Onglet Date d'expiration

Sommaire
casso126figsbrfr
HID_password-policies-expiration-tab
Sommaire
L'onglet Date d'expiration vous permet de configurer des événements qui désactivent des comptes d'utilisateurs. Vous pouvez configurer des critères d'expiration de mot de passe, tels que le nombre maximum d'échecs de connexion ou la durée d'inactivité d'un compte avant sa désactivation.
La partie supérieure de la boîte de dialogue contient les paramètres suivants :
  • Suivi des connexions réussies
    Active et désactive le suivi des connexions réussies, y compris l'heure de la dernière connexion. Si vous cochez cette case, le serveur de stratégies enregistre les informations de connexion dans l'annuaire d'utilisateurs.
    Lorsque vous cochez cette case, les champs de la zone de groupe Le mot de passe expire en cas d'inactivité sont activés.
    Valeur par défaut :
    sélectionnée
  • Suivre la première connexion uniquement
    Active et désactive le suivi des premières tentatives de connexion réussies des utilisateurs uniquement.
    Valeur par défaut :
    non sélectionnée
  • Suivi des échecs de connexion
    Active et désactive le suivi des échecs de connexion d'utilisateur. Si vous cochez cette case, le serveur de stratégies enregistre les informations de connexion dans l'annuaire d'utilisateurs.
    Lorsque vous cochez cette case, les champs de la zone de groupe Mot de passe incorrect sont activés.
    Valeur par défaut :
    sélectionnée
  • Suivre le premier échec de connexion uniquement
    Active et désactive le suivi des échecs de la première tentative de connexion des utilisateurs uniquement.
    Valeur par défaut :
    non sélectionnée
  • Authentifier en cas d'échec du suivi des connexions
    Active et désactive les connexions lorsqu'un échec du suivi des utilisateurs se produit. Si l'activité des utilisateurs ne peut pas être enregistrée dans l'annuaire d'utilisateurs, les utilisateurs ne sont pas autorisés à se connecter. Toutefois, si vous cochez cette case, les utilisateurs peuvent se connecter, même si les données de mot de passe ne peuvent pas être enregistrées dans l'annuaire d'utilisateurs.
    Cette case à cocher est uniquement disponible si la case Track Login Details (Suivre les détails de connexion) est cochée.
    Valeur par défaut :
    non sélectionnée
Expiration du mot de passe due à l'absence de modification
La zone de groupe Modifier le mot de passe pour éviter son expiration vous permet de configurer le comportement de l'application si les mots de passe expirés n'ont pas été modifiés par leur propriétaire. Vous pouvez également programmer l'envoi d'avertissements d'expiration de mot de passe aux utilisateurs.
Cette zone de groupe contient les paramètres suivants :
  • Délai en jours
    Spécifie le délai en jours après l'expiration d'un mot de passe avant la désactivation de l'utilisateur par
    CA Single Sign-on
    ou la modification du mot de passe.
    Limite :
    40 000
    Remarque :
    CA Single Sign-on
    ne désactive pas un compte lorsque le nombre de jours spécifié est atteint. Un utilisateur doit tenter de se connecter au compte avant que
    CA Single Sign-on
    le désactive. 
  • Désactiver l'utilisateur
    Indique que
    CA Single Sign-on
    doit désactiver le compte lorsque le mot de passe de l'utilisateur expire. Les utilisateurs désactivés doivent être activés via la boîte de dialogue User Management (Gestion des utilisateurs).
  • Forcer la modification du mot de passe
    Indique que
    CA Single Sign-on
    doit imposer une modification du mot de passe lorsque le mot de passe d'un utilisateur expire. L'utilisateur est invité à modifier le mot de passe lors de la tentative de connexion suivante.
  • Emettre des avertissements d'expiration relatifs au nombre de jours
    Spécifie la période de notification précédant l'expiration du mot de passe d'un utilisateur.
    Remarque :
    Si une stratégie de mots de passe est activée et que les utilisateurs entrent un mot de passe incorrect dans la fenêtre facultative Modification du mot de passe, ils sont redirigés vers la page de connexion sans qu'un message d'erreur les informe, car la session actuelle est valide. 
Zone de groupe Mot de passe incorrect
La zone de groupe Mot de passe incorrect vous permet de spécifier le nombre d'échecs de connexion permis avant qu'un compte d'utilisateur soit désactivé. Vous pouvez également spécifier le délai de désactivation du compte avant qu'un utilisateur puisse se connecter à nouveau. Cette case à cocher est uniquement disponible si la case Suivi des connexions est cochée.
  • Compte désactivé après une succession de mots de passe incorrects
    Spécifie le nombre d'échecs de connexion consécutifs qu'un utilisateur peut effectuer avant la désactivation de son compte. La limitation du nombre de tentatives de connexion fournit une protection contre les programmes conçus pour accéder à une ressource par utilisation répétée de mots de passe jusqu'à obtention du mot de passe correct. Si un utilisateur dépasse le nombre de tentatives de connexion spécifié, le serveur de stratégies désactive le compte correspondant. Le compte doit être réactivé par un administrateur.
    Si vous utilisez un schéma d'authentification basé sur un formulaire HTML avec le modèle login.fcc par défaut fourni avec l'agent Web, vous devez définir la directive
    smretries
    sur 0 dans le fichier login.fcc pour que la stratégie de mots de passe détermine le nombre de nouvelles tentatives permises selon la valeur entrée dans ce champ.
    En outre, vous pouvez utiliser le cookie SMTRYNO lors de l'authentification. Ce cookie peut suivre et afficher un message indiquant le nombre actuel d'échecs de connexion. Si vous définissez le cookie SMTRYNO, définissez la directive
    smretries
    sur une valeur
    supérieure
    au nombre de tentatives autorisées avant la désactivation du compte d'utilisateur. Par exemple, si le nombre de tentatives de connexion dans la stratégie de mot de passe est 3, spécifiez
    @smretries=6
    . Le nombre le plus élevé pour la directive garantit qu'un utilisateur est désactivé au lieu d'être redirigé vers la page .unauth. Toutefois, vous pouvez toujours définir le compteur SMTRYNO.
    Définissez la valeur de désactivation de compte avec précaution. Le serveur de stratégies recherche des utilisateurs dans tous les annuaires d'utilisateurs liés à une stratégie. Si trois utilisateurs avec le même nom d'utilisateur existent dans des annuaires distincts, le serveur de stratégies vérifie le mot de passe par rapport à chaque nom d'utilisateur, jusqu'à ce qu'une correspondance soit renvoyée. Pour chaque nom d'utilisateur auquel le mot de passe ne correspond pas, le serveur de stratégies enregistre un échec. Si le nombre d'échecs défini est trop bas, le serveur de stratégies peut désactiver un compte de manière incorrecte.
  • Délai en minutes
    Spécifie la durée en minutes qu'un utilisateur doit patienter avant de pouvoir effectuer une autre tentative de connexion ou que son compte soit réactivé (reportez-vous aux informations ci-après). Si l'utilisateur entre un autre mot de passe incorrect, le serveur de stratégies désactive le compte à nouveau. L'utilisateur devra attendre l'écoulement de la durée spécifiée avant de tenter une nouvelle connexion.
  • Autoriser 1 tentative de connexion
    Si cette option est sélectionnée, les utilisateurs qui entrent un mot de passe incorrect sont autorisés à effectuer une autre tentative de connexion, une fois le délai spécifié écoulé.
  • Réactiver le compte
    Si cette option est sélectionnée, le compte des utilisateurs qui entrent un mot de passe incorrect est réactivé une fois le délai spécifié écoulé.
  • Si vous avez sélectionné l'option Suivi des échecs de connexion, définissez les options suivantes dans la zone de groupe Mot de passe incorrect :
    1. Dans le champ Compte désactivé après
      <nombre>
      mots de passe incorrects, spécifiez le nombre de mots de passe incorrects qu'un utilisateur peut saisir avant que son compte soit désactivé.
    2. Dans le champ Après
      minute
      s, spécifiez le nombre de minutes qui s'appliqueront à la condition indiquée par les boutons radio décrits. Sélectionnez l'un des boutons radio suivants pour déterminer le comportement de la stratégie de mots de passe si un échec de connexion de l'utilisateur se produit après le nombre de tentatives spécifié à l'étape 5a :
      • Autoriser 1 tentative de connexion : un utilisateur peut tenter de se connecter une seule fois après le délai spécifié à l'étape 5b. Pour chaque échec de connexion suivant, l'utilisateur doit patienter jusqu'à l'écoulement du délai spécifié avant d'effectuer une autre tentative de connexion. Par exemple, vous spécifiez 3 tentatives à l'étape 5a et 10 minutes à l'étape 5b. Si trois échecs de connexion successifs se produisent, l'utilisateur peut tenter de se connecter une seule fois toutes les dix minutes jusqu'à ce que la connexion soit établie.
      • Réactiver le compte : un compte d'utilisateur sera réactivé une fois que le délai spécifié à l'étape 5b est écoulé. L'utilisateur peut tenter de se connecter autant de fois qu'indiqué à l'étape 5a avant que son compte soit désactivé. Par exemple, vous spécifiez 3 tentatives à l'étape 5a et 10 minutes à l'étape 5b. Si trois échecs de connexion successifs se produisent, l'utilisateur peut tenter de se connecter trois fois toutes les dix minutes jusqu'à ce que la connexion soit établie.
Zone de groupe Le mot de passe expire en cas d'inactivité
La zone de groupe Le mot de passe expire en cas d'inactivité vous permet de spécifier un délai entre les tentatives de connexion après lesquelles un compte d'utilisateur est considéré comme inactif. Vous pouvez également utiliser cette zone de groupe pour spécifier une action lorsqu'un utilisateur dont le compte est considéré inactif se connecte.
Remarque :
Cette case à cocher est uniquement disponible si la case Suivi des connexions est cochée.
  • Délai en jours
    Spécifie le nombre de jours d'inactivité après lequel le mot de passe d'un utilisateur expire.
    Limite :
    20 000
  • Désactiver l'utilisateur
    Si cette option est sélectionnée, le serveur de stratégies désactive l'utilisateur lorsque son mot de passe expire dû à l'inactivité. Les utilisateurs désactivés doivent être activés via la boîte de dialogue User Management (Gestion des utilisateurs).
  • Forcer la modification du mot de passe
    Si cette option est sélectionnée, le serveur de stratégies force l'utilisateur à modifier son mot de passe à la connexion suivante, lorsqu'il expire dû à l'inactivité.