Общие сведения
Функциональность парольных политик Avanpost FAM позволяет предназначена для выполнения следующих задач:
- гибкая настройка парольных политик под текущие потребности организации;
- создание и удаление парольных политик;
- получение информации о настроенных парольных политиках;
- управление черным списком паролей.
Функциональность доступна в разделе "Настройка политики паролей" режима "Сервис" административной консоли FAM Server. Раздел содержит следующую информацию и возможности:
- список существующих парольных политик:
- Название - Наименование парольной политики;
- Статус:
- По умолчанию - Для политики, выбранной по умолчанию (только одна политика может быть выбрана политикой по умолчанию);
- кнопка "Сделать по умолчанию" - Нажать, чтобы установить данную политику по умолчанию;
- элементы поиска - поисковая строка с возможностью поиска по названию;
- кнопка "Добавить политику" для перехода в мастер настройки парольных политик;
- кнопка "Черный список паролей" для перехода в раздел управления списком.
Добавление новой парольной политики
Для перехода на страницу добавления новой парольной политики следует нажать кнопку "Добавить политику" и настроить параметры в соответствии с таблицей.
Параметр | Описание |
---|---|
Наименование | Имя парольной политики. |
Шифрование пароля | Выбрать способ шифрования пароля:
|
Количество измененных символов: старый/новый пароль | Задать минимальное количество символов, на которое задаваемый новый пароль должен от существующего. |
Минимальный срок жизни пароля | Минимальный срок жизни пароля, указывается в днях. |
Минимальный срок жизни пароля | Максимальный срок жизни пароля, указывается в днях. |
Вести журнал паролей | Чекбокс для включения ведения журнала паролей (Avanpost FAM не позволяет пользователю задать пароль, совпадающий с заданным ранее, если он хранится в журнале паролей):
|
Размер журнала паролей | Задать количество записей в журнале паролей. Доступно при включенном чекбоксе "Вести журнал паролей". |
Требования к сложности пароля | |
Минимальная длина пароля | Минимальная длина пароля (количество символов) |
Максимальная длина пароля | Максимальная длина пароля (количество символов). |
Требования к сложности пароля | Набор чекбоксов, позволяющих настроить требования к сложности пароля. Для включения требования следует включить чекбокс. Доступно включение обязательности следующих условий:
|
Обязательные буквы для нижнего регистра | Перечень символов, обязательных к использованию в нижнем регистре пароля, указывается в формате диапазона символов (например, a-z). |
Обязательные буквы для верхнего регистра | Перечень символов, обязательных к использованию в верхнем регистре пароля, указывается в формате диапазона символов (например, A-Z). |
Разрешенные спец.символы | Перечень специальных символов, разрешенных к использованию в паролях. |
Блокировка пользователя | |
Блокировка пользователя при неправильном вводе пароля | Заполнить чекбокс:
|
Максимальное количество попыток ввода пароля | Максимальное количество попыток ввода пароля до блокировки. Доступно при включенном чекбоксе "Блокировка пользователя при неправильном вводе пароля". |
Время блокировки пользователя | Время, на которое блокируется пользователь, указывается в днях. Доступно при включенном чекбоксе "Блокировка пользователя при неправильном вводе пароля". |
Дополнительно | |
Проверять пароль в черном списке | При установленном чекбоксе происходит проверка пароля на нахождение в черном списке. |
Срок действия ссылки для активации/восстановления пароля | Срок действия ссылки для активации/восстановления пароля, указывается в минутах. Повторно ссылку пользователю можно будет запросить только истечении указанного периода времени (например, 15 минут). При переходе по истекшей ссылке отображается ошибка о неверном токене или коде. |
Показывать капчу при вводе неверного пароля | Заполнить чекбокс:
|
Показать капчу через, попыток | Количество попыток неверного ввода пароля, через которое будет запрашиваться ввод капчи. Доступно при установленном флаге в чекбоксе "Показывать капчу при вводе неверного пароля". |
Сбросить счетчик попыток по истечении, сек | Время после последнего неверно введенного пароля, по истечении которого ввод капчи не будет запрашиваться. Доступно при установленном флаге в чекбоксе "Показывать капчу при вводе неверного пароля". |
Важно
По умолчанию для паролей применяется политика, указанная на вкладке настроек политики паролей (Сервис - Настройки политики паролей - По умолчанию). При этом срок жизни пароля составит 42 дня.
Если необходимо использовать парольную политику домена, то следует в настройках парольной политики FAM выставить значение максимального срока жизни пароля, равное ста годам (100Y) и тогда ограничения по сроку действия будут применены из AD. Эта политика применяется только при первой синхронизации для пользователя, следующая применится только после истечения пароля.
Для уже синхронизированных пользователей следует поменять значения, подключившись к psql и, выбрав нужную базу, выполнить команды:
UPDATE public.users SET password_expires_at = TIMESTAMP WITH TIME ZONE '2100-12-16 15:12:35.615537+05'; UPDATE public.users SET must_change_password = FALSE;
Для сохранения новой парольной политики требуется нажать кнопку "Сохранить", для отказа от изменений - "Отмена".
Управление парольными политиками
Созданные парольные политики доступны для редактирования. Чтобы отредактировать парольную политику следует зайти в ее профиль в списке раздела "Настройки политики паролей" и нажать . Доступные для редактирования параметры идентичны параметрам, настраиваемым при создании новой парольной политики. Для удаления парольной политики требуется нажать и подтвердить действие.
Управление парольными политиками при интеграции в внешними LDAP-каталогами осуществляется при настройке интеграции с LDAP-провайдером (более подробно описано в разделе Управление LDAP-источниками):
- Разрешение задавать доменный пароль при интеграции с LDAP-каталогом производится путем включения опции "Разрешить задавать доменные пароли" в настройках LDAP-провайдера;
- Чтобы разрешить проверку пароля на стороне LDAP-провайдера необходимо установить флаг в чекбоксе "Разрешить проверку пароля" в настройках LDAP-провайдера. Если данная опция включена, пароль, введенный пользователем в форму аутентификации Avanpost FAM сопоставляется с установленным паролем на стороне внешнего LDAP-каталога при синхронизации. Для успешной авторизации требуется совпадение пароля на стороне Avanpost FAM и пароля на стороне LDAP-провайдера.
- Чтобы разрешить обновлять пароль пользователя в Avanpost FAM из внешнего LDAP-каталога в процессе аутентификации требуется включить опцию "Обновлять пароль в процессе аутентификации".
Управление черным списком паролей
Avanpost FAM предоставляет возможность управления запрещенными для использования паролями. Если пароль добавлен в черный список, то он не может быть установлен ни самостоятельно пользователем, ни через административную консоль. При этом, если запрещенный пароль уже был задан для пользователя ранее, его действие продолжится. Чтобы прекратить действие данного пароля следует либо сбросить его для конкретного пользователя (через вкладку "Безопасность" УЗ пользователя)/пользователей (через "Операции с несколькими пользователями" режима "Пользователи"), либо дождаться истечения срока действия.
Для перехода в раздел управления черным списком паролей требуется нажать на кнопку "Черный список паролей" в разделе "Управление парольными политиками". Раздел содержит следующие возможности и информацию:
- Список запрещенных к использованию паролей;
- Строка поиска для поиска запрещенного пароля;
- Строка ввода пароля и кнопку "Добавить" - Ввести пароль и нажать кнопку для добавления в черный список;
- Кнопка - Нажать для удаления пароля из списка запрещенных;
- Кнопка - Нажать для обновления списка.
Особенности парольной политики для MS AD
При настройке интеграции с внешним LDAP-источником типа Microsoft Active Directory следует учитывать, что пользователи домена могут использовать свой старый пароль для доступа к сети в течение 60 минит после изменения пароля. Это позволяет разрешить фоновым процессам получать доступ к сети и работать, пока распространяется изменение пароля. Данное изменение поведения проверки подлинности сети NTLM существует, начиная с Microsoft Windows Server 2003 с пакетом обновления 1 (SP1).
Чтобы изменить период существования старого пароля, требуется совершить следующие действия на стороне MS AD:
В меню "Пуск" выберать пункт "Выполнить", ввести команду
regedit
и нажать ОК.Открыть подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
В меню "Правка" выбрать пункт "Создать", а затем параметр DWORD.
Ввести
OldPasswordAllowedPeriod
в качестве имени DWORD и нажать клавишу ВВОД.Щелкнуть правой кнопкой мыши
OldPasswordAllowedPeriod
и нажать "Изменить".В поле "Значение" ввести время в минутах, в течение которого будет разрешено использование старого пароля, затем нажать ОК и закрыть редактор реестра.
В случае, когда старый пароль скомпрометирован, администратору следует сбросить его следующим способом:
- Запустить оснастку "Пользователи и компьютеры Active Directory".
- Найти учетную запись пользователя, пароль которой необходимо сбросить.
- Щелкнуть правой кнопкой мыши на объект пользователя и нажать кнопку "Сбросить пароль".
- Ввести новый пароль в поле "Новый пароль" и в поле "Подтверждение пароля ".У
- Задать, что пользователю необходимо изменить пароль при следующем входе и нажать ОК.