在 ibm network authentication service for aix 中增强密码强度

在 IBM Network Authentication Service for AIX 中增强密码强度引言Kerberos 主体密码是用来解锁密钥分发中心 (KDC) 服务器应答的密钥，因此， 如果该密码发生泄露，就没有其他方法来核实主体的真实性。因而，管理员必 须选择非常难于破解的密码，以免被他人破解而影响系统的安全性。您还可以建议最终用户提高密码的强度，并通知其密码策略相关内容。这是一 种源自外部的保护，但是，还需要通过内部机制来强制最终用户选择强密码， 为此，IBM Network Authentication Service (NAS) for AIX 提供了增强密码 强度功能。IBM NAS 管理服务器 (kadmind) 提供了增强密码强度检查工具。Kadmind 服务 器负责检查和验证主体的密码。服务器可以根据分配给主体的密码策略（请参 阅参考资料部分以阅读有关 Kerberos 密码策略管理的 developerWorks 文章） 和在规则配置文件中指定的密码规则来验证密码。 激活增强密码强度功能为了激活 IBM NAS 中的增强密码强度功能，管理员需要在密钥分发中心 (KDC) 配置文件 '/var/krb5/krb5kdc/kdc.conf' 中指定规则配置文件的位置。需要 使用配置文件 realm 节中的 password_rules 关系来指定规则配置文件 的位置，如下所示： kdcdefaultskdc_ports = 88realmsTEST = database_name = /var/krb5/krb5kdc/principaladmin_keytab = /var/krb5/krb5kdc/kadm5.keytabacl_file = /var/krb5/krb5kdc/kadm5.acldict_file = /var/krb5/krb5kdc/kadm5.dictkey_stash_file = /var/krb5/krb5kdc/.k5.TESTkadmind_port = 749kdc_ports = 88max_life = 24h 0m 0smax_renewable_life = 7d 0h 0m 0smaster_key_type = des3-cbc-sha1supported_enctypes = des3-cbc- sha1:normal arcfour-hmac:normal aes256-cts:normal des-cbc- md5:normal des-cbc-crc:normalpassword_rulespassword_rules = = /var/krb5/krb5kdc/password_rules.conf/var/krb5/krb5kdc/password_rules.conf如果在 /var/krb5/krb5kdc/kdc.conf 文件中未指定 'password_rules = ' 行， 或者所指定的文件不存在或无法访问，则不会启用增强密码强度功能。密码规则文件包含多个密码规则，这些规则通过帮助用户选择适当的密码来提 高密码强度。这些规则是在节下定义的。密码规则文件可以包含如下三个节： default 节包含应用于整个领域的密码规则。缺省情况下，领域中的 所有主体都受制于该节下指定的规则。 policies 节包含影响各个策略的密码规则。需要应用领域范围规则以 外的更多规则时使用此节。 principals 节包含基于各个主体的密码规则。对于少数非常重要的主 体（如 admin/admin 等），管理员可以采用特别定制的规则。 如果任何节重复出现，则最后出现的节被视为有效，并忽略其他节。也会忽略 任何不完整、未知和拼写错误的条目。如果由于某种原因导致密码规则文件发生损坏，kadmind 将记录和显示错误， 然后退出。密码规则配置文件具有与 IBM NAS 配置文件（/etc/krb5/krb5.conf 和 /var/krb5/krb5kdc/kdc.conf）相同的格式，如下所示： # This stanza has the realm-wide default rules defaultmindiff = 3maxrepeats = 3minalpha = 4minother = 1minlen = 6maxlen = 24minage = 604800histsize = 5# Add a separate dictlist line for each dictionary you want to adddictlist = /usr/dict/wordsdictlist = /var/krb5/krb5kdc/words# This stanza has the per-policy rules policiesstaff = minlen = 8admin = minlen = 10minother = 2histsize = 8# This stanza has the per-principal rules principalsadmin/admin = mindiff = 4histsize = 10IBM NAS 附带了示例密码规则文件 /usr/samples/krb5/password_rules.conf。下一部分将介绍所有可用的密码规 则。 回页首密码规则密码规则用于控制对主体密码的单项限制或检查项。这些增强密码强度规则可 以基于领域、策略或主体进行设置。缺省情况下，规则是针对整个领域设置的。 现有主体的密码不会受新密码规则的影响。如果在激活密码规则后密码发生改 变，新密码应遵从这些规则。IBM NAS 支持四种类型的密码规则：组合规则 使用期限规则 重用（或历史）规则 字典规则 组合规则这些规则指定密码可以包含哪些内容，例如，密码是否应当只包含字母或字母 数字字符。支持下列规则： mindiffmindiff = = 新密码与旧密码中不同字符的最小数目。 maxrepeatsmaxrepeats = = 给定字符在密码中可以出现的最大次数。 minalphaminalpha = = 密码中字母数字字符的最小数目。 minotherminother = = 密码中非字母数字字符的最小数目。 minlenminlen = = 密码中字符的最小数目。（最小值为 1，因为密码不能为空字符串） maxlenmaxlen = = 密码中字符的最大数目。 组合检查算法根据下列规则验证密码中的字符是否处于有效范围： 不允许出现负值。如果指定了负值，服务器将记录警告并忽略该值。 如果 minalpha 和 minother 相加大于 maxlen，则 maxlen 的值设为 minalpha + minother。 minlen 的最小值为 1（密码不能为空字符串）。如果未指定 minlen 的 值或指定为 0，则该值设为 1。在这种情况下不会记录警告。 maxlen 必须大于或等于 minlen。如果 minlen 大于 maxlen，则 maxlen 设为 minlen 的值。 mindiff、maxrepeats、minalpha、minother 或 maxlen 的值设为 0 表 示不会检查该规则。 使用期限规则这些规则用于指定更改密码的频率。支持下列规则： minageminage = = 在可以更改密码之前，该密码必须存在的最短时间。该值以秒为单位。 其值必须是大于或等于零的整数。如果未指定该值或值为 0，则不应用 该规则。如果值为负数，则忽略该值，并且由 kadmind 服务器记录一个 警告。 注意注意：如果管理员使用 change_password kadmin 命令来更改密码，则 忽略 minage 检查。重用（或历史）规则使用此规则指定在某个密码可以重用之前，必须使用的其他密码的数目。支持 下列规则： histsizehistsize = = 在可以重用前一个密码之前，密码更改必须发生的特定次数。histsize 的有效值为 1 至 10。如果未指定或传递该值，则该值设为 1。但是， 如果传递了大于 10 的值，则该值设为 10 并附带警告。 字典规则使用字典规则可以指定在密码验证过程中使用的单词列表（作为字典文件）。 支持下列规则： dictlistdictlist = = 包含不能用作密码的单词的字典文件列表。 字典文件具有与 AIX 字典文件相同的格式： 每行包含一个单词。 每个单词从第一列开始，并以新行字符结束。 不会删除内嵌、前导和末尾的空格。 字典文件必须位于正在运行 kadmind 的计算机上，或位于可通过显式路径访问 的远程加载的文件系统中。必须使用绝对路径来指定字典文件。注意注意： 如果主 KDC 和 kadmind 迁移到新计算机，则必须转移字典文件。 如果取消 IBM NAS 的配置，则可能需要手动删除系统中的任何字典文件。如果 kadmind 无法找到指定的字典文件，则会记录关于缺少文件的警告， 但用户仍然可以更改其密码。不会检查缺少的字典文件。 回页首规则管理有关有关 IBMIBM NASNAS 管理服务器的更多信息管理服务器的更多信息有关 kadmind 服务器、kadmin defaulting to no policy. Note that policy may be overridden byACL restrictions. Unable to create principal “vipinTEST“.StatusStatus 0x29c25180x29c2518 - - PasswordPassword isis eithereither inin thethe passwordpassword dictionarydictionary oror isis thethe samesame asas thethe principalprincipal oror realmrealm name.name. kadmin.local: q因此，我们的字典文件已生效并且工作正常！ 密码规则：如何应用？启用增强密码强度功能时，可能存在将密码规则的多个实例应用于某个主体的 情况。在这种情况下，将应用最严格的规则。根据下表执行最严格的规则： 表表 1.1. 合并规则合并规则 规则规则最严格值最严格值mindiffmindiff最大值maxrepeatsmaxrepeats最小值minalphaminalpha最大值minotherminother最大值minlenminlen最大值maxlenmaxlen最小值minageminage最大值histsizehistsize最大值如果在领域、策略和主体级别上为主体提供了多个字典文件列表，那么在密码 验证过程中将连接所有列表并进行查询。正如我们所了解的，只有在 /var/krb5/krb5kdc/kdc.conf 文件中指定了 “password_rule”文件时才会激活增强密码强度功能，基于主体是否拥有策略 和 password_rule 文件是否被激活来确定是否对密码进行验证。下表总结了所 有可能情况： 表表 2.2. 密码验证规则密码验证规则 主体是主体是 否拥有否拥有 策略？策略？是否激活了是否激活了 password_rulespassword_rules 文文 件？件？密码验证规则密码验证规则否否不执行密码强度检查。不检查字典文件。否是检查 password_rules 文件