Scheda Scadenza

Sommario
casso13it
HID_password-policies-expiration-tab
Sommario
La scheda Scadenza consente di configurare eventi per la disabilitazione di account utente. Configurare criteri per la scadenza della password, ad esempio il numero massimo di tentativi di accesso non riusciti o il tempo di inattività di un account prima che sia disabilitato.
La parte superiore della finestra di dialogo comprende le impostazioni seguenti:
  • Registra accessi riusciti
    Abilita e disabilita la registrazione degli accessi eseguiti correttamente, compresa l'ora dell'ultimo accesso. Se si seleziona la casella di controllo, il Policy Server scrive le informazioni di accesso nella directory utenti.
    Quando si seleziona questa casella di controllo, vengono abilitati i campi nella casella di gruppo Scadenza password per inattività.
    Valore predefinito
    : opzione selezionata
  • Registra soltanto il primo accesso
    Abilita e disabilita la registrazione del primo accesso eseguito correttamente.
    Valore predefinito
    : opzione deselezionata
  • Registra accessi non riusciti
    Abilita e disabilita la registrazione dei tentativi di accesso non riusciti. Se si seleziona la casella di controllo, il Policy Server scrive le informazioni di accesso nella directory utenti.
    Quando si seleziona questa casella di controllo, vengono abilitati i campi nella casella di gruppo Password errata.
    Valore predefinito
    : opzione selezionata
  • Registra soltanto il primo accesso non riuscito
    Abilita e disabilita la registrazione del primo accesso non riuscito.
    Valore predefinito
    : opzione deselezionata
  • Autenticazione in caso di errore della registrazione degli accessi
    Abilita e disabilita gli accessi quando si verifica un errore di rilevamento delle azioni utente. Se non è possibile scrivere l'attività dell'utente nella directory utenti, l'accesso non viene consentito. Tuttavia, se si seleziona la casella di controllo, gli utenti possono accedere, anche se non è possibile scrivere i dati della password nella directory utenti.
    La casella di controllo è deselezionata se lo è anche la casella di controllo Traccia dettagli di accesso.
    Valore predefinito
    : opzione deselezionata
Scadenza password non modificata
La casella di gruppo Scadenza password non modificata consente di configurare il comportamento delle password scadute e non modificate dal proprietario. Eventualmente, è possibile specificare quanto tempo prima gli utenti verranno avvertiti in merito alla scadenza della password.
La casella di gruppo include le impostazioni seguenti:
  • Ritardo in giorni
    Specifica il numero di giorni attesi dopo la scadenza di una password prima che
    CA Single Sign-on
    disattivi l'utente o imponga una modifica della password.
    Limite
    : 40000
    Nota:
    CA Single Sign-on
    non disabilita un account quando si raggiunge il numero specificato di giorni. L'account verrà disabilitato da
    CA Single Sign-on
    solo in seguito al tentativo di accesso da parte di un utente. 
  • Disattiva utente
    Specifica che
    CA Single Sign-on
    disabilita l'account alla scadenza della password di un utente. È necessario abilitare gli utenti disabilitati tramite la finestra di dialogo Gestione utenti.
  • Imponi modifica password
    Specifica che
    CA Single Sign-on
    imponga la modifica di una password alla scadenza. All'utente viene richiesto di modificare la password al tentativo di accesso successivo.
  • Emetti avvisi di scadenza in base al numero di giorni
    Specifica il periodo di notifica (in giorni) prima della scadenza di una password
    Nota:
    se si dispone di una policy di password abilitata e si immette la password errata nella schermata facoltativa Modifica password, l'utente viene reindirizzato di nuovo alla pagina di accesso senza un messaggio di errore, poiché la sessione corrente è valida. 
Casella di gruppo Password errata
La casella di gruppo Password errata consente di specificare il numero consentito di accessi non riusciti prima di disabilitare un account utente. È possibile inoltre specificare per quanto tempo l'account è disabilitato prima che si possa eseguire un nuovo tentativo di accesso. La casella di gruppo è disponibile solo se è abilitata la casella di controllo Tieni traccia degli accessi.
  • Account disattivato dopo una successione di password non corrette
    Specifica il numero di tentativi di accesso consecutivi non riusciti prima della disattivazione dell'account utente. Limitando il numero di tentativi errati, ci si protegge dai programmi progettati per accedere a una risorsa continuando a inserire password finché non viene trovata quella corretta. Se un utente non riesce ad accedere correttamente dopo il numero specificato di tentativi, il Policy Server disabilita l'account. La riattivazione dell'account deve essere eseguita da un amministratore.
    Se si utilizza uno schema di autenticazione di moduli HTML con il modello login.fcc predefinito, fornito insieme all'agente Web, impostare la direttiva
    smretries
    nel file login.fcc su 0, affinché la policy di password determini il numero di nuovi tentativi consentiti in base al valore immesso in questo campo.
    Inoltre, è possibile utilizzare il cookie SMTRYNO durante l'autenticazione. Il cookie permette di registrare e visualizzare un messaggio che indica il numero corrente di tentativi di accesso non riusciti. Se si imposta il cookie SMTRYNO, impostare la direttiva
    smretries
    su un valore
    più alto
    rispetto al numero di tentativi consentiti prima di disabilitare l'account utente. Ad esempio, se il numero di tentativi di accesso nella policy di password è 3, specificare
    @smretries=6
    . Il numero più alto per la direttiva fa in modo che l'utente sia disabilitato e non reindirizzato alla pagina .unauth. Tuttavia, si può comunque impostare il contatore SMTRYNO.
    Impostare il valore dell'account disabilitato con attenzione. Il Policy Server cerca gli utenti controllando tutte le directory utenti associate a una policy. Se esistono tre utenti con lo stesso nome utente in directory diverse, il Policy Server controlla la password legata a ciascun nome utente per trovare una corrispondenza. Per ciascun nome utente senza corrispondenza di password, il Policy Server registra un tentativo non riuscito. Se il numero di errori è impostato su un valore troppo basso, il Policy Server può disabilitare erroneamente un account.
  • Ritardo in minuti
    Specifica il tempo di attesa (in minuti) prima di poter eseguire un nuovo accesso o per la riattivazione dell'account (consultare la sezione successiva). Se l'utente immette un'altra password errata, il Policy Server disattiva di nuovo l'account. L'utente deve attendere il periodo di tempo specificato prima di un nuovo tentativo.
  • Consenti un tentativo di accesso
    Se l'opzione è selezionata, specifica che, in seguito all'immissione di una password errata, è consentito un altro tentativo di accesso una volta trascorsi i minuti indicati.
  • Riabilita account
    Se l'opzione è selezionata, specifica che, in seguito all'immissione di una password errata, l'account utente viene riabilitato una volta trascorsi i minuti indicati.
  • Se è stata impostata l'opzione Registra accessi non riusciti, impostare le opzioni nella casella di gruppo Password errata:
    1. Specificare il numero consentito di password errate prima che l'account utente sia disabilitato nel campo Account disattivato dopo
      <numero>
      password successive errate.
    2. Nel campo Dopo
      <numero>
      minuti, specificare il numero di minuti applicato alla condizione indicata dai pulsanti di opzione descritti. Selezionare uno dei seguenti pulsanti di opzione per determinare il comportamento della policy di password se un utente non riesce ad accedere dopo il numero di tentativi specificato nel passaggio 5a:
      • Consenti un tentativo di accesso: un utente può tentare un solo accesso una volta trascorsi i minuti indicati (passaggio 5b). Per ciascun ulteriore tentativo non riuscito, l'utente deve attendere per i minuti indicati prima di provare nuovamente ad accedere. Ad esempio, considerare un valore di 3 tentativi nel passaggio 5a e un valore di 10 minuti nel passaggio 5b. Se l'accesso non riesce per tre volte, l'utente può tentare un solo accesso ogni dieci minuti finché non ci riesce.
      • Riabilita account: l'account verrà riabilitato una volta trascorsi i minuti indicati (passaggio 5b). L'utente può tentare il numero di accessi specificato nel passaggio 5a prima che l'account sia disabilitato. Ad esempio, considerare un valore di 3 tentativi nel passaggio 5a e un valore di 10 minuti nel passaggio 5b. Se l'accesso non riesce per tre volte, l'utente può tentare tre accessi ogni dieci minuti finché non ci riesce.
Casella di gruppo Scadenza password per inattività
La casella di gruppo Scadenza password per inattività consente di specificare un periodo di tempo tra i tentativi di accesso, dopo il quale un account utente è considerato inattivo. È possibile utilizzare questa sezione per specificare un'azione richiesta a un utente per riuscire ad accedere, nonostante l'account sia considerato inattivo.
Nota
: la casella di gruppo è disponibile solo se è abilitata la casella di controllo Tieni traccia degli accessi.
  • Ritardo in giorni
    Specifica il numero di giorni di inattività dopo i quali la password scade.
    Limite:
    20000
  • Disattiva utente
    Se l'opzione è selezionata, specifica che, alla scadenza di una password per inattività, il Policy Server disabilita l'utente. È necessario abilitare gli utenti disabilitati tramite la finestra di dialogo Gestione utenti
  • Imponi modifica password
    Se l'opzione è selezionata, specifica che, alla scadenza di una password per inattività, il Policy Server impone la modifica della password al prossimo tentativo di accesso.