19.5. 将其他密码策略选项应用到 IdM 组
按照以下流程,在身份管理(IdM)中应用额外的密码策略选项。这个示例描述了如何通过确保新密码不包含用户相应的用户名以及密码不包含两个以上相同的字符来增强 managers 组的密码策略。
先决条件
- 您以 IdM 管理员身份登录。
- managers 组存在于 IdM 中。
- IdM 中存在 managers 密码策略。
流程
将用户名检查应用到 managers 组中用户建议的所有新密码:
$ ipa pwpolicy-mod --usercheck=True managers注意如果没有指定密码策略的名称,则会修改默认的
global_policy。在 manager 密码策略中,将相同连续字符的最大数量设置为 2:
$ ipa pwpolicy-mod --maxrepeat=2 managers现在不接受包含两个以上连续相同的字符的密码。例如,eR873mUi111YJQ 组合是不可接受的,因为它包含三个连续的 1。
验证
添加名为 test_user 的测试用户:
$ ipa user-add test_user First name: test Last name: user ---------------------------- Added user "test_user" ----------------------------将 test 用户添加到 managers 组:
- 在 IdM Web UI 中,点 Identity → Groups → User Groups。
- 点 managers。
-
单击
Add。 - 在 Add users to user group 'managers' 页面中,检查 test_user。
-
点击
>箭头将用户移到 Prospective列中。 -
单击
Add。
重置测试用户的密码:
- 进入 Identity → Users。
- 单击 test_user。
-
在
Actions菜单中,单击Reset Password。 - 输入用户的临时密码。
在命令行中,尝试为 test_user 获取 Kerberos 票据授予票据 (TGT):
$ kinit test_user- 输入临时密码。
系统会通知您必须更改密码。输入包含用户名 test_user 的密码:
Password expired. You must change it now. Enter new password: Enter it again: Password change rejected: Password not changed. Unspecified password quality failure while trying to change password. Please try again.
注意Kerberos 没有精细的错误密码策略报告,在某些情况下,没有提供拒绝密码的明确原因。
系统通知您输入的密码被拒绝。输入包含连续三个或多个相同字符的密码:
Password change rejected: Password not changed. Unspecified password quality failure while trying to change password. Please try again. Enter new password: Enter it again:
系统通知您输入的密码被拒绝。输入满足 managers 密码策略条件的密码:
Password change rejected: Password not changed. Unspecified password quality failure while trying to change password. Please try again. Enter new password: Enter it again:
查看获取的 TGT:
$ klist Ticket cache: KCM:0:33945 Default principal: test_user@IDM.EXAMPLE.COM Valid starting Expires Service principal 07/07/2021 12:44:44 07/08/2021 12:44:44 krbtgt@IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
managers 密码策略现在可以为 managers 组中的用户正常工作。
其它资源
