Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
28.2. IdM에서 암호 정책이 작동하는 방식
모든 사용자는 IdM(Identity Management) Kerberos 도메인에 인증하는 데 사용하는 암호가 있어야 합니다. IdM의 암호 정책은 이러한 사용자 암호가 충족해야 하는 요구 사항을 정의합니다.
참고
IdM 암호 정책은 기본 LDAP 디렉터리에 설정되지만 KDC(Kerberos 키 배포 센터)에도 적용됩니다.
28.2.1. 지원되는 암호 정책 속성
표 28.1. “암호 정책 속성” IdM의 암호 정책에서 정의할 수 있는 속성을 나열합니다.
표 28.1. 암호 정책 속성
| 속성 | 설명 | 예제 |
|---|---|---|
| 최대 수명 | 사용자가 암호를 재설정해야 하기 전에 암호가 유효한 최대 시간(일 수)입니다. |
최대 수명 = 90
사용자 암호는 90일 동안만 유효합니다. 그런 다음 IdM에서 사용자에게 변경하라는 메시지를 표시합니다.
|
| 최소 수명 | 두 암호 변경 작업 사이에 경과해야 하는 최소 시간(시간)입니다. |
최소 수명 = 1
사용자가 암호를 변경한 후 다시 변경하기 전에 1시간 이상 기다려야 합니다.
|
| 기록 크기 |
이전에 저장된 암호 수는 몇 개입니까. 사용자는 암호 내역에서 암호를 재사용할 수 없습니다.
|
기록 크기 = 0
사용자는 이전 암호를 다시 사용할 수 있습니다.
|
| 문자 클래스 | 사용자가 암호에 사용해야 하는 여러 문자 클래스의 수입니다. 문자 클래스는 다음과 같습니다.
행에 세 번 이상 문자를 사용하면 문자 클래스가 1씩 줄어듭니다. 예를 들어 다음과 같습니다.
|
문자 클래스 = 0
기본적으로 필요한 클래스 수는 0입니다. 번호를 구성하려면
--minclasses 옵션을 사용하여 ipa pwpolicy-mod 명령을 실행합니다. 이 명령은 필요한 문자 클래스 수를 1로 설정합니다.
$ ipa pwpolicy-mod --minclasses=1이 표 아래의 중요 참고 사항도 참조하십시오. |
| 최소 길이 | 암호의 최소 문자 수입니다. |
최소 길이 = 8
사용자는 8자보다 짧은 암호를 사용할 수 없습니다.
|
| 최대 실패 수 | IdM이 사용자 계정을 잠그기 전에 로그인 시도 횟수입니다. 22.1.3절. “암호 실패 후 사용자 계정 잠금 해제” 참조하십시오. |
최대 실패 = 6
IdM은 사용자가 잘못된 암호를 7번 행에 입력한 사용자 계정을 잠급니다.
|
| 실패 재설정 간격 | IdM에서 로그인 시도 실패 횟수를 현재 재설정한 후 시간(초)입니다. |
실패 재설정 간격 = 60
사용자가
Max 에 정의된 로그인 시도 횟수가 1분 이상 기다린 후 사용자 계정 잠금 위험 없이 다시 로그인할 수 있습니다.
|
| 잠금 기간 | Max에 정의된 로그인 시도 횟수 후 사용자 계정이 잠는 시간(초)입니다. 22.1.3절. “암호 실패 후 사용자 계정 잠금 해제” 참조하십시오. |
잠금 기간 = 600
계정이 잠긴 사용자는 10분 동안 로그인할 수 없습니다.
|
중요
국제 문자와 기호에 액세스할 수 없는 다양한 하드웨어 집합이 있는 경우 문자 클래스에 대한 영문자와 공통 기호를 사용합니다. 암호의 문자 클래스 정책에 대한 자세한 내용은 Red Hat Knowledgebase의 암호에 유효한 문자는 무엇입니까?를 참조하십시오.
28.2.2. 글로벌 및 그룹별 암호 정책
기본 암호 정책은 글로벌 암호 정책입니다. 글로벌 정책 외에도 추가 그룹 암호 정책을 만들 수 있습니다.
- 글로벌 암호 정책
- 초기 IdM 서버를 설치하면 기본 설정으로 글로벌 암호 정책이 자동으로 생성됩니다.글로벌 정책 규칙은 그룹 암호 정책이 없는 모든 사용자에게 적용됩니다.
- 그룹 암호 정책
- 그룹 암호 정책은 해당 사용자 그룹의 모든 구성원에게 적용됩니다.
사용자가 한 번에 하나의 암호 정책만 적용할 수 있습니다. 사용자에게 여러 암호 정책이 할당된 경우 해당 정책 중 하나가 우선 순위에 따라 우선합니다. 28.2.3절. “암호 정책 우선순위” 참조하십시오.
28.2.3. 암호 정책 우선순위
모든 그룹 암호 정책에는 우선 순위 가 설정되어 있습니다. 값이 낮을수록 정책의 우선 순위가 높습니다. 지원되는 가장 낮은 우선 순위 값은
0 입니다.
- 사용자에게 여러 암호 정책이 적용되는 경우 우선 순위가 가장 낮은 정책이 우선합니다. 다른 정책에 정의된 모든 규칙은 무시됩니다.
- 우선 순위 값이 가장 낮은 암호 정책은 정책에 정의되지 않은 속성도 모든 암호 정책 속성에 적용됩니다.
글로벌 암호 정책에는 우선 순위 값이 설정되지 않습니다. 사용자에게 그룹 정책이 설정되지 않은 경우 대체 정책 역할을 합니다. 글로벌 정책은 그룹 정책보다 우선할 수 없습니다.
표 28.2. “우선 순위에 따라 암호 정책 속성 적용 예” 정책이 정의된 두 그룹에 속하는 사용자의 예에서 암호 정책 우선순위가 작동하는 방식을 보여줍니다.
표 28.2. 우선 순위에 따라 암호 정책 속성 적용 예
| 최대 수명 | 최소 길이 | |
|---|---|---|
| 그룹 A (우선 순위 0)의 정책 | 60 | 10 |
| B 그룹 (우선 순위 1)의 정책 | 90 | 0 (제한 없음) |
| ↓ | ↓ | |
| 사용자(그룹 A 및 그룹 B의 구성원) | 60 | 10 |
참고
ipa pwpolicy-show --user=user_name 명령은 특정 사용자에게 현재 적용되는 정책을 표시합니다.
