18.2 Správa zásad hesel

Správa hesel je kolekce správcem definovaných pravidel, která stanovují kritéria pro vytváření a náhradu hesel koncových uživatelů. Server NMAS umožnuje vynutit zásady hesel, které přiřadíte uživatelům ve službě eDirectory. Zásady hesel mohou také zahrnovat samoobslužné funkce pro zapomenutá hesla, díky kterým se sníží počet volání na podporu v případě zapomenutí hesla. Další samoobslužnou funkcí je samoobslužná funkce pro resetování hesla, která umožňuje uživatelům změnit hesla na základě pravidel, která správce určil v zásadách hesel. Uživatelé mají k těmto funkcím přístup prostřednictvím uživatelské aplikace Identity Manager nebo konzoly Identity Console.

Pomocí modulu Zásady hesel můžete provádět následující úlohy:

18.2.1 Vytvoření zásad hesel s výchozím nastavením

Chcete-li vytvořit nové zásady hesel, postupujte následovně:

  1. Na vstupní stránce konzoly Identity Console klikněte na položky Správa ověřování > Zásady hesel.

  2. Kliknutím na ikonu vytvořte nové zásady hesel.

  3. Na další obrazovce zadejte název, kontext, popis a zprávu pro změnu hesla.

  4. Pokud chcete vytvořit zásady hesel s výchozím nastavením, zaškrtněte políčko Vytvořit nové zásady hesel na základě výchozího nastavení a kliknutím na tlačítko Další zobrazte stránku Souhrn.

  5. Zkontrolujte podrobnosti na stránce Souhrn a klikněte na tlačítko Vytvořit.

  6. Zobrazí se potvrzovací zpráva udávající, že zásady hesel byly úspěšně vytvořeny.

Obrázek 18-9 Vytvoření zásad hesel s výchozím nastavením

18.2.2 Vytvoření zásad hesel s vlastním nastavením

Chcete-li vytvořit zásady hesel s vlastním nastavením, postupujte následovně:

  1. Na vstupní stránce konzoly Identity Console klikněte na položky Správa ověřování > Zásady hesel.

  2. Kliknutím na ikonu vytvořte nové zásady hesel.

  3. Na další obrazovce zadejte název, kontext, popis a zprávu pro změnu hesla.

  4. Pokud chcete vytvořit zásady hesel s vlastním nastavením, klikněte na tlačítko Další.

  5. Na stránce Konfigurace proveďte následující akce:

    1. Aktivovat univerzální heslo: Po povolení volby Aktivovat univerzální heslo pro zásady budete moct používat možnosti ve funkci Zásady hesel. Než budete moct pro zásady univerzální heslo aktivovat, musíte splnit předpoklady pro univerzální heslo ve svém prostředí.

    2. Aktivovat pokročilá pravidla pro heslo: Tato volba umožňuje aktivovat pravidla pro heslo uvedená v pokročilých pravidlech pro heslo. Díky těmto pravidlům můžete lépe zabezpečit prostředí, protože máte kontrolu nad kritérii, jako je životnost hesla a obsah hesla, například kombinace písmen, čísel, velkých a malých písmen a speciálních znaků. Můžete vyloučit hesla, která podle vás nejsou bezpečná, například jméno vaší společnosti.

    3. Synchronizace hesel: Tyto volby určují, jak je univerzální heslo ve službě eDirectory synchronizováno s ostatními typy hesel sejfu identit. Nabídka Synchronizace hesel obsahuje následující možnosti:

      1. Odebrat heslo NDS při nastavování hesla: Je-li tato možnost vybrána, bude heslo NDS po nastavení univerzálního hesla deaktivováno. Uživatelé nebudou moct použít starší metody ani utility, které se přihlašují přímo pomocí hesla NDS namísto komunikace se serverem NMAS. Je-li tato možnost nastavena, bude následující volba Synchronizovat heslo NDS při nastavování hesla ve výchozím nastavení deaktivována.

      2. Synchronizovat heslo NDS při nastavování hesla: Pokud tuto možnost vyberete, nastavení univerzálního hesla v aplikacích, jako je konzola Identity Console, změní také heslo NDS.

      3. Synchronizovat jednoduché heslo při nastavování hesla: Tato možnost poskytuje kompatibilitu s klienty NetIQ a třetích stran používajícími jednoduché heslo a poskytování uživatelů.

      4. Synchronizovat heslo k distribuci při nastavování hesla: Tato možnost určí, zda může modul metaadresáře ve službě eDirectory načíst nebo nastavit univerzální heslo uživatele.

    4. Načtení univerzálního hesla: K dispozici jsou následující možnosti:

      1. Povolit uživateli načtení hesla: Povoluje uživatelskému agentovi načíst heslo. Tato možnost určuje, zda může samoobslužná funkce pro zapomenutá hesla načíst heslo jménem uživatele a poslat mu ho e-mailem. Pokud tuto možnost nevyberete, bude příslušná funkce na kartě Zapomenuté heslo v zásadách hesel zašedlá.

      2. Povolit správci načtení hesla: Toto políčko zaškrtněte, pokud to vyžaduje konkrétní služba. Nástroj Identity Manager načítání hesel nevyžaduje. Některé služby třetích stran ale tuto možnost mohou využít.

      3. Povolit následujícím uživatelům načtení hesla: Kliknutím na ikonu vyberte příslušného uživatele, který má načíst heslo.

    5. Ověřování:

      1. Ověřit, zda existující hesla odpovídají zásadám hesel (ověřování probíhá při přihlášení): Tato možnost je užitečná, když nasazujete nové zásady hesel nebo měníte pokročilá pravidla pro heslo pro existující zásady a chcete zajistit, aby existující hesla novým nebo změněným pravidlům odpovídala.

        Pokud tuto možnost vyberete, jsou při přihlašování uživatelů jejich existující hesla analyzována a kontroluje se, zda odpovídají pokročilým pravidlům pro heslo v nových nebo změněných zásadách hesel. Pokud existující heslo pravidlům neodpovídá, musí si ho uživatel změnit.

        Až budete hotovi, klikněte na tlačítko Další.

  6. Pokročilá pravidla pro heslo pomáhají zabezpečit prostředí díky kontrole nad detaily, jako je životnost hesel, frekvence změny a obsah hesla.

    Speciální znaky jsou znaky jiné než čísla (0 až 9) a alfanumerické znaky.

    Na stránce Pokročilá pravidla pro heslo můžete provádět následující akce:

    1. Můžete spravovat nastavení syntaxe hesel pomocí zásad složitosti společnosti Microsoft (před verzí Microsoft Windows Server 2008), zásad hesel pro Microsoft Server 2008 nebo syntaxe Novell.

    2. V průvodci zadejte požadované volby pro položky Změnit heslo, Životnost hesla, Délka a složení hesla a Vyloučení hesel a klikněte na tlačítko Další.

  7. Aktivací samoobslužné funkce Zapomenuté heslo pro uživatele, kteří zapomenou heslo, můžete snížit náklady na podporu. Tyto samoobslužné funkce jsou uživatelům k dispozici na portálu konzoly Identity Console. Na stránce Zapomenuté heslo můžete provádět následující akce:

    POZNÁMKA:Pokud aktivujete funkci Zapomenuté heslo, musíte také určit, zda je vyžadována sada výzev, která uživateli pomůže se přihlásit.

    1. Sady výzev: Pokud použijete sady výzev, uživatelé nebudou moct použít samoobslužnou funkci Zapomenuté heslo, dokud neodpoví na otázky z této sady. Pokud chcete, aby uživatelé byli vyzváni k zadání těchto informací na portálu konzoly Identity Console, vyberte možnost Požadovat sadu výzev.

    2. Akce: Volby na této kartě umožňují vašemu uživateli resetovat heslo pomocí sad výzev a univerzálního hesla, aktivovat aktuální heslo nebo zaslání nápovědy hesla e-mailem a zobrazit možnost nápovědy hesla.

    3. Ověřit: Zaškrtnutím políčka Vynutit od uživatelů při ověřování konfiguraci otázek výzvy nebo nápovědy zajistíte, že uživatelé budou vyzváni k zadání sady výzev nebo nápovědy hesla.

      Až budete hotovi, klikněte na tlačítko Další.

  8. Zásady vstoupí v platnost, jakmile je přiřadíte alespoň k jednomu objektu. Doporučujeme je přiřadit co nejvýše ve stromové struktuře, aby se zjednodušila správa. Zásady hesel lze přiřadit následujícím objektům:

    1. Objekt zásad přihlášení: Pro všechny uživatele ve stromové struktuře doporučujeme vytvořit výchozí zásady hesel a přiřadit je objektu zásad přihlášení, který se nachází v bezpečnostním kontejneru.

    2. Kontejner, který je kořen oddílu: Pokud zásady přiřadíte kontejneru, který je kořen oddílu, zdědí přiřazení zásad všichni uživatelé v daném oddílu, včetně uživatelů v dílčích kontejnerech.

    3. Kontejner, který není kořen oddílu: Pokud zásady přiřadíte kontejneru, který není kořen oddílu, zdědí přiřazení zásad pouze uživatelé v daném konkrétním kontejneru. Uživatelé, kteří se nacházejí v dílčích kontejnerech, tyto zásady nezdědí.

      Chcete-li zásady použít na všechny uživatele pod kontejnerem, který není kořenem oddílu, musíte je přiřadit každému dílčímu kontejneru zvlášť.

    4. Uživatel: Zásady můžete přiřadit jednomu a více uživatelům.

      Chcete-li přiřadit zásady, klikněte na ikonu . Následně vyhledejte a vyberte příslušný objekt, kterému chcete zásady hesel přiřadit.

      Pokud chcete odstranit přidružení zásad, vyberte zásady v seznamu a klikněte na ikonu .

  9. Zkontrolujte podrobnosti na stránce Souhrn a klikněte na tlačítko Vytvořit.

  10. Zobrazí se potvrzovací zpráva udávající, že zásady hesel byly úspěšně vytvořeny.

Obrázek 18-10 Vytvoření zásad hesel s vlastním nastavením

18.2.3 Změna zásad hesel

Chcete-li změnit existující zásady hesel, postupujte následovně:

  1. Na vstupní stránce konzoly Identity Console klikněte na položky Správa ověřování > Zásady hesel.

  2. V seznamu vyberte příslušné zásady hesel a klikněte na ikonu .

  3. Na stránce Změnit zásady hesel proveďte potřebné změny a klikněte na tlačítko Uložit.

Obrázek 18-11 Změna zásad hesel

18.2.4 Odstranění zásad hesel

Chcete-li odstranit zásady hesel, postupujte následovně:

  1. Na vstupní stránce konzoly Identity Console klikněte na položky Správa ověřování > Zásady hesel.

  2. V seznamu vyberte příslušné zásady hesel a klikněte na ikonu .

  3. Na další obrazovce s upozorněním klikněte na tlačítko OK.

  4. Zobrazí se potvrzovací zpráva udávající, že zásady hesel byly odstraněny.

Obrázek 18-12 Odstranění zásad hesel