Procédure de définition des règles d'expiration de compte
Utilisez les paramètres de stratégie de mot de passe pour contrôler l'expiration des comptes d’utilisateurs actifs.
cad140fr
Utilisez les paramètres de stratégie de mot de passe pour contrôler l'expiration des comptes d’utilisateurs actifs.
Un compte expire lorsque le mot de passe n’a pas été modifié pour la période configurée.
Définition du nombre de connexions de grâce
Dans un système de connexion de grâce, les mots de passe expirent, mais les utilisateurs peuvent utiliser un mot de passe expiré un nombre limité de fois. Cela leur donne la possibilité de modifier le mot de passe.
Si le nombre de connexions de grâce est dépassé, le compte se comporte comme s'il avait expiré.
Le nombre de connexions de grâce restantes est envoyé au client de la liaison avec le contrôle de demande de stratégie de mot de passe.
Pour définir le nombre de connexions de grâce, utilisez la commande suivante :
set password-grace-logins = number-logins | 0 ;
Si vous utilisez cette commande avec un client LDAP qui tient compte du contrôle de demande de stratégie de mot de passe Behera, il est informé du nombre de connexions restantes. Dans le cas contraire, la commande fonctionne, mais le client n’est pas informé du nombre de connexions restantes.
Définition de comptes pour qu'ils n’expirent jamais
Les comptes peuvent être définis de sorte qu'ils n’expirent jamais. Cela est utile pour les comptes partagés par plusieurs utilisateurs et pour les comptes administratifs ou critiques.
Procédez comme suit :
- Définissez l’optionpassword-allow-ignore-expiredsur true à l’aide de la commande suivante :set password-allow-ignore-expired = true;
- Ajoutez l’attributdxPwdIgnoreExpiredà l’entrée de l'utilisateur.
- Définissez la valeur de cet attribut surtrue.
Remarque :
Pour vérifier les mots de passe utilisateur définis pour ne jamais expirer, recherchez tous les comptes d’utilisateurs avec l’attribut dxPwdIgnoreExpired = true
.Définition de l'expiration des comptes avec un mot de passe périmé
Un compte expire lorsque le nombre de jours écoulés après la dernière mise à jour du mot de passe atteint la valeur définie par la commande
set password-age
.Pour définir le nombre de jours pour lesquels un mot de passe est valide, utilisez la commande suivante :
set password-age = number-days | 0;
Exemple : obliger les utilisateurs à créer un nouveau mot de passe tous les quatre jours
Vous souhaitez que les utilisateurs qui travaillent avec des informations confidentielles renouvellent leurs mots de passe tous les quatre jours.
Pour cela, exécutez les commandes suivantes :
set password-policy = true; set password-age = 4;
Définition de la durée de vie minimale des mots de passe
Vous pouvez définir le nombre de jours entre la dernière modification d'un mot de passe et le moment où il peut être modifié à nouveau. Utilisez cette durée minimale pour empêcher les employés de modifier leur mot de passe plusieurs fois pour remplir l’historique des mots de passe.
Pour définir la durée de vie minimale des mots de passe, utilisez la commande suivante :
set password-min-age = number-days | 0 ;
Exemple : définition des règles de l’historique des mots de passe
Vous souhaitez que les utilisateurs modifient leurs mots de passe au moins toutes les deux semaines et les empêcher de réutiliser les 20 derniers mots de passe.
Toutefois, vous souhaitez également les empêcher de modifier leur mot de passe plusieurs fois par jour pour éviter de remplir leur historique des mots de passe.
Pour cela, exécutez les commandes suivantes :
set password-policy = true; set password-age = 14; set password-history = 20 set password-min-age = 1;
Notifier les clients des mots de passe expirés ou sur le point d'expirer
CA Directory utilise deux commandes de mot de passe pour imiter la façon dont les annuaires Netscape fonctionnent avec les contrôles de réponse de mot de passe LDAP.
Pour inclure des contrôles de réponse LDAP relatifs à l’expiration des mots de passe afin de lier et comparer les réponses, utilisez la commande suivante :
set password-mimic-netscape-response-controls = true | false;
Pour définir le nombre de jours durant lesquels des avertissements sur l'expiration du mot de passe sont ajoutés afin de lier et comparer les réponses, utilisez la commande suivante :
set password-age-warning-period = number-days | 0;
Remarque
: Vous pouvez utiliser cette commande uniquement s'il s'agit d'un client LDAP et qu’il connaît le contrôle de demande de stratégie de mot de passe Behera.Lors du fonctionnement normal, ces commandes ajoutent un contrôle LDAP contenant le nombre de secondes avant l’expiration d’un compte aux réponses de liaison et de comparaison d’un DSA.
Lors de la période d’avertissement, le contrôle de notification d’expiration du mot de passe est ajouté afin de lier et comparer les réponses.