欢迎来到天天文库
浏览记录
ID:21222322
大小:63.00 KB
页数:5页
时间:2018-10-20
《在 ibm network authentication service for aix 中增强密码强度》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、在IBMNetworkAuthenticationServiceforAIX中增强密码强度 引言 Kerberos主体密码是用来解锁密钥分发中心(KDC)服务器应答的密钥,因此,如果该密码发生泄露,就没有其他方法来核实主体的真实性。因而,管理员必须选择非常难于破解的密码,以免被他人破解而影响系统的安全性。 您还可以建议最终用户提高密码的强度,并通知其密码策略相关内容。这是一种源自外部的保护,但是,还需要通过内部机制来强制最终用户选择强密码,为此,IBMNetind)提供了增强密码强度检查工具。Kadmind服务器负责检查和验证主体的密码。服务器可以根据分配给主体的密码策略(请参阅
2、参考资料部分以阅读有关Kerberos密码策略管理的developerNAS中的增强密码强度功能,管理员需要在密钥分发中心(KDC)配置文件'/var/krb5/krb5kdc/kdc.conf'中指定规则配置文件的位置。需要使用配置文件[realm]节中的passs] TEST= { database_name=/var/krb5/krb5kdc/principal admin_keytab=/var/krb5/krb5kdc/kadm5.keytab acl_file=/var/krb5/krb5kdc/kadm5.a
3、cl dict_file=/var/krb5/krb5kdc/kadm5.dict key_stash_file=/var/krb5/krb5kdc/.k5.TEST kadmind_port=749 kdc_ports=88 max_life=24h0m0s max_rene0s master_key_type=des3-cbc-sha1 supported_enctypes=des3-cbc-sha1:normalarcfour-hmac:normal ae
4、s256-cts:normaldes-cbc-md5:normaldes-cbc-crc:normal passin/admin等),管理员可以采用特别定制的规则。 如果任何节重复出现,则最后出现的节被视为有效,并忽略其他节。也会忽略任何不完整、未知和拼写错误的条目。 如果由于某种原因导致密码规则文件发生损坏,kadmind将记录和显示错误,然后退出。 密码规则配置文件具有与IBMNAS配置文件(/etc/krb5/krb5.conf和/var/krb5/krb5kdc/kdc.conf)相同的格式,如下所示:#Thisstanzahastherealm-indif
5、f =3 maxrepeats=3 minalpha =4 minother =1 minlen =6 maxlen =24 minage =604800 histsize =5 #Addaseparatedictlistlineforeachdictionaryyouinlen=8 } admin={ minlen =10 minother=2 histsize=8 }#Thisstanzahastheper-principalrules[principals]
6、admin/admin={ mindiff =4 histsize=10 } IBMNAS附带了示例密码规则文件/usr/samples/krb5/passindiff=<number>新密码与旧密码中不同字符的最小数目。maxrepeats=<number>给定字符在密码中可以出现的最大次数。minalpha=<number>密码中字母数字字符的最小数目。minother=<number>密码中非字母数字字符的最小数目。minlen=<number>密码中字符的最小数目。(最小值为1,因为
7、密码不能为空字符串)maxlen=<number>密码中字符的最大数目。 组合检查算法根据下列规则验证密码中的字符是否处于有效范围: 不允许出现负值。如果指定了负值,服务器将记录警告并忽略该值。 如果minalpha和minother相加大于maxlen,则maxlen的值设为minalpha+minother。 minlen的最小值为1(密码不能为空字符串)。如果未指定minlen的值或指定为0,则该值设为1。在这种情况下
此文档下载收益归作者所有
