Red Hat Training

A Red Hat training course is available for RHEL 8

42.2. IdM 中的密码策略

密码是 Identity Management(IdM)用户对 IdM Kerberos 域进行身份验证的最常用方式。密码策略定义了这些 IdM 用户密码必须满足的要求。

注意

IdM 密码策略在底层 LDAP 目录中设置,但 Kerberos 密钥分发中心(KDC)强制执行密码策略。

密码策略属性列出了您可以在 IdM 中定义密码策略的属性。

表 42.1. 密码策略属性

属性解释示例

最大生命周期

密码在必须重置密码之前有效的最长时间(以天为单位)。

最大生命周期 = 90

用户密码仅有效 90 天。之后,IdM 会提示用户更改它们。

Min 生命周期

两个密码更改操作之间必须经过的最短时间(以小时为单位)。

Min Life = 1

用户更改密码后,他们必须至少等待 1 小时后再重新更改密码。

历史记录大小

存储的之前密码的数量。用户无法重复使用其密码历史记录中的密码,但可以重复利用未存储的旧密码。

历史记录大小 = 0

在这种情况下,密码历史记录为空,用户可以重复使用他们之前的任何密码。

字符类

用户必须在密码中使用的不同字符类别的数量。字符类为:

* 大写字符

* 小写字符

* 数字

* 特殊字符,如逗号(,)、句点(.)、星号(*)

* 其他 UTF-8 字符

当一个字符连续使用三次或更多次时,会将该字符类减一。例如:

* Secret1 有 3 个字符类:大写、小写、数字

* Secret111 具有 2 个字符类:大写、小写、数字和 -1 折扣(重复使用 1

字符类 = 0

需要的默认类数为 0。要配置数字,请使用 --minclasses 选项运行 ipa pwpolicy-mod 命令。

另请参阅下表中的 重要 备注。

Min length

密码中的最少字符数.

如果设置了任何其他密码策略选项,则无论设置 Min length 选项的值是什么,密码的最小长度为 6。

Min length = 8

用户不能使用少于 8 个字符的密码。

最大故障数

IdM 锁定用户帐户前尝试的最大失败登录次数。

最大失败数 = 6

当用户在一行中输入错误的密码时,IdM 会锁定用户帐户。

失败重置间隔

IdM 重置当前失败登录尝试次数后的时间(以秒为单位)。

失败重置间隔 = 60

如果用户在 Max 失败时定义的登录尝试失败的次数超过 1 分钟, 用户可以尝试再次登录,而不会造成用户帐户锁定的风险。

锁定持续时间

最大失败中定义的登录尝试失败次数后,用户帐户锁定的时间(以秒为单位)。

锁定持续时间 = 600

锁定帐户的用户在 10 分钟内无法登录。

重要

如果您有一组不同的硬件不能访问国际字符和符号,则字符类要求应使用英语字母和常用符号。有关密码中字符类策略的更多信息,请参阅红帽知识库中的密码中哪些字符有效?