内置凭证类型。
8.1. 密码策略
当 Red Hat Single Sign-On 创建域时,它不会将密码策略与域关联。您可以设置一个简单的密码,对长度、安全性或复杂性没有限制。在生产环境中无法接受简单的密码。Red Hat Single Sign-On 通过管理控制台提供一组密码策略。
流程
- 在菜单中,单击 Authentication。
- 点 Password Policy 选项卡。
- 选择要在 Add policy 下拉列表中添加的策略。
- 输入与所选策略对应的 Policy Value 的值。
点 Save。
密码策略
保存策略后,Red Hat Single Sign-On 会强制执行新用户的策略,并为现有用户设置 Update Password 操作,以确保他们在下次登录时更改密码。例如:
失败的密码策略
8.1.1. 密码策略类型
8.1.1.1. 哈希算法
密码不会以明文形式存储。在存储或验证前,使用支持 PBKDF2、PBKDF2-SHA256 和 PBKDF-SHA512 哈希算法的标准哈希算法的红帽单点登录哈希密码。
8.1.1.2. 哈希迭代
指定存储或验证前 Red Hat Single Sign-On 哈希密码的次数。默认值为 27,500。
Red Hat Single Sign-On 哈希密码,以确保有访问密码数据库的恶意执行者无法通过反向工程读取密码。
高哈希迭代值可能会影响性能,因为它需要较高的 CPU 电源。
8.1.1.3. 数字
密码字符串中所需的数字数字数。
8.1.1.4. 小写字符
密码字符串中所需的小写字母数量。
8.1.1.5. 大写字符
密码字符串中所需的大写字母数。
8.1.1.6. 特殊字符
密码字符串中所需的特殊字符数量。
8.1.1.7. Not username
密码不能与用户名相同。
8.1.1.8. 未通过电子邮件
密码不能与用户的电子邮件地址相同。
8.1.1.9. 正则表达式
密码必须与一个或多个定义的正则表达式模式匹配。
8.1.1.10. 过期密码
密码有效天数。当天数已过期时,用户必须更改其密码。
8.1.1.11. 最近使用
用户无法使用密码。红帽单点登录存储了使用的密码的历史记录。存储的旧密码数量可在 Red Hat Single Sign-On 中进行配置。
8.1.1.12. 密码黑名单
密码不能位于黑名单文件中。
- 将文件列入黑名单为 UTF-8 纯文本文件,以 Unix 行结尾。每行都代表列入黑名单的密码。
- Red Hat Single Sign-On 以不区分大小写的方式比较密码。黑名单中的所有密码都必须小写。
- blacklist 文件的内容必须是 blacklist 文件的名称。
将文件列入黑名单为
${jboss.server.data.dir}/password-blacklists/。使用以下方法自定义此路径:-
keycloak.password.blacklists.path属性。 -
passwordBlacklist策略 SPI 配置的blacklistsPath属性。
-
