Использование задачи ADMINP для установки проверки пароля при аутентификации
Возможность проверки пароля при аутентификации поддерживается только серверами и станциями версии не ниже 4.5. Для того чтобы сервер выполнял проверку пароля, в документе Server в секции Security должна быть выбрана опция Check Password. Сервер версии ниже 4.5 не выполняет проверку пароля, даже если вы выберите опция Check Password в его документе Server. Проверка выполняется не для всех пользователей, а только для тех, для которых она разрешена в документе Person. Чтобы проверка могла выполняться, необходимо, чтобы станция пользователя была версии не ниже 4.5. Если пользователь, для которого была разрешена проверка пароля, пытается осуществить доступ к серверу версии не ниже 4.5 со станции версии ниже 4.5, его аутентификация кончается неуспехом, и он не получает доступа к серверу.
Если проверка пароля при аутентификации разрешена, пользователь получит доступ к серверу только в том случае, если пароль, содержащийся в его ID-файле, совпадает с паролем, который "помнит" сервер. Поэтому в ситуации, когда ID-файл пользователя и его пароль стали доступны "злоумышленникам", пользователю достаточно сменить пароль в своем ID-файле и обратиться к администратору.
Администратор либо разрешает серверам выполнять для этого пользователя проверку пароля, либо, если это уже разрешено, "очищает" в документе Person пользователя поле, в котором хранится старый пароль. В результате при первом обращении пользователя к одному из серверов, поддерживающих проверку пароля, новый пароль пользователя в зашифрованной форме будет передан станцией пользователя этому серверу и помещен в документ Person пользователя. Если "злоумышленник" успеет проделать это раньше законного пользователя, администратору придется снова "очистить" в документе Person поле, в котором хранится пароль, а пользователю - повторить попытку обращения к серверу.
Разрешение выполнять для пользователя процедуру проверки пароля при аутентификации администратор "дает" из вида People общей адресной книги. В виде отмечаются документы Person необходимых пользователей, затем в меню выбирается Actions - Set Password Fields. В появившемся окне в поле с меткой Check password:
выбирается Check password ("проверять пароль"). Альтернативы: Don't check password - отменить проверку, Lockout ID - "заблокировать ID-файл" ( тогда процедура аутентификации для пользователя без всяких условий будет оканчиваться неуспешно).
Рис. 8.27 Выбор проверки пароля для пользователя
Дополнительно могут быть заполнены поля
· Required change interval: - количество дней, спустя которое серверы начинают предлагать пользователю изменить пароль в его ID-файле, причем значение 0 "запрещает" серверам "вынуждать" пользователя периодически изменять пароль;
· Grace period: - количество дней, в течении которых серверы "предлагают" пользователю изменить пароль, но все еще предоставляет пользователю доступ, "снисходительно наблюдая" за его отказами, прежде чем лишают "упрямого" пользователя права доступа.
После нажатия кнопки Ok в базе данных Administration Requests создается документ-запрос Set Password
Information. Запрос репликациями достигает сервера администрирования адресной книги. Задача Adminp этого сервера выполняет запрос, внося соответствующие изменения в поля Check password:, Required change interval: и Grace period: документа Person пользователя. Модифицированный документ Person репликациями поступает в адресные книги других серверов домена. При попытке пользователя зарегистрироваться на сервере, для которого разрешена проверка пароля, станция сообщает серверу зашифрованный пароль, а сервер создает в базе данных Administration Requests новый документ-запрос Change User Password in Address Book. Запрос репликациями достигает сервера администрирования адресной книги. Задача Adminp этого сервера выполняет запрос, внося соответствующие изменения в поле Password digest: документа Person пользователя. Модифицированный документ Person репликациями поступает в адресные книги других серверов домена.
Рис. 8.28 Секция из документа Person, содержащая поля, относящиеся к проверке пароля при аутентификации
После этого все серверы, на которых разрешена проверка пароля, в ходе аутентификации пользователя сравнивают пароль его ID-файла (он передается серверу станцией в зашифрованной форме) со значением из документа Person. Аутентификация завершается успехом только при совпадении паролей. Попытка получить доступ к серверу под ID-файлом с другим паролем заканчивается получение сообщения "You have a different password on another copy of your ID file and you must change the password on this copy to match".
Кроме того, если требуется, серверы "вынуждают" пользователя периодически менять его пароль, не допуская при этом повторения ранее использованных паролей (хранятся до 50 прежних паролей).
