Procédure de définition des règles de suspension de compte
Vous pouvez définir la suspension d'un compte d’utilisateur si l'utilisateur a effectué un trop nombre de tentatives de connexion infructueuses, ou s'il ne s'est pas connecté récemment.
cad140fr
Vous pouvez définir la suspension d'un compte d’utilisateur si l'utilisateur a effectué un trop nombre de tentatives de connexion infructueuses, ou s'il ne s'est pas connecté récemment.
Vous pouvez configurer ces deux limites.
Suspension de comptes inutilisés
Vous pouvez suspendre les comptes qui n’ont pas été utilisés récemment. Vous pouvez utiliser la commande
set password-last-use
pour définir la durée après laquelle un compte inutilisé est suspendu.Si vous utilisez cette commande, chaque utilisateur doit au moins se connecter aussi souvent que vous le définissez. Si ce n'est pas le cas, le compte est suspendu.
Pour définir le nombre de jours pendant lesquels le mot de passe reste valide s’il n’est pas utilisé, utilisez la commande suivante :
set password-last-use = number-days | 0;
Exemple : suspension de comptes inutilisés après 60 jours
Dans cet exemple, vous souhaitez que les utilisateurs se connectent au moins une fois tous les 60 jours, et qu'ils modifient leur mot de passe au moins tous les 90 jours.
Pour cela, utilisez les commandes suivantes :
set password-policy = true; set password-age = 90; set password-last-use = 60;
Exemple : suspension des comptes inutilisés sans forcer la modification du mot de passe
Dans cet exemple, vous souhaitez autoriser des utilisateurs à continuer à utiliser le même mot de passe tant qu’ils se connectent au moins tous les 10 jours.
Pour que les mots de passe soient valides indéfiniment, sauf s’ils ne sont pas utilisés pendant 10 jours, utilisez les commandes suivantes :
set password-policy = true; set password-last-use = 10;
Il n'est pas nécessaire d'utiliser l’option
set password-age
, car vous utilisez la valeur par défaut 0 (désactivé).Suspension de comptes après des échecs de connexion
Pour suspendre les comptes après un certain nombre de tentatives de connexion, utilisez la commande suivante :
set password-retries = number-retries;
Si vous ne définissez pas cette commande, la valeur par défaut de trois tentatives est utilisée.
Exemple : permettre aux utilisateurs deux tentatives de connexion
Dans cet exemple, vous souhaitez uniquement autoriser deux tentatives de connexion avant de suspendre le compte.
Pour cela, utilisez les commandes suivantes :
set password-policy = true; set password-retries = 2;
Les actions suivantes ont lieu lorsqu’un utilisateur tente de se connecter avec un mot de passe incorrect :
- Craig Link tente de se connecter à l’aide d'un mot de passe incorrect.
- Il tente à nouveau de se connecter avec un autre mot de passe incorrect.Sa connexion échoue et son compte est suspendu.
Définition de la durée après laquelle les utilisateurs peuvent se connecter à nouveau
Si vous utilisez la commande
set password-retries
pour définir le nombre de fois qu'un utilisateur peut tenter de se connecter avant la suspension de son compte, vous pouvez également définir une durée après laquelle l’utilisateur peut à nouveau tenter de se connecter.Cela signifie qu’après la période que vous avez définie, le compte suspendu redevient actif.
Si vous n’utilisez pas cette option, un administrateur doit réinitialiser le mot de passe pour déverrouiller le compte.
Pour permettre aux utilisateurs de tenter de se connecter à nouveau après une certaine période, utilisez la commande suivante :
set password-max-suspension = number-seconds | 0 ;
Exemple : permettre aux utilisateurs 5 tentatives de connexion et un délai de 30 minutes avant de tenter une nouvelle connexion
Dans cet exemple, vous souhaitez uniquement autoriser cinq tentatives de connexion avant de suspendre le compte. Vous souhaitez ensuite permettre à l’utilisateur de réessayer de se connecter après une demi-heure.
Pour cela, utilisez les commandes suivantes :
set password-policy = true; set password-retries = 5; set password-max-suspension = 1800;
Les actions suivantes ont lieu lorsqu’un utilisateur tente de se connecter avec un mot de passe incorrect :
- Craig Link tente de se connecter à l’aide d'un mot de passe incorrect.
- Il tente à nouveau de se connecter quatre fois avec un autre mot de passe incorrect.Sa connexion échoue et son compte est suspendu.
- Après 30 minutes, son compte est de nouveau actif et il peut essayer de se connecter à nouveau.
Configuration de certains comptes pour qu'ils ne soient jamais suspendus
Vous pouvez configurer les comptes de sorte qu'ils ne soient jamais suspendus, quel que soit le nombre de tentatives de connexion incorrectes.
Vous pouvez utiliser cette fonctionnalité pour protéger des comptes critiques qui doivent être immunisés contre les attaques par verrouillage du mot de passe.
Procédez comme suit :
- Pour définir l’optionpassword-allow-ignore-suspendedsurtrue, utilisez la commande suivante :set password-allow-ignore-suspended = true;
- Ajoutez l’attributdxPwdIgnoreSuspendedà l’entrée de l’utilisateur.
- Définissez la valeur de cet attribut surtrue.
Remarque :
Pour vérifier les mots de passe utilisateur définis pour ne jamais expirer, recherchez tous les comptes d’utilisateurs avec l’attribut dxPwdIgnoreSuspended = true
.