18.2 Gestione delle policy password

Per policy password si intende una raccolta di regole definite dall'amministratore in cui sono specificati i criteri di creazione e sostituzione delle password degli utenti finali. NMAS consente di applicare policy password assegnate agli utenti in eDirectory. Le policy password possono includere anche la funzione di gestione autonoma Password dimenticata, che consente di ridurre le chiamate all'help desk per il recupero delle password. Un'altra funzione di gestione autonoma è la reimpostazione autonoma della password, che consente agli utenti di modificare le proprie password mentre visualizzano le regole specificate dall'amministratore nella policy password. Gli utenti possono accedere a queste funzioni mediante l'applicazione utente Identity Manager o Identity Console.

Tramite il modulo Policy password è possibile eseguire i seguenti task:

18.2.1 Creazione di una policy password con le impostazioni di default

Per creare una policy password, eseguire le operazioni riportate di seguito:

  1. Fare clic sulle opzioni Gestione autenticazione > Policy password nella pagina di destinazione di Identity Console.

  2. Fare clic sull'icona per creare una nuova policy password.

  3. Specificare il nome, il contesto, la descrizione e il messaggio di modifica della password nella schermata successiva.

  4. Se si desidera creare una policy password con le impostazioni di default, selezionare la casella di controllo Crea una nuova policy password basata sulle impostazioni di default e fare clic su Avanti per visualizzare la pagina Riepilogo.

  5. Verificare i dettagli nella pagina Riepilogo e fare clic su Crea.

  6. Viene visualizzato un messaggio di conferma che indica che la creazione della policy password è stata completata.

Figura 18-9 Creazione di una policy password con le impostazioni di default

18.2.2 Creazione di una policy password con impostazioni personalizzate

Per creare una policy password con impostazioni personalizzate, eseguire le operazioni riportate di seguito:

  1. Fare clic sulle opzioni Gestione autenticazione > Policy password nella pagina di destinazione di Identity Console.

  2. Fare clic sull'icona per creare una nuova policy password.

  3. Specificare il nome, il contesto, la descrizione e il messaggio di modifica della password nella schermata successiva.

  4. Se si desidera creare una policy password con impostazioni personalizzate, fare clic su Avanti.

  5. Eseguire le seguenti azioni nella pagina Configurazione:

    1. Abilita Password universale: l'abilitazione della Password universale per una policy consente di utilizzare le opzioni nella funzione Policy password. Tuttavia, prima di abilitare la Password universale per una policy, è necessario soddisfare i requisiti della Password universale per il proprio ambiente.

    2. Abilita regole password avanzate: questa opzione abilita le regole per la password presenti in Regole password avanzate. Queste regole consentono di proteggere il proprio ambiente fornendo il controllo su criteri come la durata e il contenuto di una password, ad esempio una combinazione di lettere, numeri, lettere maiuscole o minuscole e caratteri speciali. È possibile escludere le password ritenute non sicure, ad esempio il nome della propria azienda.

    3. Sincronizzazione password: queste opzioni determinano il modo in cui la Password universale viene sincronizzata in eDirectory con altri tipi di password di Identity Vault. La Sincronizzazione password contiene le seguenti opzioni:

      1. Rimuovi password NDS durante l'impostazione della password: se questa opzione è selezionata, la password NDS viene disabilitata quando viene impostata la Password universale. Gli utenti non saranno in grado di utilizzare i metodi o le utility precedenti che eseguono il login direttamente con la password NDS invece di comunicare con NMAS. Se questa opzione è impostata, l'opzione successiva Sincronizza password NDS durante l'impostazione della password sarà disabilitata di default.

      2. Sincronizza password NDS durante l'impostazione della password: se si seleziona questa opzione, l'impostazione della Password universale in applicazioni quali Identity Console modifica anche la password NDS.

      3. Sincronizza password semplice durante l'impostazione della password: questa opzione garantisce la compatibilità con NetIQ e con i client di terze parti che utilizzano la password semplice e il provisioning utente.

      4. Sincronizza password di distribuzione durante l'impostazione della password: questa opzione determina la capacità del motore di metadirectory di recuperare o impostare una Password universale dell'utente in eDirectory.

    4. Recupero Password universale: Sono disponibili le seguenti opzioni:

      1. Consenti all'utente di recuperare la password: consente all'agente utente di recuperare la password. Questa opzione determina se la funzione di gestione autonoma Password dimenticata può eseguire il recupero di una password per conto dell'utente, in modo che questa venga inviata all'utente tramite e-mail. Se non si seleziona questa opzione, la funzione corrispondente è disattivata nella scheda Password dimenticata nella policy password.

      2. Consenti all'amministratore di recuperare le password: selezionare questa casella se si dispone di un servizio specifico che richiede tale funzione. In Identity Manager non è necessario che gli amministratori recuperino le password. Tuttavia, alcuni servizi di terze parti potrebbero sfruttare questa opzione.

      3. Consenti il recupero delle password da parte di quanto segue: selezionare l'utente appropriato che può recuperare la password facendo clic sull'icona .

    5. Autenticazione:

      1. Verificare che le password esistenti siano conformi alla policy password (la verifica ha luogo durante il login): questa opzione risulta utile nel caso si voglia essere certi che le password esistenti siano conformi alle regole nuove o modificate quando si distribuisce una nuova policy password o si modificano le Regole password avanzate per una policy esistente.

        Se si seleziona questa opzione, quando gli utenti eseguono il login, le password esistenti vengono analizzate per verificare che siano conformi alle Regole password avanzate nella policy password nuova o modificata. Se la password esistente non è conforme, all'utente verrà richiesto di cambiarla.

        Al termine, fare clic su Avanti.

  6. Le Regole password avanzate aiutano a proteggere l'ambiente fornendo il controllo su informazioni della password quali durata, frequenza di modifica e contenuto.

    I caratteri speciali sono i caratteri non numerici (0-9) e non alfabetici.

    Eseguire le seguenti azioni nella pagina Regole password avanzate:

    1. È possibile gestire le impostazioni di sintassi delle password utilizzando la policy di complessità Microsoft (precedente a Microsoft Windows Server 2008), la policy password di Microsoft Server 2008 o la sintassi Novell.

    2. Specificare le opzioni desiderate per Modifica password, Durata password, Lunghezza e composizione della password ed Esclusioni password nella procedura guidata, quindi fare clic su Avanti.

  7. È possibile ridurre i costi di help desk impostando la funzione di gestione autonoma Password dimenticata per gli utenti che hanno dimenticato la password. Queste funzioni di gestione autonoma sono disponibili per gli utenti tramite il portale di Identity Console. Eseguire le seguenti azioni nella pagina Password dimenticata:

    NOTA:se si abilita la funzione Password dimenticata, è necessario anche specificare se è necessario un set di autenticazione per assistere l'utente nell'esecuzione del login.

    1. Set di autenticazione: se si utilizzano i set di autenticazione, gli utenti non potranno utilizzare la funzione di gestione autonoma Password dimenticata finché non risponderanno alle domande del set di autenticazione. Per assicurarsi che agli utenti venga richiesto di immettere tali informazioni tramite il portale di Identity Console, selezionare l'opzione Richiedi set di autenticazione.

    2. Azione: le opzioni disponibili in questa scheda consentono all'utente di reimpostare la password utilizzando i set di autenticazione e la Password universale, di abilitare l'invio tramite e-mail della password corrente o del suggerimento per la password e di visualizzare l'opzione di suggerimento per la password.

    3. Autentica: selezionare la casella Forza l'utente a configurare le domande di autenticazione e/o il suggerimento al momento dell'autenticazione per fare in modo che agli utenti venga richiesto di specificare i set di autenticazione o il suggerimento per la password.

      Al termine, fare clic su Avanti.

  8. La policy non viene applicata fino a quando non viene assegnata a uno o più oggetti. Si consiglia di assegnare le policy al livello più alto possibile nell'albero, in modo da semplificarne la gestione. È possibile assegnare le policy password ai seguenti oggetti:

    1. Oggetto Policy login: si consiglia di creare una policy password di default per tutti gli utenti dell'albero e assegnarla all'oggetto Policy login presente nel container di sicurezza.

    2. Un container che rappresenta la radice di una partizione: se si assegna una policy a un container che rappresenta la radice di una partizione, tutti gli utenti di tale partizione, inclusi gli utenti nei sotto container, ereditano l'assegnazione delle policy.

    3. Un container che non rappresenta la radice di una partizione: se si assegna una policy a un container che non rappresenta la radice di una partizione, solo gli utenti presenti in tale container ereditano l'assegnazione della policy. Gli utenti presenti nei sotto container non ereditano la policy.

      Per applicare la policy a tutti gli utenti al di sotto di un container che non è una radice di una partizione, assegnare la policy singolarmente a ciascun sotto container.

    4. Un utente: è possibile assegnare una policy a uno o più utenti.

      Per assegnare una policy, fare clic sull'icona . Individuare e selezionare l'oggetto appropriato a cui assegnare la policy password.

      Se si desidera rimuovere un'associazione di policy, selezionarla dall'elenco e fare clic sull'icona .

  9. Verificare i dettagli nella pagina Riepilogo e fare clic su Crea.

  10. Viene visualizzato un messaggio di conferma che indica che la creazione della policy password è stata completata.

Figura 18-10 Creazione di una policy password con impostazioni personalizzate

18.2.3 Modifica di una policy password

Per modificare una policy password esistente, eseguire le operazioni riportate di seguito:

  1. Fare clic sulle opzioni Gestione autenticazione > Policy password nella pagina di destinazione di Identity Console.

  2. Selezionare la policy password appropriata dall'elenco e fare clic sull'icona .

  3. Apportare le modifiche necessarie nella pagina Modifica policy password e fare clic su Salva.

Figura 18-11 Modifica di una policy password

18.2.4 Eliminazione delle policy password

Per eliminare le policy password, eseguire le operazioni riportate di seguito:

  1. Fare clic sulle opzioni Gestione autenticazione > Policy password nella pagina di destinazione di Identity Console.

  2. Selezionare le policy password appropriate dall'elenco e fare clic sull'icona .

  3. Nella schermata di avviso successiva, fare clic su OK.

  4. Viene visualizzato un messaggio di conferma che indica che le policy password sono state eliminate.

Figura 18-12 Eliminazione di una policy password