在IBM Network Authentication Service for AIX中增强密码强度

发布时间：2016-08-09 16:42:46 所属栏目：Unix 来源：站长网

导读：了解如何使用 IBM Network Authentication Service (IBM Kerberos) for AIX 增强 Kerberos 用户的密码引言 Kerberos主体密码是用来解锁密钥分发中心 (KDC)服务

副标题[/!--empirenews.page--]

了解如何使用 IBM Network Authentication Service (IBM Kerberos) for AIX 增强 Kerberos 用户的密码

引言

Kerberos主体密码是用来解锁密钥分发中心 (KDC)服务器应答的密钥，因此，如果该密码发生泄露，就没有其他方法来核实主体的真实性。因而，管理员必须选择非常难于破解的密码，以免被他人破解而影响系统的安全性。

您还可以建议最终用户提高密码的强度，并通知其密码策略相关内容。这是一种源自外部的保护，但是，还需要通过内部机制来强制最终用户选择强密码，为此，IBM Network Authentication Service (NAS) for AIX 提供了增强密码强度功能。

IBM NAS管理服务器 (kadmind) 提供了增强密码强度检查工具。Kadmind服务器负责检查和验证主体的密码。服务器可以根据分配给主体的密码策略（请参阅参考资料部分以阅读有关 Kerberos 密码策略管理的 developerWorks 文章）和在规则配置文件中指定的密码规则来验证密码。

激活增强密码强度功能

为了激活IBM NAS 中的增强密码强度功能，管理员需要在密钥分发中心 (KDC) 配置文件 '/var/krb5/krb5kdc/kdc.conf' 中指定规则配置文件的位置。需要使用配置文件 [realm] 节中的 ‘password_rules’ 关系来指定规则配置文件的位置，如下所示：

[kdcdefaults] 　　　　kdc_ports = 88 [realms] 　　　　TEST =　{ 　　　　　　　　database_name = /var/krb5/krb5kdc/principal 　　　　　　　　admin_keytab = /var/krb5/krb5kdc/kadm5.keytab 　　　　　　　　acl_file = /var/krb5/krb5kdc/kadm5.acl 　　　　　　　　dict_file = /var/krb5/krb5kdc/kadm5.dict 　　　　　　　　key_stash_file = /var/krb5/krb5kdc/.k5.TEST 　　　　　　　　kadmind_port = 749 　　　　　　　　kdc_ports = 88 　　　　　　　　max_life = 24h 0m 0s 　　　　　　　　max_renewable_life = 7d 0h 0m 0s 　　　　　　　　master_key_type = des3-cbc-sha1 　　　　　　　　supported_enctypes = des3-cbc-sha1:normal arcfour-hmac:normal 　　　　　　　　 aes256-cts:normal des-cbc-md5:normal des-cbc-crc:normal 　　　　　　　　password_rules = /var/krb5/krb5kdc/password_rules.conf 　　　　}

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

1/6

尾页