Параметры политики паролей настраиваются в Парольной политике (вкладка Сервис - Настройки политики паролей). Доступные параметры описаны в Таблице 1.
Разрешение задавать доменный пароль при интеграции с LDAP-каталогом производится путем установки соответствующей опции "Разрешить задавать доменные пароли" через административную консоль (Сервис-Настройки LDAP провайдеров, вкладка Подключение).
При установленном чекбоксе "Разрешить проверку пароля" (Сервис-Настройки LDAP провайдеров, вкладка Интеграция) для настроек LDAP-провайдера при синхронизации после ввода пользователем пароля в авторизационную форму пароль сверяется с установленным на стороне LDAP-каталога. Для успешной авторизации они должны совпасть.
При включенной опции "Обновлять пароль в процессе аутентификации" также, если они совпадут, то на стороне FAM установится пароль, соответствующий LDAP-каталогу.
Таблица 1. Список параметров парольной политики
Параметр | Описание |
---|---|
Наименование | Имя парольной политики |
Шифрование пароля | Доступны опции хеширования или шифрования пароля, а также отключения шифрования |
Минимальный срок жизни пароля | Минимальный срок жизни пароля, указывается в днях |
Минимальный срок жизни пароля | Максимальный срок жизни пароля, указывается в днях |
Вести журнал паролей | Чекбокс для включения ведения журнала паролей |
Размер журнала паролей | Размер журнала паролей, указывается количество записей |
Минимальная длина пароля | Минимальная длина пароля, указывается в количестве символов |
Максимальная длина пароля | Максимальная длина пароля, указывается в количестве символов |
Требования к сложности пароля, чекбоксы | Доступно включение обязательности следующих условий:
|
Обязательные буквы для нижнего регистра | Перечень символов, обязательных к использованию в нижнем регистре пароля, указывается в формате диапазона символов (например, a-z). |
Обязательные буквы для верхнего регистра | Перечень символов, обязательных к использованию в верхнем регистре пароля, указывается в формате диапазона символов (например, A-Z). |
Разрешенные спец.символы | Перечень специальных символов, разрешенных к использованию в паролях |
Блокировка пользователя при неправильном вводе пароля | Блокировать ли пользователя при неправильном вводе пароля, время блокировки указывается в дополнительных параметрах |
Максимальное количество попыток ввода пароля | Максимальное количество попыток ввода пароля до блокировки |
Время блокировки пользователя | Время, на которое блокируют пользователя, указывается в днях |
Проверять пароль в черном списке | При установленном чекбоксе происходит проверка пароля на нахождение в черном списке |
Срок действия ссылки для активации/восстановления пароля | Срок действия ссылки для активации/восстановления пароля, указывается в минутах. Повторно ссылку пользователю можно будет запросить только истечении указанного периода времени (например, 15 минут). При переходе по истекшей ссылке отображается ошибка о неверном токене или коде. |
Показывать капчу при вводе неверного пароля | При установленном чекбоксе пользователю будет показана капча в дополнение к требованию ввода пароля |
Важно
По умолчанию для паролей применяется политика, указанная на вкладке настроек политики паролей (Сервис - Настройки политики паролей - По умолчанию). При этом срок жизни пароля составит 42 дня.
Если необходимо использовать парольную политику домена, то следует в настройках парольной политики FAM выставить значение максимального срока жизни пароля, равное ста годам (100Y) и тогда ограничения по сроку действия будут применены из AD. Эта политика применяется только при первой синхронизации для пользователя, следующая применится только после истечения пароля.
Для уже синхронизированных пользователей следует поменять значения, подключившись к psql и, выбрав нужную базу, выполнить команды:
UPDATE public.users SET password_expires_at = TIMESTAMP WITH TIME ZONE '2100-12-16 15:12:35.615537+05'; UPDATE public.users SET must_change_password = FALSE;