18.2 管理口令策略

口令策略是管理员定义的规则集合,用于指定创建和替换最终用户口令的准则。NMAS 使您能够实施您在 eDirectory 中指派给用户的口令策略。口令策略还可以包括忘记口令自助服务功能,以减少呼叫 Help Desk 解决忘记口令的问题。另一个自助功能是重设置口令自助服务,该功能允许用户在查看管理员在口令策略中指定的规则时更改其口令。用户通过 Identity Manager User Application 或 Identity Console 访问这些功能。

使用口令策略模块可以执行以下任务:

18.2.1 使用默认设置创建口令策略

要创建新口令策略,执行下列操作:

  1. 单击 Identity Console 登录页中的鉴定管理 > 口令策略选项。

  2. 单击 图标创建新的口令策略。

  3. 在下一个屏幕中指定名称、环境、说明和口令更改讯息。

  4. 如果想要通过默认设置创建口令策略,勾选基于默认设置创建新的口令策略框,然后单击下一步查看摘要页面。

  5. 校验摘要页面中的细节,然后单击创建

  6. 此时显示一条确认讯息,指示已成功创建口令策略。

图 18-9 使用默认设置创建口令策略

18.2.2 使用自定义设置创建口令策略

要通过自定义设置创建口令策略,执行下列操作:

  1. 单击 Identity Console 登录页中的鉴定管理 > 口令策略选项。

  2. 单击 图标创建新的口令策略。

  3. 在下一个屏幕中指定名称、环境、说明和口令更改讯息。

  4. 如果想要通过自定义设置创建口令策略,单击下一步

  5. 配置页面中执行下列操作:

    1. 启用通用口令: 启用策略的通用口令,使您可以使用口令策略功能中的选项。但是,在为策略启用通用口令之前,您的环境必须满足通用口令的先决条件。

    2. 启用高级口令规则: 此选项启用在高级口令规则中找到的口令规则。这些规则通过允许您控制某些准则,如口令有效期和口令内容(如字母、数字、大写或小写字母、特殊字符的组合)来帮助您保护环境。可以排除您认为不安全的口令,例如,您的公司名称。

    3. 口令同步: 这些选项决定通用口令在 eDirectory 内如何与其他类型的身份库口令同步。口令同步包含以下选项:

      1. 设置口令时去除 NDS 口令: 如果选择此选项,设置通用口令时将禁用 NDS 口令。用户将无法使用通过 NDS 口令直接登录(而不是与 NMAS 通信)的旧方法或实用程序。如果设置此选项,默认情况下,将禁用下一个选项设置口令时同步 NDS 口令

      2. 设置口令时同步 NDS 口令: 如果选择此选项,则在类似 Identity Console 的应用程序中设置通用口令时,将同时更改 NDS 口令。

      3. 设置口令时同步简单口令: 此选项提供与使用简单口令和用户供应的 NetIQ 和第三方客户端的兼容性。

      4. 设置口令时同步分发口令: 此选项可以确定元目录引擎是否可以在 eDirectory 中检索或设置用户通用口令。

    4. 通用口令检索: 下列选项可用:

      1. 允许用户检索口令: 允许用户代理检索口令。此选项决定“忘记口令自助服务”功能是否可以为用户取回口令,以便可以使用电子邮件将此口令发送给用户。如果不选择此选项,则“忘记口令”选项卡上口令策略中的相应功能将灰显。

      2. 允许管理员检索口令: 如果有需要此选项的特定服务,勾选此框。Identity Manager 不需要管理员检索口令。但是,某些第三方服务可能会利用此选项。

      3. 允许以下人员检索口令: 通过单击 图标选择可以检索口令的相应用户。

    5. 鉴定:

      1. 校验现有口令是否符合口令策略(登录时校验): 如果您正在部署新口令策略或更改现有策略的高级口令规则,并且您要确保现有口令符合新策略或更改过的规则时,则此选项十分有用。

        如果选择此选项,当用户登录时,将检查口令以确保口令符合新建或修改过的口令策略中的高级口令规则。如果一个现有的口令不符合,则要求用户进行更改。

        完成后,单击下一步

  6. 高级口令规则通过允许您控制口令细节,如口令有效期、更改口令的频率和口令包含的内容等,来帮助您确保环境安全。

    特殊字符是那些除了数字(0-9)或字母字符的字符。

    在高级口令规则页面中执行下列操作:

    1. 您可以使用 Microsoft 复杂性策略(Microsoft Windows Server 2008 之前)、Microsoft Server 2008 口令策略或 Novell 语法管理口令语法设置。

    2. 在向导中指定更改口令、口令有效期、口令长度和组成以及口令排除项所需的选项,然后单击下一步

  7. 可以通过为忘记口令的用户启用忘记口令自助服务以降低 Help Desk 成本。用户可以通过 Identity Console 门户使用这些自助服务功能。在忘记口令页面中执行下列操作:

    注:如果启用“忘记口令”,则还必须指定是否需要“询问集”来帮助用户登录。

    1. 询问集: 如果使用询问集,用户在回答询问集问题之前无法使用忘记口令自助服务。为确保用户经提示通过 Identity Console 门户输入此信息,选择需要询问集选项。

    2. 操作: 此选项卡下的可用选项使用户能够使用询问集和通用口令重设置口令,使当前口令或口令提示能够通过电子邮件发送,以及显示口令提示选项。

    3. 鉴定: 勾选强制用户在鉴定时配置询问问题和/或提示框,以确保提示用户指定询问集或口令提示。

      完成后,单击下一步

  8. 只有将策略指派给一个或多个对象后,策略才会生效。为简化管理,我们建议在树中尽可能高的位置指派策略。口令策略可指派给以下对象:

    1. 登录策略对象: 我们建议您为树中的所有用户创建默认口令策略,并指派给位于安全性容器中的登录策略对象。

    2. 是分区根的容器: 如果将策略指派给是分区根的容器,则该分区中的所有用户,包括子容器的用户在内,都将继承策略指派。

    3. 不是分区根的容器: 如果将策略指派给不是分区根的容器,则仅在该特定容器中保存的用户会继承策略指派。子容器中保留的用户不继承策略。

      要将策略应用于不是分区根的容器下的所有用户,将策略分别指派给每个子容器。

    4. 用户: 可以将策略指派给一个或多个用户。

      要指派策略,单击 图标。浏览并选择相应的对象以指派口令策略。

      如果想要去除策略关联,从列表中选择策略并单击 图标。

  9. 校验摘要页面中的细节,然后单击创建

  10. 此时显示一条确认讯息,指示已成功创建口令策略。

图 18-10 使用自定义设置创建口令策略

18.2.3 修改口令策略

要修改现有口令策略,执行下列操作:

  1. 单击 Identity Console 登录页中的鉴定管理 > 口令策略选项。

  2. 从列表中选择相应口令策略并单击 图标。

  3. 修改口令策略页面中进行必要的更改,然后单击保存

图 18-11 修改口令策略

18.2.4 删除口令策略

要删除口令策略,执行下列操作:

  1. 单击 Identity Console 登录页中的鉴定管理 > 口令策略选项。

  2. 从列表中选择相应口令策略并单击 图标。

  3. 在下一个警告屏幕中,单击确定

  4. 此时显示一条确认讯息,指示已删除口令策略。

图 18-12 删除口令策略