Les mots de passe universels sont stockés dans eDirectory après leur chiffrement et peuvent être récupérés par eDirectory lorsque cela est nécessaire. Par exemple, au moment de l'authentification.
Comme solution alternative aux mots de passe universels, eDirectory 9.2 prend en charge le stockage des mots de passe hachés à l'aide de l'algorithme de hachage PBKDF2 (Password-Based Key Derivation Function 2) (RFC 2898). Les mots de passe de l'utilisateur ne peuvent pas être récupérés si le hachage de mots de passe PBKDF2 est activé. Pour plus d'informations, reportez-vous à la section Options de configuration du mot de passe universel.
IMPORTANT :À partir de la version 9.2 d'eDirectory, dans une stratégie de mot de passe, si les mots de passe universels sont désactivés, le hachage de mots de passe PBKDF2 est automatiquement activé. Les stratégies de mot de passe existantes dont les mots de passe universels sont désactivés ne sont pas appliquées aux utilisateurs avant la mise à niveau vers eDirectory 9.2. En revanche, si vous mettez à niveau votre serveur vers eDirectory 9.2, ces stratégies de mot de passe sont automatiquement appliquées à tous les utilisateurs de l'arborescence. Pour contourner ce comportement, supprimez toutes les assignations de ces stratégies de mot de passe avant d'effectuer la mise à niveau.
Si vous passez des mots de passe NDS aux mots de passe PBKDF2, vous devez également passer manuellement à la méthode de connexion SCRAM. Pour plus d'informations sur la méthode de connexion SCRAM, reportez-vous à la section Authentification par mot de passe.
REMARQUE :
Les mots de passe créés à l'aide de l'algorithme de hachage PBKDF2 sont sensibles à la casse, contrairement contrairement aux mots de passe NDS.
Les mots de passe créés à l'aide de l'algorithme de hachage PBKDF2 ne prennent pas en charge les règles nspmXCharHistoryLimit et nspmXCharLimit dans la stratégie de mot de passe.
Par défaut, PBKDF2 est configuré pour utiliser SHA-256 et le nombre d'itérations de 1. Ces paramètres peuvent être modifiés à l'aide des attributs nspmPBKDF2HashAlgorithm et nspmPBKDF2IterationCount, respectivement. Les performances de la liaison LDAP diminuent si vous augmentez le nombre d'itérations.
La méthode de connexion SCRAM ne prend pas en charge l'annexion d'un mot de passe à usage unique (OTP). Si des utilisateurs de l'arborescence utilisent la méthode de connexion NDS avec un mot de passe à usage unique basé sur le hachage (HOTP), n'autorisez pas l'utilisation de la méthode de connexion SCRAM pour ces utilisateurs.
Démarrez NetIQ iManager.
Cliquez sur Rôles et tâches > Mots de passe > Stratégie de mot de passe.
Démarrez l'assistant de stratégie de mot de passe en cliquant sur Nouveau.
Entrez un nom pour la stratégie et cliquez sur Suivant.
Sélectionnez Non pour activer le hachage de mots de passe PBKDF2.
Fermez l'assistant de stratégie de mot de passe.