Аутентификация по логину и паролю

Идентификатор: 

http://dss.cryptopro.ru/identity/authenticationmethod/password

Аутентификация по паролю является основным методом аутентификации локальных Пользователей Центра Идентификации DSS.

К настройке аутентификации по паролю отностится следующий набор параметров, задаваемых через командлет Set-DssPasswordPolicy:

Параметр Описание
PasswordType Тип паролей, генерируемых сервером: Парольные фразы (Phrase); Символьные пароли (Symbolic).
PasswordSource Источник паролей: Только Пользователь задаёт пароль (ClientOnly); Пароль генерируется только на стороне сервера (ServerOnly); Смешанный режим (ClientAndServer).
PasswordComplexity Сложность символьных паролей: Цифры и буквы нижнегшо регистра (Weak); Цифры и буквы разного регистра (Fair); Все вышеперчисленное, включая спецсимволы (Strong).
PasswordLength Длина символьных паролей.
PasswordPhraseComplexity Сложность парольной фразы: Из трех слов (Common); Из четырех слов(Strong).
InvalidPasswordAttempts Количество попыток ввода пароля.
PasswordLifetime Срок действия пароля Пользователя.
ChangePasswordAfterReset Требование смены пароля Пользователя при первом входе.

Параметр PasswordType определяет тип паролей, генерируемых ТОЛЬКО на сервере. Данный параметр влияет на поведение кабинета Оператора на Центре Идентификации DSS. В зависимости от значения параметра PasswordType будет генерироваться тот или иной тип пароля Пользователя, когда Оператор:

  • сбрасывает пароль для существующей учётной записи Пользователя.
  • создаёт учётную запись Пользователя и назначает аутентификацию по логину и паролю;

Если в качестве паролей используются парольные фразы, то при вводе пароля Пользователем должен соблюдать следующие правила:

  • Разрешается вводить не менее трёх букв от каждого слова.
  • Введённые слова или части слов должны быть разделены пробелами.
  • Разрешается вводить парольную фразу полностью.
  • Парольная фраза нечувствительна к регистру букв.
  • Парольная фраза нечувствительна к языку ввода.

По умолчанию значение PasswordType предполагает использование парольных фраз. При изменении данной настройки, а также любых других настроек по умолчанию, необходимо данное действие согласовывать с руководителем подразделения, а также внести запись в соответствующий журнал с указанием причины изменения настроек.

Параметр PasswordSource влияет на поведение Веб-интерфейса Центра Идентификации при работе от имени Пользователя. Если задано значение ServerOnly (пароли генерируются только на сервере), то при самостоятельной смене пароля Пользователь может только запросить новый пароль с сервера. Сгенерированный сервером пароль будет отображен Пользователю в веб-интерфейсе. Если задано значение ClientOnly, то при смене пароля Пользователю будет предложено самостоятельно придумать новый пароль. Пользователь может самостоятельно задать только символьный пароль. Пароль должен соответствовать требованиям длины и сложности заданными администраратором. Соответствующие требования к паролю отображаются Пользователю в веб-интерфейсе. Если включен смешанный режим (ClientAndServer), то Пользователь может как придумать пароль самостоятельно, так и запросить пароль на сервере.

Параметры PasswordComplexity и PasswordLength определяют сложности и длину символьных паролей. Для сложности пароля определены следующие значения:

  • Weak – цифры и заглавные латинские буквы. Минимально возможная длина пароля – 2.
  • Fair – цифры, заглавные и строчные латинские буквы. Минимально возможная длина пароля – 3.
  • Strong – цифры, заглавные и строчные латинские буквы, спецсимволы. Минимально возможная длина пароля – 4.

Данные параметры задают требования к символьным паролям, генерируемым на сервере, и паролям, задаваемым Пользователем при смене пароля.

Параметр InvalidPasswordAttempts задаёт количество неверных попыток ввода пароля. Если значение параметра установлено на 0, то отключается контроль количества неверных попыток ввода пароля. Если значение данного параметра больше 0, то при превышении количества неверных попыток ввода долговременного пароля учётная запись Пользователя будет заблокирована. Разблокировать учётную запись может только Оператор DSS.

Параметр PasswordLifetime задаёт срок действия пароля Пользователя. Если значение параметра установлено в 0, то срок действия пароля не контролируется. Если срок действия пароля установлен, то после его истечения Пользователь должен сменить пароль.

Параметр ChangePasswordAfterReset отвечает за требование смены пароля Пользователя при первом входе. Данное правило применяется только в том случае, если учётная запись Пользователя была создана Оператором DSS или пароль Пользователя был сброшен Оператором DSS.