password-policy
在 Jasig CAS 中更改哈希密码算法
我配置了 Jasig CAS 以从 LDAP 验证用户。现在,我想更改我的哈希密码算法。在 CAS 配置中,我应该在哪里配置它? 我使用 Jasig CAS 3.5.2 和 OpenLDAP Server。 谢谢 ...
password-policy
password-policy
用户无法更改密码 - Active Directory 组策略
我见过这个问题,但似乎没有合适的答案。当用户尝试使用 control-alt-delete -> 更改密码来更改密码时,他们会收到“无法更新密码。提供的新密码值不符合域的长度、复杂性或历史要求。”我们甚至尝试过非常长的复杂字符串作为测试,这也会生成错误消息。 在 AD U&C 中,我可以强制在下次登录时更改帐户密码,这可以成功完成。 适用的安全设置在默认域策略 GPO 中应用于域级别。当我运行gpupdate /force然后在其中一个工作站上查看 RSOP 时,我可以看到以下设置(与 GPO 一致): 强制密码历史记录:记住 2 个密码 最大...
password-policy
OpenLDAP 组织单位的 pwdPolicySubentry
您能否为组织单位设置 pwdPolicySubentry,以便该组织单位中包含的所有条目都遵循该密码策略? ...
password-policy
PuTTY 密钥需要多长(即 PuTTY 如何加密私钥)
我想知道 PuTTY 密码的最小密码长度是多少。这取决于密码需要的熵值,而熵值又取决于一次尝试所需的长度,而长度又取决于用于加密私钥的算法。 假设 PBKDF2 的设置速度足够慢,仅 6 个随机字母数字字符的熵就接近 36 位,需要很长时间才能进行暴力破解。但如果加密很简单,每秒可能尝试数十亿次(或并行数万亿次)尝试,我希望至少有 64 位熵 - 至少 11 个字符。 那么到底是哪一个 - PuTTY 是否使用像 PBKDF2/bcrypt/scrypt/whatever 那样好用又慢的东西,或者我是否需要担心确保密码阶段很长? ...
password-policy
如何在 LUKS FDE(Ubuntu 22)上实施自定义密码策略?
我需要为 Ubuntu 22 上的 LUKS FDE 实施强自定义密码策略。 我已通过修改在用户帐户级别成功实施了它/etc/pam.d/common-password。但是,当通过更改 LUKS 密码时,此文件中的限制不会应用cryptsetup。cryptsetup似乎完全忽略了这个文件,而且我找不到任何关于将自定义密码要求具体应用于 LUKS 的信息。 有什么方法可以实现这个吗?这可能是一个小众问题,但对于我的组织来说这是一个硬性要求。 编辑:修改/etc/security/pwquality.conf似乎也不起作用,至少不能单独起作用——在更改 ro...
password-policy
不同网站的错误密码计数
如果用户在不同的 DC(站点)尝试了错误的密码,为什么在达到阈值错误密码计数后就会发生锁定? 账户锁定阈值为3 例如我有 3 个站点 - 站点 A、B、C 如果用户在站点 A 输入了错误的密码,然后同一个用户尝试在站点 B 使用错误的凭据登录,然后又在站点 C 中使用相同的凭据登录,现在该帐户将被锁定,该怎么办? ...
password-policy
OpenLDAP 到 389-DS:我可以有“命名密码策略”吗?
我试图了解 389-DS 中的“密码策略”与 OpenLDAP 2.4 相比如何工作: 在 OpenLDAP 2.4 中,我可以定义多个“命名”密码策略条目,并将它们分配给用户条目。例如,我有一个策略“交互式用户”(个性化)和一个策略“系统用户”(共享帐户),两者都具有不同的设置。 在 389-DS 中(尽管整个概念看起来很不一样)我只能有两个选择: 定义一个全球的适用于每个用户的政策 定义每个用户个人属性 因此,当我想验证用户是否有特定策略时,这项工作会非常繁重。更新策略时也是如此。 那么我的理解正确吗?即使在 389-DS 中,我也想定义和使用“命名...
password-policy
域控制器上某个 OU 的最大机器帐户密码使用期限是否可以设置不同
在我的组织中,当我们配置计算机时,其中一个步骤是加入我们的域。通常,我们会根据需要一次配置一台 PC。我想摆脱这种习惯,开始配置 PC 组,因为它们每年购买一两次。这样做的问题是,这些机器将闲置数月而无人使用,最终会失去域信任关系和主机名。 我的问题是,我们能否在域控制器上创建一个容器,该容器没有任何定义的计算机密码更改要求。然后,当我们为用户设置 PC 并将其移动到我称之为工作容器,该设备会获取为我们环境中的所有其他计算机设置的机器帐户密码策略吗? ...
password-policy
密码不符合密码策略要求
当我尝试重置现有用户密码/为新用户创建密码时,我不断收到“密码不符合密码策略要求”消息。 我以域管理员身份登录 Windows Server 2016 服务器。 我在默认域策略 GPO 上禁用了密码复杂性要求(我也尝试了“未定义”)。运行 gpupdate /force。 ...
password-policy
Ansible:如何仅为新创建的用户运行后续任务?
我们组织中的用户创建策略是在首次登录时强制更改密码并使用 SSH 密钥进行远程连接;密码仅用于sudo本地运行或登录。 为了强制更改密码,我们通常运行chage -d 0 <username>。因此,我需要在 Ansible 中运行它,但是仅有的如果它只是在前一个任务中的同一个剧本中创建了用户。 我使用模块创建用户ansible.builtin.user。我的计划是将其输出注册到变量中,然后我想运行shell模块,但需要满足一些条件,并且我需要确定精确的条件。 我目前的策略是: - hosts: hosts vars_files: - u...
password-policy
Nextcloud 忽略 openLDAP 密码策略
我有一个连接到 openLDAP 服务器的 NextCloud 服务器。所有用户都可以更改密码,密码必须遵循密码策略。对于只有 NextCloud 帐户的用户,这在 NextCloud 中的设置下可以正常工作。但是,大多数用户都有一个 openLDAP 帐户。我遵循了此操作方法 https://kifarunix.com/implement-openldap-password-policies/ 在 openLDAP 中设置密码策略。在 LDAP 服务器本身上它可以工作(例如至少 10 个字符)。但是,您可以输入任何密码并通过 NextCloud 更改它。在...
password-policy
帐户锁定策略-当用户第三次尝试使用错误密码登录,第四次使用正确的密码时会发生什么?
有问题的密码设置属性: 登录尝试失败次数值设置为 4。 重置失败登录尝试计数器,重置为 1 分钟后 设想: 当用户三次使用错误密码登录,第四次使用正确密码时,一分钟内,系统锁定,并再次尝试输入错误密码。 在上述情况下,帐户会被锁定还是会重置计数器? ...
password-policy
PAM 模块配置,Debian 中的 ssh 失败
我想为 Debian VM 上的用户设置密码策略,例如密码所需的最小长度和特殊字符。 在我的 Debian VM 中我收到一个错误,无法再次通过 SSH 登录到该机器。 操作系统版本:Debian Bullseye 11 内核版本:Linux 5.10.0-9-amd64 x86_64 修改配置文件 /etc/pam.d/common-password 从以下行开始: # here are the per-package modules (the "Primary" block) password [success=1 default=igno...
password-policy
细粒度密码策略未生效 - 必须等待下次密码更改吗?
我设置了细粒度密码策略,其最大密码使用期限为 180 天,以及其他与现有密码策略类似的设置。 我将优先级数字设置为较低的数字,并将其应用于安全组。运行 powershell 命令的结果仍然显示与默认域策略密码规则匹配的密码过期。 PS C:\Windows\system32> Get-ADDomain | fl Name,DomainMode Name : contoso DomainMode : Windows2008R2Domain 我的 FGPP 政策: AppliesTo : {CN=Pas...