在 IBM Network Authentication Service for AIX 中增强密码强度.docVIP

在 IBM Network Authentication Service for AIX 中增强密码强度 引言 Kerberos 主体密码是用来解锁密钥分发中心 (KDC) 服务器应答的密钥，因此，如果该密码发生泄露，就没有其他方法来核实主体的真实性。因而，管理员必须选择非常难于破解的密码，以免被他人破解而影响系统的安全性。 您还可以建议最终用户提高密码的强度，并通知其密码策略相关内容。这是一种源自外部的保护，但是，还需要通过内部机制来强制最终用户选择强密码，为此，IBM Network Authentication Service (NAS) for AIX 提供了增强密码强度功能。 IBM NAS 管理服务器 (kadmind) 提供了增强密码强度检查工具。Kadmind 服务器负责检查和验证主体的密码。服务器可以根据分配给主体的密码策略（请参阅参考资料部分以阅读有关 Kerberos 密码策略管理的 developerWorks 文章）和在规则配置文件中指定的密码规则来验证密码。 激活增强密码强度功能 为了激活 IBM NAS 中的增强密码强度功能，管理员需要在密钥分发中心 (KDC) 配置文件 /var/krb5/krb5kdc/kdc.conf 中指定规则配置文件的位置。需要使用配置文件 [realm] 节中的 ‘password_rules’ 关系来指定规则配置文件的位置，如下所示： [kdcdefaults] kdc_ports = 88 [realms] TEST = { database_name = /var/krb5/krb5kdc/principal admin_keytab = /var/krb5/krb5kdc/kadm5.keytab acl_file = /var/krb5/krb5kdc/kadm5.acl dict_file = /var/krb5/krb5kdc/kadm5.dict key_stash_file = /var/krb5/krb5kdc/.k5.TEST kadmind_port = 749 kdc_ports = 88 max_life = 24h 0m 0s max_renewable_life = 7d 0h 0m 0s master_key_type = des3-cbc-sha1 supported_enctypes = des3-cbc-sha1:normal arcfour-hmac:normal aes256-cts:normal des-cbc-md5:normal des-cbc-crc:normal password_rules = /var/krb5/krb5kdc/password_rules.conf } 如果在 /var/krb5/krb5kdc/kdc.conf 文件中未指定 password_rules = 行，或者所指定的文件不存在或无法访问，则不会启用增强密码强度功能。 密码规则文件包含多个密码规则，这些规则通过帮助用户选择适当的密码来提高密码强度。这些规则是在节下定义的。密码规则文件可以包含如下三个节： [default] 节包含应用于整个领域的密码规则。缺省情况下，领域中的所有主体都受制于该节下指定的规则。 [policies] 节包含影响各个策略的密码规则。需要应用领域范围规则以外的更多规则时使用此节。 [principals] 节包含基于各个主体的密码规则。对于少数非常重要的主体（如 admin/admin 等），管理员可以采用特别定制的规则。 如果任何节重复出现，则最后出现的节被视为有效，并忽略其他节。也会忽略任何不完整、未知和拼写错误的条目。 如果由于某种原因导致密码规则文件发生损坏，kadmind 将记录和显示错误，然后退出。 密码规则配置文件具有与 IBM NAS 配置文件（/etc/krb5/krb5.conf 和 /var/krb5/krb5kdc/kdc.conf）相同的格式，如下所示： # This stanza has the realm-wide default rules [default]