Cómo configurar las reglas de calidad de las contraseñas

Se pueden configurar reglas para asegurarse de que los usuarios solo elijan contraseñas seguras.
cad126es
Se pueden configurar reglas para asegurarse de que los usuarios solo elijan contraseñas seguras.
Si se han establecido reglas sobre la calidad de las contraseñas, estas reglas se aplican cuando los usuarios intentan cambiar sus propias contraseñas. Si la nueva contraseña no supera las comprobaciones, los usuarios tienen que volver a intentarlo con otra nueva contraseña.
Nota
Al aplicar reglas de políticas de contraseñas, el agente de sistema de directorio trata los caracteres de UTF-8 (varios bytes) como caracteres individuales.
Cuando un administrador cambia una contraseña para un usuario, por lo general no se aplican las reglas de políticas de contraseñas. Las reglas se aplican la próxima vez que el usuario cambie su contraseña. Sin embargo, se puede forzar que se apliquen las reglas de calidad de las contraseñas todo el tiempo, incluso cuando un administrador restablece la contraseña de un usuario. Para obtener más información, consulte Imposición del cambio de contraseña tras la reactivación.
Esta sección trata los temas siguientes:
Establecimiento de la longitud de la contraseña
Para establecer la longitud de las contraseñas nuevas, utilice uno o más de estos comandos:
set password-max-length = number-chars | 0; set password-min-length = number-chars;
Establecimiento del número mínimo de tipos de caracteres
CA Directory incluye comandos que permiten especificar el número mínimo de diversos tipos de caracteres que debe contener cada contraseña nueva.
Para establecer el número mínimo de caracteres o tipos en particular, utilice uno o más de estos comandos:
set password-alpha = number-chars | 0 ; set password-alpha-num = number-chars | 0 ; set password-lowercase = number-chars | 0 ; set password-non-alpha = number-chars | 0; set password-non-alpha-num = number-chars | 0; set password-numeric = number-chars | 0; set password-uppercase = number-chars | 0 ;
Ejemplo: Especificación de caracteres en las contraseñas
En este ejemplo, se desea obligar a los usuarios a crear contraseñas que incluyen los siguientes caracteres:
  • Al menos dos números
  • Al menos un carácter no alfanumérico
  • Al menos un carácter en mayúscula
  • Al menos un carácter en minúscula
Para crear esta política, utilice los comandos siguientes:
set password-policy = true; set password-numeric = 2; set password-non-alpha-num = 1; set password-lowercase = 1; set password-uppercase = 1;
Los usuarios no pueden crear las contraseñas siguientes:
  • abcd12#
    Esta contraseña no contiene caracteres en mayúscula.
  • ABCD!@#$
    Esta contraseña no contiene caracteres en minúscula ni caracteres numéricos.
Se pueden crear las contraseñas siguientes:
  • Abcd12#
  • ABCd1234!@#$
Límite de repetición de caracteres
Para limitar la repetición dentro de la contraseña, utilice el siguiente comando:
set password-max-repetition = number-chars | 0 ;
Esto le permite establecer el número de veces que se puede repetir un carácter dentro de una contraseña.
Ejemplo: Cómo evitar repeticiones de carácter
Se ha configurado la siguiente política de contraseñas en el agente de sistema de directorio Democorp:
set password-policy = true; set password-max-repetition = 2;
Los usuarios de este directorio no pueden crear las contraseñas siguientes:
  • helllo
  • lillly
Sin embargo, se pueden crear las contraseñas siguientes:
  • hello
  • llily
Límite de repetición de subcadenas
Es posible que se desee impedir que los usuarios seleccionen contraseñas que constan de repeticiones de las mismas cadenas como, por ejemplo,
asdasdasd
.
Lleve a cabo los pasos siguientes:
  1. Establezca la longitud mínima de la subcadena que se desea comprobar utilizando el comando siguiente:
set password-min-length-repeated-substring = length;
El valor de la longitud es mayor que o igual a 2;
Nota
Este parámetro solo funciona cuando se activa
password-max-substring-repetition
.
  • Establezca el número de veces que se puede repetir una subcadena utilizando el comando siguiente:
set password-max-substring-repetition = number-repetitions;
Ejemplo: Limitación de repetición de subcadenas
Se ha configurado la política de contraseñas siguiente:
set password-policy = true; set password-max-substring-repetition = 1; set password-min-length-repeated-substring = 3;
Los usuarios de este directorio
no pueden
crear las contraseñas siguientes:
  • moomoo
  • mooomooo
Sin embargo, se 
pueden
crear las contraseñas siguientes:
  • momo
  • mooomouu
Cómo evitar que los usuarios reutilicen las contraseñas
Para evitar que los usuarios vuelvan a utilizar las contraseñas, establezca el número máximo de contraseñas que se deben retener en el historial utilizando el comando siguiente:
set password-history = number-passwords | 0;
Cómo evitar que el nombre de usuario aparezca en la contraseña
Para evitar que los usuarios incluyan sus propios nombres en la contraseña, utilice el siguiente comando:
set password-username-substring = true | false;
La contraseña no puede ser una subcadena del nombre del usuario y el nombre del usuario no puede ser una subcadena de la contraseña.
El nombre del usuario se toma para que sea el último nombre distintivo relativo en su nombre distintivo.
Ejemplo: Cómo evitar nombres de usuario en las contraseñas
Se ha configurado la siguiente política de contraseñas en el agente de sistema de directorio Democorp:
set password-policy = true; set password-username-substring = true;
El usuario con el nombre distintivo <c AU><o DEMOCORP><ou Corporate><ou Administration><cn "Craig LINK"> tiene el nombre 
Craig LINK
.
Este usuario no puede crear las contraseñas siguientes:
  • craig
  • link
  • clink
  • 23craig4
Cómo evitar que los detalles del usuario aparezcan en la contraseña
Para evitar que los usuarios incluyan sus propios detalles en las contraseñas, utilice el siguiente comando:
set password-substring-attrs = attribute-list;
Enumera los atributos que contienen detalles sobre el usuario que no se desean utilizar en las nuevas contraseñas. La contraseña no puede ser una subcadena de los atributos de la subcadena y los atributos de la subcadena no pueden ser una subcadena de la contraseña.
Los detalles del usuario se toman de los valores de los atributos en su propia entrada.
Se recomienda incluir únicamente los atributos que tienen las sintaxis de cadena. Es posible que no se seleccionen valores de otras sintaxis mediante la comprobación de la subcadena de contraseña.
Ejemplo: Cómo evitar detalles del usuario en las contraseñas
Se ha configurado la siguiente política de contraseñas en el agente de sistema de directorio Democorp:
set password-policy = true; set password-substring-attr = title;
La entrada de Craig Link incluye los atributos y valores siguientes:
Atributo
valor
cn
Craig LINK
descripción
Ferrocarriles
cargo
Ingeniero de comunicaciones
Craig Link no puede crear las contraseñas siguientes porque son subcadenas del valor de atributo 
title
:
  • ingeniero
  • Ing. comunicaciones
Se pueden crear las contraseñas siguientes:
  • ferrocarriles
    Esto es aceptable debido a que el atributo
    description
    no aparece en el comando
    set password substring-attr
    .
  • Ingenierocomunicaciones
    Falta el espacio en blanco, por lo que esto no es una subcadena de 
    Ingeniero de comunicaciones
    .