cs:7.3:adm:password_policy

Politiky hesel

Politika hesel určuje uživatelům nebo systému CzechIdM, jaká pravidla musí splňovat hesla, která jsou nastavována do spravovaných systémů nebo samotného CzechIdM.

Novou politiku pro hesla vytvoříme na záložce Nastavení → Politiky hesel. Zde je v pravé tabulce seznam všech vytvořených politik. Novou politiku vytvoříme tak, že klikneme na zelené tlačítku přidat.

Máme možnost vyplnit následující základní atributy politiky hesel

  • Typ – CzechIdM umožňuje definovat 2 typy politik pro hesla používaná uživateli v CzechIdM a napojených systémech.
    • Validační – Tento typ politiky je použit pokud je nastavováno nebo měněno heslo v CzechIdM nebo do spravovaného systému, který nastavení hesla podporuje. Validace je provedena ve chvíli, kdy uživatel do GUI CzechIdM heslo zadá a odešle změnu hesla.
    • Generování – Tato politika je uplatněna, pokud uživatel nastavuje či mění heslo pomocí generátoru hesel v CzechIdM. Neboli nechá CzechIdM heslo vygenerovat podle této politiky.
  • Jméno – naše pojmenování politiky. Toto pojmenování je zobrazováno v nastavení systémů, kde chceme politiku aplikovat.
  • Neaktivní – Neaktivní politika není nabízena v konfiguraci systému.
  • Standardní politika - Standardní politika je použita pro validaci hesel proti systému CzechIdM a zároveň validuje všechna hesla na systémech, kde není určena jiná politika.
  • Popis – náš volitelný popis politiky. Bývá vhodné v něm shrnout základní pravidla politiky.
  • Minimální délka – určuje minimální počet znaků pro heslo
  • Maximální délka - určuje maximální počet znaků pro heslo
  • Minimum velkých znaků – určuje počet velkých písmen, která musí heslo obsahovat. Sada znaků je definována na záložce Znaky.
  • Minimum malých znaků – určuje počet malých písmen, která musí heslo obsahovat. Sada znaků je definována na záložce Znaky.
  • Minimum čísel – určuje počet čísel, která musí heslo obsahovat. Sada znaků je definována na záložce Znaky.
  • Minimum speciálních znaků – Sada znaků je definována na záložce Znaky.
  • Maximální doba pro změnu hesla – Počet dní platnosti hesla. Tento atribut má především význam u Standardní politiky, která se aplikuje pro CzechIdM.
  • Minimální doba pro změnu hesla – Počet dní zákazu změny hesla.

Kliknutím na Uložit a pokračovat můžeme politiku uložit, případně můžeme nastavit pokročilé možnosti v menu formuláře Rozšířená kontrola, kde můžeme nastavit následující volby:

  • Rozšířená kontrola – zapíná celý formulář pro rozšířenou kontrolu
  • Povinné – obsahuje sadu 5 checkboxů. Každý zaškrtnutý checkbox musí být vždy splněn. Není-li některá volba zaškrtnuta, pak je tato položka započítána do následujícího bodu
  • Minimum pravidel pro splnění politiky – Pokud je definováno nějaké číslo, pak musí být splněno alespoň tolik pravidel, které nebyly v minulém bodě označeny jako povinné. Například odškrtneme-li všech 5 checkboxů povinné a do tohoto pole vyplníme hodnotu 4, pak heslo musí splňovat alespoň 4 pravidla z 5.
  • Atributy identity pro kontrolu – V tomto poli lze vybrat atributy uživatele, které budou kontrolovány na podobnost s heslem. Nastavíme-li například atribut uživatelské jméno,pak heslo uživatele nesmí obsahovat jeho login.

Na záložce Znaky jsou sady znaků pro jednotlivé skupiny – malé znaky, velké znaky, číslice, speciální znaky.

Navíc zde lze nastavit, jaké znaky budou v politice zakázané. Toto má význam především pro politiky generování hesel. Automaticky generovaná hesla bývají často také posílána pomocí sms a jejich zobrazení může uživatele mást pro určité skupiny znaků. Například podobná jsou ‚I‘a ‚l‘ nebo ‚,‘ a ‚.‘. Dále je někdy vhodné pro generování zakázat znaky ‚y‘ a ‚z‘kvůli různému rozložení klávesnice uživatelů.

Na poslední záložce Navázané systémy je vidět seznam systémů, kde je tato politika aktuálně nastavena. Pozor, má-li politika nastaveno, že je Standardní politika,pak je uplatněna všude tam, kde systém nemá žádnou jinou politiku. Tzn. tento seznam může být prázdný a přesto je politika u některých systémů uplatňována.

V minulé kapitole jsme si představili, jak připravil politiku hesel. Pokud jsme politiku označili jako Standardní politika, pak je tato politika již nyní aktivní jak pro CzechIdM, tak pro každý ze spravovaných systémů, kde zatím politika vybrána není.

fig:V opačném případě je třeba politiku k systému nastavit. To provádíme v detailu toho kterého systému. Do detailu se dostaneme přes menu Napojené systémy → detail systémy (lupa) → Základní informace, zde můžeme zvolit politiky hesel.