Ficha Expiration (Caducidad)
Contenido
casso127figsbres
HID_password-policies-expiration-tab
Contenido
En la ficha Caducidad se configuran eventos que deshabilitan cuentas de usuarios. Configure criterios para el caducidad de contraseñas, como el número máximo de intentos de inicio de sesión erróneos o la cantidad de tiempo que una cuenta puede estar inactiva antes de deshabilitarse.
La parte superior del cuadro de diálogo contiene los valores de configuración siguientes:
- Seguir los inicios de sesión satisfactoriosHabilita y deshabilita el seguimiento de los inicios de sesión correctos, incluyendo el tiempo del último inicio de sesión. Si se selecciona la casilla de verificación, el Servidor de políticas escribe la información de inicio de sesión en el directorio de usuarios.Si se selecciona esta casilla de verificación, los campos del cuadro de grupo Password Expires from Inactivity (Caducidad de la contraseña por inactividad) se habilitan.Valor predeterminado: Seleccionado
- Seguir primero solo los inicios de sesión correctosHabilita y deshabilita solamente el seguimiento del primer intento de inicio de sesión del usuario correcto.Valor predeterminado: No seleccionado
- Seguir los inicios de sesión erróneosHabilita y deshabilita el seguimiento de los intentos de inicio de sesión del usuario erróneos. Si se selecciona esta casilla de verificación, el Servidor de políticas escribe la información de inicio de sesión en el directorio de usuarios.Si se selecciona esta casilla de verificación, los campos del cuadro de grupo Contraseña incorrecta se habilitan.Valor predeterminado: Seleccionado
- Seguir primero solo los inicios de sesión erróneosHabilita y deshabilita solamente el seguimiento del primer intento de inicio de sesión del usuario erróneo.Valor predeterminado: No seleccionado
- Autenticar al producirse un error de seguimiento del inicio de sesiónHabilita y deshabilita los inicios de sesión cuando el seguimiento del usuario produce un error. Si la actividad del usuario no se puede escribir en el directorio de usuarios, los usuarios no podrán iniciar sesión. Sin embargo, si se selecciona esta casilla de verificación, los usuarios podrán iniciar sesión incluso si los datos de la contraseña no se pueden escribir en el directorio de usuarios.Esta casilla de verificación se borra si la casilla de verificación Detalles del seguimiento de los inicios de sesión no se selecciona.Valor predeterminado: No seleccionado
Caducidad de la contraseña porque no se cambia
En el cuadro de grupo Caducidad de la contraseña si no se cambia es donde se configura el comportamiento de las contraseñas que han caducado y que el propietario no ha cambiado. Opcionalmente se puede especificar cuánto tiempo antes se debe avisar a los usuarios de que su contraseña va a caducar.
Este cuadro de grupo contiene los valores de configuración siguientes:
- Después de díasDetermina el número de días después de que caduque una contraseña queCA Single Sign-onespera antes de desactivar el usuario o exigir un cambio de la contraseña.Límite:40000Nota:CA Single Sign-onno deshabilita una cuenta si se alcanza el número especificado de días. Un usuario debe intentar iniciar sesión en la cuenta antes de queCA Single Sign-onla deshabilite.
- Disable user (Deshabilitar usuario)Especifica queCA Single Sign-ondebe deshabilitar la cuenta cuando la contraseña de un usuario caduca. Se deberán habilitar los usuarios deshabilitados mediante el cuadro de diálogo Gestión de usuarios.
- Forzar cambio de contraseñaEspecifica queCA Single Sign-ondebe imponer un cambio de la contraseña cuando la contraseña de un usuario caduca. Se le pide al usuario que cambie la contraseña la próxima vez que intente conectarse.
- Emitir advertencias de caducidad para díasEspecifica el número de días anteriores a la caducidad de la contraseña para notificar al usuario que su contraseña va a caducar.Nota:Si se tiene habilitada una política de contraseñas y los usuarios introducen la contraseña incorrecta en la pantalla opcional "Cambiar contraseña", se redirigen de nuevo a la página de inicio de sesión y no se les muestra ningún mensaje de error porque su sesión actual es válida.
Cuadro de grupo Contraseña incorrecta
En el cuadro de grupo Contraseña incorrecta se especifica cuántos inicios de sesión erróneos se permiten antes de que una cuenta de usuario se deshabilite. Se puede especificar también cuánto tiempo debe durar la deshabilitación de la cuenta antes de que un usuario pueda intentar iniciar sesión de nuevo. Este cuadro de grupo está solamente disponible si la casilla de verificación Detalles del seguimiento de los inicios de sesión está habilitada.
- Cuenta deshabilitada después de contraseña incorrecta sucesivaEspecifica el número de registros erróneos consecutivos que puede realizar un usuario antes de deshabilitar su cuenta. La limitación del número de intentos fallidos protege contra programas que están diseñados para acceder a un recurso mediante el intento repetido de contraseñas hasta que se encuentra la correcta. Si un usuario no puede iniciar sesión correctamente después del número especificado de intentos, el Servidor de políticas deshabilita la cuenta. Un administrador deberá volver a habilitar la cuenta.Si se utiliza un esquema de autenticación de formularios HTML con la plantilla login.fcc predeterminada que se proporciona con el Agente web, se debe establecer en 0 la directivasmretriesen el archivo login.fcc para que la política de contraseñas determine el número de reintentos permitidos en función del valor introducido en este campo.Además, se puede utilizar la cookie SMTRYNO durante la autenticación. Esta cookie puede realizar un seguimiento y mostrar un mensaje que indica el número actual de intentos de inicio de sesión erróneos. Si se establece la cookie SMTRYNO, establezca la directivasmretriescomo un valormayorque el número de intentos permitidos antes de la deshabilitación de la cuenta de usuario. Por ejemplo, si el número de intentos de inicio de sesión en la política de contraseñas es 3, especifique@smretries=6. El número más alto de la directiva garantiza que un usuario se desactive en lugar de redirigirse a la página .unauth. Sin embargo, se puede establecer el contador SMTRYNO.Establezca el valor de la cuenta desactivada cuidadosamente. El Servidor de políticas busca usuarios comprobando todos los directorios de usuarios vinculados a una política. Si tres usuarios con el mismo nombre de usuario existen en directorios separados, el Servidor de políticas comprueba la contraseña con cada nombre de usuario hasta que encuentra una coincidencia. Para cada nombre de usuario con el que la contraseña no coincide, el Servidor de políticas registra un intento erróneo. Si el número de errores se establece demasiado bajo, el Servidor de políticas puede deshabilitar de forma errónea una cuenta.
- Después de minutosEspecifica el tiempo (en minutos) que debe esperar un usuario antes de que se le permita realizar otro intento de inicio de sesión o pueda volver a habilitar su cuenta. Si el usuario introduce otra contraseña incorrecta, el Servidor de políticas deshabilita la cuenta de nuevo. El usuario debe esperar el tiempo especificado antes de intentarlo de nuevo.
- Permitir un intento de inicio de sesiónSi se selecciona, especifica que cuando un usuario introduce una contraseña incorrecta, se permite otro intento de inicio de sesión después del número especificado de minutos.
- Volver a habilitar una cuentaSi se selecciona, especifica que cuando un usuario introduce una contraseña incorrecta, su cuenta se vuelve a habilitar después del número especificado de minutos.
- Si se establece la opción Seguir los inicios de sesión erróneos, establezca las opciones del cuadro de grupo Contraseña incorrecta:
- Especifique que el número de contraseñas incorrectas que un usuario puede probar antes de que la cuenta del usuario se deshabilite en el campo Cuenta desactivada después de que se realicencontraseñas incorrectas sucesivas.
- En el campo Después deminutos, especifique el número de minutos que se aplicarán a la condición indicada por los botones de opción descritos. Seleccione uno de los botones de opción siguientes para determinar el comportamiento de la política de contraseñas si un usuario no puede iniciar sesión después del número de intentos especificados en el paso 5a:
- permitir 1 intento de inicio de sesión: un usuario puede intentar realizar un único inicio de sesión después del número especificado de minutos (paso 5b). Para cada intento erróneo, el usuario debe esperar el número de minutos especificado antes de hacer otro intento de inicio de sesión. Por ejemplo, supongamos que tenemos un valor de 3 intentos en el paso 5a y un valor de 10 minutos en el paso 5b. Si un usuario no puede iniciar sesión tres veces, el usuario puede intentar realizar un solo inicio de sesión cada diez minutos hasta que consiga hacerlo correctamente.
- volver a habilitar la cuenta: la cuenta de un usuario se volverá a habilitar después del número de minutos especificado (paso 5b). El usuario puede intentar tantos inicios de sesión como se especifique en el paso 5a antes de que la cuenta del usuario se deshabilite. Por ejemplo, supongamos que tenemos un valor de 3 intentos en el paso 5a y un valor de 10 minutos en el paso 5b. Si un usuario no puede iniciar sesión tres veces, el usuario puede intentar realizar tres inicios de sesión cada diez minutos hasta que consiga hacerlo correctamente.
Cuadro de grupo Caducidad de la contraseña por inactividad
En el cuadro de grupo Caducidad de la contraseña por inactividad se especifica un período de tiempo entre intentos de inicio de sesión del usuario después del cual una cuenta de usuario se considera inactiva. También puede utilizar este cuadro de grupo para especificar una acción si un usuario cuya cuenta se considera inactiva inicia sesión satisfactoriamente.
Nota:
Este cuadro de grupo está solamente disponible si la casilla de verificación Detalles del seguimiento de los inicios de sesión está habilitada.- Después de díasEspecifica el número de días de inactividad después del cual caduca la contraseña de un usuario.Límite:20000
- Disable user (Deshabilitar usuario)Si selecciona, especifica que cuando la contraseña de un usuario caduca debido a la inactividad, el Servidor de políticas deshabilita el usuario. Se deberán habilitar los usuarios deshabilitados mediante el cuadro de diálogo Gestión de usuarios.
- Forzar cambio de contraseñaSi se selecciona, especifica que cuando la contraseña de un usuario caduca debido a la inactividad, el Servidor de políticas forzará un cambio de contraseña la próxima vez que el usuario intente iniciar sesión.