Como definir regras de expiração da conta
Use as configurações de política de senha para controlar quando as contas de usuário passam do estado ativo para expirado.
cad126br
Use as configurações de política de senha para controlar quando as contas de usuário passam do estado ativo para expirado.
Uma conta expira quando a senha não foi modificada durante o período configurado.
Definir o número de logons de cortesia
Em um sistema de logon de cortesia, as senhas expiram, mas os usuários podem usar uma senha expirada um número limitado de vezes. Isso oferece a oportunidade de alterar a senha.
Se o número de logons de cortesia for excedido, a conta se comportará como se ela estivesse expirada.
O número de logons de cortesia restantes é enviado para o cliente de vinculação na presença do controle de solicitação de política de senha.
Para definir o número de logons de cortesia, use o seguinte comando:
set password-grace-logins = number-logins | 0 ;
Se você usar esse comando com um cliente LDAP que está ciente de que o controle de solicitação de política de senha Behera, o cliente será informado sobre o número de logons restantes. Caso contrário, o comando funcionará, mas o cliente não será notificado sobre o número de logons restantes.
Definir algumas contas para nunca expirar
As contas podem ser definidas para nunca expirar. Isso é útil para contas compartilhadas por muitos usuários e contas administrativas ou de missão crítica.
Siga estas etapas:
- Defina a opçãopassword-allow-ignore-expiredcomo verdadeira, usando o seguinte comando:set password-allow-ignore-expired = true;
- Adicione o atributodxPwdIgnoreExpiredà entrada do usuário.
- Defina o valor desse atributo comoverdadeiro.
Observação:
para verificar quais as senhas dos usuários são definidas para nunca expirar, pesquise todas as contas de usuário com o atributo dxPwdIgnoreExpired = true
.Configurar as contas com senha antiga para expirar
Uma conta expira quando o número de dias após a última atualização da senha atinge o valor definido no comando
set password-age
.Para definir o número de dias pelos quais uma senha é válida, use o seguinte comando:
set password-age = number-days | 0;
Exemplo: forçar os usuários a criar uma nova senha a cada quatro dias
Você deseja fazer com que os usuários que trabalham com informações confidenciais mudem suas senhas a cada quatro dias.
Para fazer isso, use os seguintes comandos:
set password-policy = true; set password-age = 4;
Defina o tempo de vida mínimo das senhas
Você pode definir o número de dias desde que a senha foi alterada até que ela possa ser alterada novamente. Use essa opção para impedir que as pessoas alterem suas senhas várias vezes para preencher o histórico de senhas.
Para definir o tempo de vida mínimo das senhas, use o seguinte comando:
set password-min-age = number-days | 0 ;
Exemplo: definir regras de histórico de senha
Você quer que os usuários alterem suas senhas pelo menos a cada duas semanas e deseja impedir que os usuários reutilizem qualquer uma das suas últimas 20 senhas.
No entanto, você também deseja impedir que eles alterem suas senhas mais de uma vez por dia para "limpar" seu histórico de senhas.
Para fazer isso, use os seguintes comandos:
set password-policy = true; set password-age = 14; set password-history = 20 set password-min-age = 1;
Notificar os clientes do vencimento das senhas e das senhas expiradas
O CA Directory usa dois comandos de senha para simular a maneira como os diretórios do Netscape trabalham com os controles de resposta de senha LDAP.
Para incluir controles de resposta do LDAP sobre a expiração da senha para vincular e comparar as respostas, use o seguinte comando:
set password-mimic-netscape-response-controls = true | false;
Para definir o número de dias durante os quais os avisos sobre a expiração da senha serão adicionados às respostas de vinculação e comparação, use o seguinte comando:
set password-age-warning-period = number-days | 0;
Observação
você só poderá usar este comando se o cliente for LDAP e estiver ciente do controle de solicitações da política de senha Behera.Durante a operação normal, esses comandos fazem com que as respostas de vinculação e comparação de um DSA sejam anexadas ao controle LDAP que contém o número de segundos antes da expiração da conta.
Durante o período de aviso, o controle de notificação de expiração de senha é acrescentado para vincular e comparar respostas.