6.5. Appliquer des options supplémentaires de politique de mot de passe à un groupe IdM
Cette section décrit comment appliquer des options supplémentaires de politique de mot de passe dans la gestion des identités (IdM). L'exemple décrit comment renforcer la politique de mot de passe pour le groupe managers en s'assurant que les nouveaux mots de passe ne contiennent pas les noms d'utilisateur respectifs des utilisateurs et que les mots de passe ne contiennent pas plus de deux caractères identiques à la suite.
Conditions préalables
- Vous êtes connecté en tant qu'administrateur IdM.
- Le groupe managers existe dans IdM.
- La politique de mot de passe managers existe dans IdM.
Procédure
Appliquer le contrôle du nom d'utilisateur à tous les nouveaux mots de passe proposés par les utilisateurs du groupe managers:
$ ipa pwpolicy-mod --usercheck=True managersNoteSi vous ne spécifiez pas le nom de la politique de mot de passe, la valeur par défaut
global_policyest modifiée.Définissez le nombre maximum de caractères identiques consécutifs à 2 dans la politique de mot de passe managers:
$ ipa pwpolicy-mod --maxrepeat=2 managersUn mot de passe ne sera pas accepté s'il contient plus de 2 caractères identiques consécutifs. Par exemple, la combinaison eR873mUi111YJQ est inacceptable parce qu'elle contient trois 1consécutifs.
Vérification
Ajouter un utilisateur test nommé test_user:
$ ipa user-add test_user First name: test Last name: user ---------------------------- Added user "test_user" ----------------------------Ajoutez l'utilisateur test au groupe managers:
- Dans l'interface Web IdM, cliquez sur Identité → Groupes → Groupes d'utilisateurs.
- Cliquez sur managers.
-
Cliquez sur
Add. - Dans la page Add users into user group 'managers', vérifiez test_user.
-
Cliquez sur la flèche
>pour déplacer l'utilisateur dans la colonneProspective. -
Cliquez sur
Add.
Réinitialiser le mot de passe de l'utilisateur test :
- Aller à Identité → Utilisateurs.
- Cliquez sur test_user.
-
Dans le menu
Actions, cliquez surReset Password. - Entrez un mot de passe temporaire pour l'utilisateur.
Sur la ligne de commande, essayez d'obtenir un ticket Kerberos (TGT) pour l'adresse test_user:
$ kinit test_user- Saisissez le mot de passe temporaire.
Le système vous informe que vous devez modifier votre mot de passe. Saisissez un mot de passe qui contient le nom d'utilisateur test_user:
Password expired. You must change it now. Enter new password: Enter it again: Password change rejected: Password not changed. Unspecified password quality failure while trying to change password. Please try again.
NoteKerberos ne dispose pas d'une politique de signalement des erreurs de mot de passe très fine et, dans certains cas, ne fournit pas de raison claire pour laquelle un mot de passe a été rejeté.
Le système vous informe que le mot de passe introduit a été rejeté. Introduisez un mot de passe contenant au moins trois caractères identiques successifs :
Password change rejected: Password not changed. Unspecified password quality failure while trying to change password. Please try again. Enter new password: Enter it again:
Le système vous informe que le mot de passe introduit a été rejeté. Saisissez un mot de passe qui répond aux critères de la politique de mot de passe managers:
Password change rejected: Password not changed. Unspecified password quality failure while trying to change password. Please try again. Enter new password: Enter it again:
Voir le TGT :
$ klist Ticket cache: KCM:0:33945 Default principal: test_user@IDM.EXAMPLE.COM Valid starting Expires Service principal 07/07/2021 12:44:44 07/08/2021 12:44:44 krbtgt@IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
La politique de mot de passe managers fonctionne désormais correctement pour les utilisateurs du groupe managers.
Ressources supplémentaires
