在IBM Network Authentication Service for AIX中增强密码强度

规则管理

概括来说，密码配置文件中有三个位置可供管理员指定基于主体、策略或领域范围的密码规则；管理 员需要决定在何处放置规则。每个节各自具有不同的用途和限制。每次修改规则文件时，都需要重启 kadmind 守护进程，这就是始终推荐指定领域范围或基于策略的规则的原因，以使对 kadmind服务器的影 响降到最低。如果在主体级别上指定规则，管理员可能需要在每次添加单个主体或一批主体时重启 kadmind服务器。在生产环境中重启服务器守护进程是一种不推荐的做法。

kadmind 守护进程只在启动时读取 kadmin 命令接口的所有规则，而 kadmind.local 命令接口则在每 次调用时重新读取规则文件。因此，建议每当规则文件或字典文件被更改时就重启 kadmind服务器，这样 kadmin 和 kadmin.local 命令接口将提供一致的结果。

下面的示例显示了 kadmind 和 kadmin.local 如何读取密码配置文件。对于 kadmin 接口，kadmind 守护进程在启动时读取文件，如下所示：bash-2.05b# hostname
land.in.ibm.com
bash-2.05b# date
Wed Apr 30 11:35:42 CDT 2008
bash-2.05b# start.krb5 kadmind
Starting kadmind...
kadmind was started successfully.
The command completed successfully.

守护进程启动成功后，它将在日志文件（缺省日志文件：/var/krb5/log/kadmin.log）中记录如下内 容：Apr 30 11:35:47 land.in.ibm.com kadmind[26712](info): Seeding random number generator
Apr 30 11:35:47 land.in.ibm.com kadmind[26712](info): Password strength is enabled using
rules file /var/krb5/krb5kdc/password_rules.conf.
Apr 30 11:35:47 land.in.ibm.com kadmind[25232](info): starting

启动时，kadmin.local 命令接口在日志文件中记录关于密码规则文件的信息，如下面的示例所示： bash-2.05b# hostname
land.in.ibm.com
bash-2.05b# date
Wed Apr 30 11:30:11 CDT 2008
bash-2.05b# kadmin.local
kadmin.local:

在您运行 kadmin.local 接口时，它将在日志文件中记录下列信息：pr 30 11:30:15 land.in.ibm.com kadmin.local[22428](info): Password strength is enabled
using rules file /var/krb5/krb5kdc/password_rules.conf.

kadmind服务器启动时，在密码规则文件的 [default] 节中指定的字典文件列表和缺省字典文件（在 /var/krb5/krb5kdc/kdc.conf 文件中提供）被加载到内存中。启动时不会读取为单个策略或主体指定的 字典文件列表；相反，根据需要读取它们并添加到内存中的现有字典文件列表中。

除字典文件检查外，在启用密码强度检查时还维持一些隐含规则。例如，密码不能与主体名称或领域 名称相同。

下面的示例显示了如何执行字典检查。在本例中，字典文件 /var/krb5/krb5kdc/words 包含下列单词 ：

bash-2.05b# cat /var/krb5/krb5kdc/words
kerberos
ibm
admin
nas
aix

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!