口令策略对象可公开查阅,以便应用程序检查口令是否遵从。 这意味着未鉴定用户可查询 Identity Vault 并找出就绪的口令策略。 如果口令策略要求用户创建高强度口令,此操作不应该会带来风险,详见《口令管理管理员指南》中的“创建强口令策略”。
Identity Manager 口令同步允许您简化用户口令并减少服务台成本。 双向口令同步允许您以多种方式在 eDirectory 和已连接系统间共享口令,详见部分 5.8, 实施口令同步中的方案。
使用通用口令和口令策略允许您强制用户采用高强度口令要求。 使用口令策略中的高级口令规则,以遵循业界的最佳口令实践。
例如,可要求用户口令遵循以下规则:
可以防止用户重新使用口令,并控制系统要储存在历史表中的口令数量以进行比较
要求较长的口令是使口令强度更高的最好方法之一。
要求口令中至少有一个数字字符,以帮助防止“字典攻击”(入侵者使用字典中的词尝试登录)。
可以排除您认为存在安全性风险的词(例如,公司名称或位置,或词测试或管理)。 尽管并非要将整部字典导入排除列表中,排除的词的列表也会很长。切记,冗长的排除列表会使用户登录变慢。 防止字典攻击的更好方法可能是要求使用数字或特殊字符。
切记,只要在树的不同部分中存在不同的口令要求,您就可以创建多个口令策略。 可以将一个口令指派给整个树、分区根树枝、树枝甚至单个用户。 (为了简化管理,建议您尽量在树的高处指派口令策略。)
另外,可以使用入侵者锁定。 总之,此 eDirectory 功能允许您指定锁定帐户前允许进行的登录尝试失败的次数。 此设置位于父树枝上而不是口令策略中。 请参见 Novell eDirectory 8.7.3 管理指南 中的 “管理用户帐户”。