Procédure de configuration des règles de qualité de mots de passe
Vous pouvez configurer des règles pour garantir que les utilisateurs choisissent des mots de passe forts uniquement.
cad140fr
Vous pouvez configurer des règles pour garantir que les utilisateurs choisissent des mots de passe forts uniquement.
Si vous avez défini des règles relatives à la qualité des mots de passe, elles sont appliquées lorsque les utilisateurs tentent de modifier leur mot de passe. Si le nouveau mot de passe ne réussit pas les tests, les utilisateurs doivent réessayer avec un autre mot de passe.
Remarque :
Lorsque vous appliquez des règles de stratégie de mot de passe, le DSA traite les caractères UTF-8 (multioctets) comme un seul caractère.Lorsqu’un administrateur modifie un mot de passe pour un utilisateur, les règles de stratégie de mot de passe ne sont généralement pas appliquées. Elles sont appliquées la fois suivante, lorsque l’utilisateur change son mot de passe. Toutefois, vous pouvez forcer l'application des règles de qualité de mots de passe en permanence, même lorsqu’un administrateur réinitialise le mot de passe d’un utilisateur. Pour plus d’informations, reportez-vous à la section Modification forcée du mot de passe après la réactivation.
Cette section comprend les rubriques suivantes :
Définition de la longueur du mot de passe
Pour définir la longueur des nouveaux mots de passe, utilisez l'une de ces commandes, ou les deux :
set password-max-length = number-chars | 0; set password-min-length = number-chars;
Définition du nombre minimum de types de caractères
CA Directory inclut des commandes qui vous permettent de spécifier le nombre minimum de différents types de caractères que chaque nouveau mot de passe doit contenir.
Pour définir le nombre minimum de types particuliers de caractères, utilisez les commandes suivantes :
set password-alpha = number-chars | 0 ; set password-alpha-num = number-chars | 0 ; set password-lowercase = number-chars | 0 ; set password-non-alpha = number-chars | 0; set password-non-alpha-num = number-chars | 0; set password-numeric = number-chars | 0; set password-uppercase = number-chars | 0 ;
Exemple : spécification de caractères dans les mots de passe
Dans cet exemple, vous souhaitez forcer les utilisateurs à créer des mots de passe qui incluent les caractères suivants :
- Au moins deux chiffres
- Au moins un caractère non alphanumérique
- Au moins un caractère en majuscule
- Au moins un caractère en minuscule
Pour créer cette stratégie, utilisez les commandes suivantes :
set password-policy = true; set password-numeric = 2; set password-non-alpha-num = 1; set password-lowercase = 1; set password-uppercase = 1;
Les utilisateurs ne peuvent pas créer les mots de passe suivants :
- abcd12#Ce mot de passe ne contient aucun caractère en majuscule.
- ABCD!@#$Ce mot de passe ne contient aucun caractère en minuscule et aucun caractère numérique.
Ils peuvent créer les mots de passe suivants :
- Abcd12#
- ABCd1234!@#$
Limitation de la répétition des caractères
Pour limiter les répétitions dans le mot de passe, utilisez la commande suivante :
set password-max-repetition = number-chars | 0 ;
Cela vous permet de définir le nombre de fois qu'un caractère peut être répété dans un mot de passe.
Exemple : empêcher les répétitions de caractère
Vous avez configuré la stratégie de mot de passe suivante dans le DSA Democorp :
set password-policy = true; set password-max-repetition = 2;
Les utilisateurs dans cet annuaire ne peuvent pas créer les mots de passe suivants :
- helllo
- lillly
Toutefois, ils peuvent créer les mots de passe suivants :
- hello
- llily
Limitation de la répétition des sous-chaînes
Vous souhaitez empêcher les utilisateurs de choisir des mots de passe composés de répétitions de mêmes chaînes, comme
asdasdasd
.Procédez comme suit :
- Définissez la longueur minimale de la sous-chaîne que vous souhaitez vérifier à l’aide de la commande suivante :
set password-min-length-repeated-substring = length;
La valeur de length est supérieure ou égale à 2;
Remarque :
Ce paramètre au-dessus des paramètres fonctionne uniquement lorsque l'option password-max-substring-repetition
est activée.- Définissez le nombre de fois qu'une sous-chaîne peut être répétée, à l’aide de la commande suivante :
set password-max-substring-repetition = number-repetitions;
Exemple : limitation de la répétition de la sous-chaîne
Vous avez configuré la stratégie de mot de passe suivante :
set password-policy = true; set password-max-substring-repetition = 1; set password-min-length-repeated-substring = 3;
Les utilisateurs dans cet annuaire
ne peuvent pas
créer les mots de passe suivants :- moomoo
- mooomooo
Toutefois, ils
peuvent
créer les mots de passe suivants :- momo
- mooomouu
Interdire aux utilisateurs de réutiliser les mots de passe
Pour empêcher les utilisateurs de réutiliser des mots de passe, définissez le nombre maximum de mots de passe à conserver dans l’historique, à l’aide de la commande suivante :
set password-history = number-passwords | 0;
Empêcher le mot de passe de contenir le nom d’utilisateur
Pour empêcher les utilisateurs d'inclure leurs noms dans le mot de passe, utilisez la commande suivante :
set password-username-substring = true | false;
Le mot de passe ne peut pas être une sous-chaîne du nom d’utilisateur et ce dernier ne peut pas être une sous-chaîne du mot de passe.
Le nom d’utilisateur est considéré comme étant le dernier nom unique relatif dans leur nom unique.
Exemple : empêcher les mots de passe de contenir les noms d’utilisateur
Vous avez configuré la stratégie de mot de passe suivante dans le DSA Democorp :
set password-policy = true; set password-username-substring = true;
Le nom de l’utilisateur avec le nom unique <c AU><o DEMOCORP><ou Corporate><ou Administration><cn "Craig LINK"> est
Craig LINK
.Cet utilisateur ne peut pas créer les mots de passe suivants :
- craig
- link
- clink
- 23craig4
Empêcher le mot de passe de contenir les détails de l’utilisateur
Pour empêcher les utilisateurs d'inclure leurs détails dans le mot de passe, utilisez la commande suivante :
set password-substring-attrs = attribute-list;
Cette commande répertorie les attributs qui contiennent des informations sur l’utilisateur que vous souhaitez interdire dans les nouveaux mots de passe. Le mot de passe ne peut pas être une sous-chaîne de la sous-chaîne attrs, et la sous-chaîne attrs ne peut pas être une sous-chaîne du mot de passe.
Les détails de l’utilisateur proviennent des valeurs des attributs de leur propre entrée.
Nous vous recommandons d’inclure uniquement les attributs ayant des syntaxes de chaîne. Les valeurs des autres syntaxes peuvent ne pas être analysées correctement lors de la vérification de la sous-chaîne de mot de passe.
Exemple : empêcher les mots de passe de contenir les détails de l’utilisateur
Vous avez configuré la stratégie de mot de passe suivante dans le DSA Democorp :
set password-policy = true; set password-substring-attr = title;
L’entrée de Craig Link inclut les attributs et les valeurs suivants :
Attribut
| Valeur
|
cn | Craig LINK |
description | Railways |
titre | Communications Engineer |
Craig Link ne peut pas créer les mots de passe suivants, car il s'agit de sous-chaînes de la valeur d’attribut
title
:- engineer
- Communications Eng
Il peut créer les mots de passe suivants :
- railwaysCela est acceptable, car l’attributdescriptionn’est pas répertorié dans la commandeset password-substring-attr.
- CommunicationsEngineerL’espace est manquant, il ne s'agit donc pas d'une sous-chaîne deCommunications Engineer.