Avanpost FAM/MFA+ : 5.4.10. Параметры политики паролей

Параметры политики паролей настраиваются в Парольной политике (вкладка Сервис - Настройки политики паролей). Доступные параметры описаны в Таблице 1.

Разрешение задавать доменный пароль при интеграции с LDAP-каталогом производится путем установки соответствующей опции "Разрешить задавать доменные пароли" через административную консоль (Сервис-Настройки LDAP провайдеров, вкладка Подключение). 

При установленном чекбоксе "Разрешить проверку пароля" (Сервис-Настройки LDAP провайдеров, вкладка Интеграция) для настроек LDAP-провайдера при синхронизации после ввода пользователем пароля в авторизационную форму пароль сверяется с установленным на стороне LDAP-каталога. Для успешной авторизации они должны совпасть. 

При включенной опции "Обновлять пароль в процессе аутентификации" также, если они совпадут, то на стороне FAM установится пароль, соответствующий LDAP-каталогу.

Таблица 1. Список параметров парольной политики

ПараметрОписание

Наименование

Имя парольной политики
Шифрование пароляДоступны опции хеширования или шифрования пароля, а также отключения шифрования
Минимальный срок жизни пароляМинимальный срок жизни пароля, указывается в днях
Минимальный срок жизни пароляМаксимальный срок жизни пароля, указывается в днях
Вести журнал паролейЧекбокс для включения ведения журнала паролей
Размер журнала паролейРазмер журнала паролей, указывается количество записей
Минимальная длина пароляМинимальная длина пароля, указывается в количестве символов
Максимальная длина пароляМаксимальная длина пароля, указывается в количестве символов
Требования к сложности пароля, чекбоксы

Доступно включение обязательности следующих условий:

  • Пароль должен содержать цифры.
  • Пароль должен содержать буквы в нижнем регистре.
  • Пароль должен содержать буквы в верхнем регистре.
  • Пароль должен содержать специальные символы.
  • Все символы в пароле должны быть уникальными.
  • Пароль может содержать пробелы.
Обязательные буквы для нижнего регистраПеречень символов, обязательных к использованию в нижнем регистре пароля, указывается в формате диапазона символов (например, a-z).
Обязательные буквы для верхнего регистраПеречень символов, обязательных к использованию в верхнем регистре пароля, указывается в формате диапазона символов (например, A-Z).
Разрешенные спец.символыПеречень специальных символов, разрешенных к использованию в паролях
Блокировка пользователя при неправильном вводе пароляБлокировать ли пользователя при неправильном вводе пароля, время блокировки указывается в дополнительных параметрах
Максимальное количество попыток ввода пароляМаксимальное количество попыток ввода пароля до блокировки
Время блокировки пользователяВремя, на которое блокируют пользователя, указывается в днях
Проверять пароль в черном спискеПри установленном чекбоксе происходит проверка пароля на нахождение в черном списке
Срок действия ссылки для активации/восстановления пароляСрок действия ссылки для активации/восстановления пароля, указывается в минутах. Повторно ссылку пользователю можно будет запросить только истечении указанного периода времени (например, 15 минут). При переходе по истекшей ссылке отображается ошибка о неверном токене или коде.
Показывать капчу при вводе неверного пароляПри установленном чекбоксе пользователю будет показана капча в дополнение к требованию ввода пароля

Важно

По умолчанию для паролей применяется политика, указанная на вкладке настроек политики паролей (Сервис - Настройки политики паролей - По умолчанию). При этом срок жизни пароля составит 42 дня.

Если необходимо использовать парольную политику домена, то следует в настройках парольной политики FAM выставить значение максимального срока жизни пароля, равное ста годам (100Y) и тогда ограничения по сроку действия будут применены из AD. Эта политика применяется только при первой синхронизации для пользователя, следующая применится только после истечения пароля. 

Для уже синхронизированных пользователей следует поменять значения, подключившись к psql и, выбрав нужную базу, выполнить команды:

UPDATE public.users SET password_expires_at = TIMESTAMP WITH TIME ZONE '2100-12-16 15:12:35.615537+05';
UPDATE public.users SET must_change_password = FALSE;


Обсуждение