Аутентификация по логину и паролю
Идентификатор:
http://dss.cryptopro.ru/identity/authenticationmethod/password
Аутентификация по паролю является основным методом аутентификации локальных Пользователей Центра Идентификации DSS.
К настройке аутентификации по паролю отностится следующий набор параметров, задаваемых через командлет Set-DssPasswordPolicy:
Параметр | Описание |
---|---|
PasswordType |
Тип паролей, генерируемых сервером: Парольные фразы (Phrase ); Символьные пароли (Symbolic ). |
PasswordSource |
Источник паролей: Только Пользователь задаёт пароль (ClientOnly ); Пароль генерируется только на стороне сервера (ServerOnly ); Смешанный режим (ClientAndServer ). |
PasswordComplexity |
Сложность символьных паролей: Цифры и буквы нижнегшо регистра (Weak ); Цифры и буквы разного регистра (Fair ); Все вышеперчисленное, включая спецсимволы (Strong) . |
PasswordLength |
Длина символьных паролей. |
PasswordPhraseComplexity |
Сложность парольной фразы: Из трех слов (Common ); Из четырех слов(Strong ). |
InvalidPasswordAttempts |
Количество попыток ввода пароля. |
PasswordLifetime |
Срок действия пароля Пользователя. |
ChangePasswordAfterReset |
Требование смены пароля Пользователя при первом входе. |
Параметр PasswordType
определяет тип паролей, генерируемых ТОЛЬКО на сервере.
Данный параметр влияет на поведение кабинета Оператора на Центре Идентификации DSS.
В зависимости от значения параметра PasswordType
будет генерироваться тот или иной тип
пароля Пользователя, когда Оператор:
- сбрасывает пароль для существующей учётной записи Пользователя.
- создаёт учётную запись Пользователя и назначает аутентификацию по логину и паролю;
Если в качестве паролей используются парольные фразы, то при вводе пароля Пользователем должен соблюдать следующие правила:
- Разрешается вводить не менее трёх букв от каждого слова.
- Введённые слова или части слов должны быть разделены пробелами.
- Разрешается вводить парольную фразу полностью.
- Парольная фраза не чувствительна к регистру букв.
- Парольная фраза на чувствительна к языку ввода.
По умолчанию значение PasswordType
предполагает использование парольных фраз.
При изменении данной настройки, а также любых других настроек по умолчанию, необходимо
данное действие согласовывать с руководителем подразделения, а также внести запись в
соответствующий журнал с указанием причины изменения настроек.
Параметр PasswordSource
влияет на поведение Веб-интерфейса Центра Идентификации
при работе от имени Пользователя. Если задано значение ServerOnly
(пароли генерируются
только на сервере), то при самостоятельной смене пароля Пользователь может только
запросить новый пароль с сервера. Сгенерированный сервером пароль будет отображен
Пользователю в веб-интерфейсе. Если задано значение ClientOnly
, то при смене пароля
Пользователю будет предложено самостоятельно придумать новый пароль. Пользователь
может самостоятельно задать только символьный пароль. Пароль должен соответствовать
требованиям длины и сложности заданными администраратором. Соответствующие требования
к паролю отображаются Пользователю в веб-интерфейсе. Если включен смешанный режим
(ClientAndServer
), то Пользователь может как придумать пароль самостоятельно, так и запросить пароль на сервере.
Параметры PasswordComplexity
и PasswordLength
определяют сложности и
длину символьных паролей. Для сложности пароля определены следующие значения:
Weak
– цифры и заглавные латинские буквы. Минимально возможная длина пароля – 2.Fair
– цифры, заглавные и строчные латинские буквы. Минимально возможная длина пароля – 3.Strong
– цифры, заглавные и строчные латинские буквы, спецсимволы. Минимально возможная длина пароля – 4.
Данные параметры задают требования к символьным паролям, генерируемым на сервере, и паролям, задаваемым Пользователем при смене пароля.
Параметр InvalidPasswordAttempts
задаёт количество неверных попыток ввода пароля. Если
значение параметра установлено на 0, то отключается контроль количества неверных попыток
ввода пароля. Если значение данного параметра больше 0, то при превышении количества
неверных попыток ввода долговременного пароля учётная запись Пользователя будет
заблокирована. Разблокировать учётную запись может только Оператор DSS.
Параметр PasswordLifetime
задаёт срок действия пароля Пользователя. Если значение
параметра установлено в 0, то срок действия пароля не контролируется. Если срок действия
пароля установлен, то после его истечения Пользователь должен сменить пароль.
Параметр ChangePasswordAfterReset
отвечает за требование смены пароля Пользователя при
первом входе. Данное правило применяется только в том случае, если учётная запись
Пользователя была создана Оператором DSS или пароль Пользователя был сброшен
Оператором DSS.