Cómo establecer las reglas de caducidad de las cuentas
Utilice la configuración de la política de contraseñas para controlar cuándo pasan las cuentas de usuario de activas a caducadas.
cad140es
Utilice la configuración de la política de contraseñas para controlar cuándo pasan las cuentas de usuario de activas a caducadas.
Una cuenta caduca cuando no se ha modificado la contraseña durante el período configurado.
Establecimiento del número de inicios de sesión de gracia
En un sistema de inicio de sesión de gracia, las contraseñas caducan pero los usuarios pueden utilizar una contraseña caducada durante un número limitado de veces. Esto les da la oportunidad de cambiar la contraseña.
Si se supera el número de inicios de sesión de gracia, la cuenta se comporta como si hubiera caducado.
El número de inicios de sesión de gracia restantes se envía al cliente de enlace con el control de solicitudes de la política de contraseñas.
Para establecer el número de inicios de sesión de gracia, utilice el siguiente comando:
set password-grace-logins = number-logins | 0 ;
Si se utiliza este comando con un cliente LDAP que tiene en cuenta el control de solicitudes de la política de contraseñas de Behera, se informa al cliente del número de inicios de sesión restantes. De lo contrario, el comando funcionará, pero el cliente no recibirá una notificación con el número de inicios de sesión restantes.
Establecimiento de algunas cuentas para que no caduquen nunca
Se pueden establecer las cuentas para que no caduquen nunca. Esto es útil para las cuentas compartidas por muchos usuarios y para las cuentas administrativas o de misión crítica.
Lleve a cabo los pasos siguientes:
- Establezca la opciónpassword-allow-ignore-expireden "true" utilizando el comando siguiente:set password-allow-ignore-expired = true;
- Agregue el atributodxPwdIgnoreExpireda la entrada del usuario.
- Establezca el valor de este atributo entrue.
Nota
Para comprobar qué contraseñas de usuario se han configurado para no caducar nunca, busque todas las cuentas de usuario con el atributo dxPwdIgnoreExpired = true
.Establecimiento de las cuentas con una contraseña anterior a punto de caducar
Una cuenta caduca cuando el número de días después de la última actualización de la contraseña alcanza el valor establecido con el comando
set password-age
.Para establecer el número de días durante los que será válida una contraseña, utilice el siguiente comando:
set password-age = number-days | 0;
Ejemplo: Cómo obligar a los usuarios a crear una nueva contraseña cada cuatro días
Se desea hacer que los usuarios que trabajan con información confidencial cambien sus contraseñas antes de que tengan cuatro días de antigüedad.
Para ello, utilice los comandos siguientes:
set password-policy = true; set password-age = 4;
Establecimiento de la duración mínima de las contraseñas
Se puede establecer el número de días desde que se ha cambiado una contraseña hasta que se puede cambiar de nuevo. Utilice esta opción para evitar que los usuarios cambien sus contraseñas muchas veces para rellenar el historial de contraseñas.
Para establecer la duración mínima de las contraseñas, utilice el siguiente comando:
set password-min-age = number-days | 0 ;
Ejemplo: Establecimiento de las reglas de historial de contraseñas
Se desea que los usuarios cambien sus contraseñas al menos cada dos semanas y se desea evitar que los usuarios vuelvan a utilizar cualquiera de las últimas 20 contraseñas.
Sin embargo, también se desea evitar que cambien su contraseña más de una vez al día para vaciar su historial de contraseñas.
Para ello, utilice los comandos siguientes:
set password-policy = true; set password-age = 14; set password-history = 20 set password-min-age = 1;
Envío de una notificación a los clientes de contraseñas caducas y a punto de caducar
CA Directory utiliza dos comandos de contraseña para imitar la forma en la que los directorios de Netscape trabajan con controles de respuesta de contraseñas LDAP.
Para incluir controles de respuesta LDAP sobre la caducidad de contraseñas para enlazar y comparar las respuestas, utilice el siguiente comando:
set password-mimic-netscape-response-controls = true | false;
Para establecer el número de días en los que se deben agregar advertencias sobre la contraseña que está a punto de caducar para las respuestas de enlace y comparación, utilice el siguiente comando:
set password-age-warning-period = number-days | 0;
Nota:
Se puede utilizar este comando únicamente si el cliente es un cliente LDAP y tiene conocimientos sobre el control de solicitudes de la política de contraseñas de Behera.Durante el funcionamiento normal estos comandos producir respuestas de enlace y comparación de un agente de sistema de directorio para añadir un control de LDAP que contenga el número de segundos antes de que caduque una cuenta.
Durante el período de advertencia, se añade el control de notificación de la caducidad de la contraseña a las respuestas de enlace y comparación.