18.2 Управление политиками паролей

Политика паролей — это набор заданных администратором правил, которые определяют критерий создания и замены паролей конечных пользователей. NMAS позволяет применить политики паролей, которые назначаются пользователям в eDirectory. В политики паролей также можно включить функции самообслуживания "Забытый пароль", чтобы уменьшить количество обращений в службу поддержки по поводу восстановления забытых паролей. Еще одна функция самообслуживания — "Сбросить пароль" — позволяет пользователям менять пароли при просмотре правил, заданных администратором для политики паролей. Пользователи получают доступ к этим функциям в пользовательском приложении Identity Manager или Identity Console.

Модуль "Политика паролей" позволяет выполнить следующие задачи:

18.2.1 Создание политики паролей с настройками по умолчанию

Порядок создания политики паролей

На целевой странице Identity Console щелкните Управление аутентификацией > Политики паролей.
Чтобы создать новую политику паролей, щелкните значок .
На следующем экране укажите имя, контекст, описание и сообщение об изменении пароля.
Чтобы создать политику паролей с настройками по умолчанию, установите флажок Создать новую политику на основе настроек по умолчанию и щелкните Далее для просмотра страницы Сводка.
Проверьте данные на странице Сводка и щелкните Создать.
Появится сообщение, подтверждающее создание политики паролей.

Рисунок 18-9 Создание политики паролей с настройками по умолчанию

18.2.2 Создание политики паролей с пользовательскими настройками

Порядок создания политики паролей с пользовательскими настройками

На целевой странице Identity Console щелкните Управление аутентификацией > Политики паролей.
Чтобы создать новую политику паролей, щелкните значок .
На следующем экране укажите имя, контекст, описание и сообщение об изменении пароля.
Чтобы создать политику паролей с пользовательскими настройками, щелкните Далее.
На странице Конфигурация выполните указанные ниже действия:
1. Включение универсального пароля. Включение универсального пароля для политики позволяет использовать параметры в функции "Политики паролей". Однако прежде чем включать универсальный пароль для политики, необходимо убедиться в том, что в среде выполнены необходимые предварительные действия для его использования.
2. Включение дополнительных правил для паролей. Этот параметр разрешает использование подробных правил, описанных на вкладке "Дополнительные правила для паролей". Эти правила помогают обеспечить безопасность вашей среды, предоставляя контроль по критериям, таким как срок действия пароля и его содержимого (буквы, цифры, прописные и строчные буквы, а также специальные символы). Можно также исключить заведомо "небезопасные" пароли, например, запретить использовать в качестве пароля название своей компании.
3. Синхронизация паролей. Эти параметры задают условия синхронизации универсального пароля в eDirectory с другими типами паролей хранилища объектов и отношений. Функция синхронизации пароля имеет следующие параметры:
  1. Удалить пароль NDS при установке пароля. Если этот параметр выбран, то при установке универсального пароля пароль NDS будет отключен. Пользователи не смогут использовать более ранние методы или утилиты, в которых реализован прямой вход с паролем NDS (в отличие от обращения к NMAS). Если этот параметр задан, следующий параметр Синхронизировать пароль NDS при установке пароля будет отключен по умолчанию.
  2. Синхронизировать пароль NDS при установке пароля. Если этот параметр выбран, то установка универсального пароля в таких приложениях, как Identity Console, также приведет к изменению пароля NDS.
  3. Синхронизировать простой пароль при установке пароля. Этот параметр обеспечивает совместимость с NetIQ и сторонними клиентами, которые используют простой пароль и обеспечение пользователей правами доступа.
  4. Синхронизировать пароль распространения при установке пароля. Этот параметр определяет способность ядра метакаталога получить или установить универсальный пароль пользователя в eDirectory.
4. Получение универсального пароля. Доступны следующие параметры:
  1. Разрешить пользователю получать пароль. Разрешает агенту пользователя получать пароль. Этот параметр определяет, может ли сервис самообслуживания "Забытый пароль" восстановить пароль от имени пользователя, чтобы можно было отправить этот пароль пользователю по электронной почте. Если этот параметр не выбран, соответствующая функция будет затенена на вкладке "Забытый пароль" в разделе политики паролей.
  2. Разрешить администратору получать пароли. Установите этот флажок, если соответствующая возможность необходима для работы конкретного сервиса. В Identity Manager для администраторов нет необходимости получать пароли. Однако этот параметр может обеспечить преимущества для определенных сторонних сервисов.
  3. Разрешить следующим пользователям получать пароли. Щелкните значок и выберите соответствующего пользователя, который должен получить пароль.
5. Аутентификация:
  1. Проверять соответствие существующих паролей политике паролей (проверка выполняется при входе). Этот параметр обычно применяется при развертывании новой политики паролей или когда меняются дополнительные правила для паролей в существующей политике и необходимо убедиться в том, что существующие пароли соответствуют новым или измененным правилам.
    
    Если выбран этот параметр, то при входе пользователей их пароли анализируются на соответствие дополнительным правилам для паролей в новой или измененной политике паролей. Если существующий пароль не соответствует правилам, пользователю будет предложено изменить его.
    
    По окончании щелкните Далее.
Расширенные правила пароля позволяют лучше защитить среду, предоставляя возможности контроля таких параметров пароля, как срок действия, частота изменения и содержимое.

Специальные символы — это символы, отличные от цифр (0–9) и букв.

На странице "Расширенные правила пароля" можно выполнить следующие действия:
1. Изменить настройки синтаксиса пароля, используя политику сложности Microsoft (в системах, предшествующих Microsoft Windows Server 2008), политику паролей Microsoft Server 2008 или синтаксис Novell.
2. Указать требуемые настройки для параметров "Изменить пароль", "Срок действия пароля", "Длина и состав пароля" и "Исключения пароля" в мастере и щелкнуть Далее.
Сервис самообслуживания Забытый пароль для пользователей, забывших пароль, позволяет сократить расходы на службу поддержки. Эти функции самообслуживания доступны для пользователей на портале Identity Console. На странице "Забытый пароль" можно выполнить следующие действия:

ПРИМЕЧАНИЕ.При включении сервиса "Забытый пароль" необходимо также указать, должен ли пользователь отвечать на набор удостоверяющих вопросов при входе.
1. Наборы удостоверяющих вопросов. Если включено использование набора удостоверяющих вопросов, пользователи смогут воспользоваться сервисом самообслуживания "Забытый пароль" только после ответа на все вопросы. Чтобы требовать у пользователей указывать такую информацию при входе на портал Identity Console, выберите параметр Требовать набор удостоверяющих вопросов.
2. Действие. Параметры, доступные на этой вкладке, позволяют вашим пользователям сбрасывать пароли, ответив на вопросы набора удостоверяющих вопросов и указав универсальный пароль, включить отправку текущего пароля или подсказки о пароле по электронной почте, а также вывести подсказку о пароле.
3. Аутентификация. Чтобы требовать от пользователей указать набор удостоверяющих вопросов или подсказку о пароле, установите флажок Требовать от пользователя задать удостоверяющий вопрос и (или) подсказку при аутентификации.
  
  По окончании щелкните Далее.
Политика не вступает в силу, пока она не будет назначена одному или нескольким объектам. Для упрощения администрирования мы рекомендуем назначать политики объектам, расположенным как можно выше в дереве. Политику паролей можно назначить следующим объектам:
1. Объект "Политика входа". Рекомендуем создать политику паролей по умолчанию для всех пользователей в дереве и назначить объект "Политика входа", который расположен в контейнере безопасности.
2. Контейнер, который является корнем раздела. Если назначить политику контейнеру, который является корнем раздела, все пользователи данного раздела, включая пользователей во вложенных контейнерах, наследуют назначенную политику.
3. Контейнер, который не является корнем раздела. Если назначить политику контейнеру, который не является корнем раздела, назначенная политика наследуется только пользователями из данного контейнера. Пользователи во вложенных контейнерах не наследуют политику.
  
  Чтобы применить политику ко всем пользователям ниже уровня контейнера, который не является корнем раздела, назначьте политику каждому вложенному контейнеру отдельно.
4. Пользователь. Можно назначить политику одному или нескольким пользователям.
  
  Чтобы назначить политику, щелкните значок . После этого найдите и выберите соответствующий объект для назначения политики паролей.
  
  Чтобы удалить ассоциацию политики, выберите политику в списке и щелкните значок .
Проверьте данные на странице Сводка и щелкните Создать.
Появится сообщение, подтверждающее создание политики паролей.

Рисунок 18-10 Создание политики паролей с пользовательскими настройками

18.2.3 Изменение политики паролей

Порядок изменения существующей политики паролей

На целевой странице Identity Console щелкните Управление аутентификацией > Политики паролей.
Выберите соответствующую политику паролей в списке и щелкните значок .
Внесите необходимые изменения на странице Изменить политику паролей и щелкните Сохранить.

Рисунок 18-11 Изменение политики паролей

18.2.4 Удаление политики паролей

Порядок удаления политик паролей

На целевой странице Identity Console щелкните Управление аутентификацией > Политики паролей.
Выберите соответствующие политики паролей в списке и щелкните значок .
На следующем экране предупреждения щелкните ОК.
Появится сообщение, подтверждающее удаление политик паролей.

Рисунок 18-12 Удаление политики паролей