Глава 30. Парольные политики

⁠Глава 30. Парольные политики

30.1.1. Командная строка
30.1.2. Веб-интерфейс

Парольная политика определяет требования, которым должны соответствовать пароли пользователей FreeIPA.

Таблица 30.1. Атрибуты политики паролей

Параметр	Описание	Пример
Максимальный срок действия (`--maxlife`)	Максимальный срок действия пароля в днях. Значение по умолчанию — 90 дней. Если задано значение 0, срок действия пароля не ограничен	`--maxlife=180`
Минимальный срок действия (`--minlife`)	Минимальный интервал между двумя операциями смены пароля (в часах)	`--minlife=1`
Размер журнала (`--history`)	Количество предыдущих паролей, которые нельзя повторно использовать. Если задано значение 0, пользователи могут повторно использовать любой из своих предыдущих паролей	`--history=0`
Классы символов (`--minclasses`)	Минимальное количество различных классов символов в пароле. Значение по умолчанию — 0. Классы символов: Заглавные латинские буквы Строчные латинские буквы Цифры Специальные символы, такие как запятая (,), точка (.), звездочка () Другие символы UTF-8 Повтор одного символа три и более раз подряд уменьшает эффективное количество классов на 1. Пример: `Pa55word`* — 3 класса символов (заглавные, строчные, цифры); `Pa555word` — 2 класса символов (3 − 1 за повторное использование цифры 5).	`--minclasses=0`
Минимальная длина (`--minlength`)	Минимальная длина пароля. Если заданы другие параметры политики, минимальная длина автоматически устанавливается в 6 символов	`--minlength=8`
Максимальное количество ошибок (`--maxfail`)	Число неудачных попыток входа до блокировки учётной записи	`--maxfail=6` (учётная запись будет заблокирована, если пользователь введёт неправильный пароль 7 раз подряд)
Интервал сброса ошибок (`--failinterval`)	Время (в секундах), после которого счётчик неудачных попыток сбрасывается	`--failinterval=60`
Длительность блокировки (`--lockouttime`)	Время (в секундах), на которое блокируется учётная запись после превышения лимита ошибок	`--lockouttime=600`

В FreeIPA существует глобальная политика (global_policy), которая применяется ко всем пользователям, не охваченным групповыми политиками. Можно также создать дополнительные групповые политики паролей. Для каждого пользователя действует только одна политика — либо групповая, либо глобальная.

Если пользователю назначено несколько политик паролей, приоритет будет иметь политика в соответствии со следующими правилами:

Групповые политики имеют числовой приоритет (чем меньше значение, тем выше приоритет). Минимальное поддерживаемое значение — 0.
Если пользователь входит в несколько групп с политиками, применяется политика с наименьшим значением приоритета. Все правила, определенные в других политиках, игнорируются.
Глобальная политика не имеет приоритета и используется только как резервная.

Примечание

Если в групповой политике не задан какой-либо параметр (например, --maxlife), он не наследуется из глобальной политики — поведение по умолчанию определяется самой службой (обычно используется значение из глобальной политики, но это не гарантируется явно).

Примечание

Узнать, какая политика применяется к пользователю можно, выполнив команду:

$ ipa pwpolicy-show --user=kim
  Группа: global_policy
  Максимальный срок действия (в днях): 90
  Минимальный срок действия (в часах): 1
  Размер журнала : 0
  Классы символов: 0
  Минимальная длина: 8
  Максимальное количество ошибок: 6
  Интервал сброса ошибок: 60
  Длительность блокировки: 600
  Grace login limit: -1

⁠30.1. Настройка парольных политик

⁠30.1.1. Командная строка

Создать новую парольную политику для группы (потребуется указать группу пользователей и приоритет):

$ ipa pwpolicy-add
Группа: ipausers
Приоритет: 5
  Группа: ipausers
  Приоритет: 5
  Grace login limit: -1

Просмотреть парольные политики:

$ ipa pwpolicy-find
  Группа: ipausers
  Приоритет: 5
  Grace login limit: -1

  Группа: global_policy
  Максимальный срок действия (в днях): 90
  Минимальный срок действия (в часах): 1
  Размер журнала : 0
  Классы символов: 0
  Минимальная длина: 8
  Максимальное количество ошибок: 6
  Интервал сброса ошибок: 60
  Длительность блокировки: 600
  Grace login limit: -1
---------------------------------
Количество возвращённых записей 2
---------------------------------

Создать парольную политику для группы с указанием дополнительных параметров:

$ ipa pwpolicy-add --maxlife=30 --minlength=10 --maxfail=3 --priority=2 managers
  Группа: managers
  Максимальный срок действия (в днях): 30
  Минимальная длина: 10
  Приоритет: 2
  Максимальное количество ошибок: 3
  Grace login limit: -1

Изменить политику (например, установить минимальный срок в 24 часа для группы ipausers):

$ ipa pwpolicy-mod --minlife=24 ipausers
  Группа: ipausers
  Минимальный срок действия (в часах): 24
  Приоритет: 5
  Grace login limit: -1

Примечание

Если не указать имя группы, команда изменит глобальную политику global_policy.

⁠30.1.2. Веб-интерфейс

Добавление новой парольной политики:

Открыть в веб-браузере адрес https://ipa.example.test/ipa/ui/ и ввести данные администратора для входа в систему.
На вкладке Политика → Политики паролей нажать кнопку Добавить.
В открывшемся окне указать группу пользователей, приоритет и нажать кнопку Добавить:
Выбрать созданную парольную политику в списке
Настроить атрибуты политики и нажать кнопку Сохранить: