Политика безопасности учетных записей
ВЦОД по умолчанию обладает базовыми параметрами механизмов безопасности платформы. Настройки безопасности разделены между обычными и привилегированными пользователями.
Примечание
Параметры политики безопасности учетных записей устанавливаются в рамках текущего ВЦОД. В данном случае — это ВЦОД управления
Команды управления базовыми параметрами механизмов безопасности
-
Чтобы посмотреть текущие параметры политики безопасности учетных записей ВЦОД, введите в командной строке
Описание параметров приведено в разделах Параметры безопасности ВЦОД для обычного пользователя и Параметры безопасности ВЦОД для привилегированного пользователя.
-
Чтобы изменить параметры, введите
Параметры безопасности ВЦОД для обычного пользователя
Таблица — Описание параметров ВЦОД для обычного пользователя.
| Параметр ВЦОД | Описание |
|---|---|
acc_block_try_cnt |
Количество попыток ввода некорректного логина и пароля. По умолчанию — 4. Допустимые значения — целочисленные. Диапазон от 0 до 30, где 0 — отключение проверки. Установка параметра = 0 отключает проверку счетчика попыток аутентификации, а также отключает проверки параметров acc_block_try_suspend_sec и acc_block_try_timeout_sec |
acc_block_try_suspend_sec |
Время блокировки аккаунта при превышении лимита неверных попыток ввода логина и пароля. По умолчанию — 3600 (1 ч). Допустимые значения — целочисленные. Диапазон 0, далее от 60 c (1 мин) до 86 400 c (1 сутки) |
acc_block_try_timeout_sec |
Интервал времени, в течение которого учитываются неудачные попытки входа для блокировки аккаунта. По умолчанию — 300 (5 мин)*. Допустимые значения — целочисленные |
acc_block_unused_days |
Количество неактивных дней после которого пользователь будет заблокирован. По умолчанию — 45 дней. Допустимые значения — целочисленные. Диапазон 0, далее от 10 до 365, где 0 – отключение проверки |
acc_delete_days |
Количество дней после удаления пользователя, по истечении которых вся информация о нем будет окончательно удалена из системы. По умолчанию — 1095 дней |
auth_type |
Тип аутентификации. Возможные значения: • BASIC — логин и пароль (значение по умолчанию), • TFA — двухфакторная аутентификация |
cert |
Использование сертификата при аутентификации. Возможные значения: • no — не использовать (значение по умолчанию), • yes — использовать |
ldap |
Имя конфигурации LDAP, подключаемого к Sharx Base |
ldap_sync |
Включение синхронизации с LDAP-сервером. Возможные значения: • no — синхронизация выключена (значение по умолчанию), • yes — синхронизация включена |
nesting_path_limit |
Лимит вложенности ВЦОД. По умолчанию — 3 |
notif_route |
Установленный маршрут для уведомлений. По умолчанию — null. См. Маршрут отправки уведомлений |
ns_owner_access |
Разрешение входа во ВЦОД Администратору кластера. Возможные значения: • yes — разрешен (значение по умолчанию), • no — не разрешен |
otp_code_live_period_years |
Срок действия OTP-ключа, выраженный в годах. Возможные значения — любое положительное целое число. По умолчанию — 3 года |
password_diff_cnt |
Минимальное количество различных (неповторяющихся) символов, которое должно содержаться в пароле пользователя. По умолчанию — 4. Допустимые значения — целочисленные. Диапазон от 0 до 20, где 0 — отключение проверки. При установке значения 0 также отключается проверка password_min_exp_days |
password_exp_days |
Срок действия пароля. По умолчанию — 60 дней. 0 — отключение проверки |
password_min_change |
Минимальное количество символов, которое надо изменить при замене пароля. По умолчанию — 4 |
password_min_exp_days |
Минимальный срок, который должен пройти после установки пароля, прежде чем его можно будет сменить. По умолчанию — 1 день |
password_pattern |
Сложность пароля Минимум 8 символов, включающих прописные буквы, строчные буквы, цифры, специальные знаки |
require_generated_password_change |
Определяет, требуется ли пользователю сменить автоматически сгенерированный пароль при первом входе во ВЦОД. Возможные значения: • no — не требуется (значение по умолчанию), • yes — требуется сменить пароль |
sessions_max_cnt |
Максимальное количество сессий пользователя. По умолчанию — 2. Допустимые значения — целочисленные. Диапазон от 0 до 10, где 0 — отключение проверки |
sessions_timeout_sec |
Время отключения сессии при бездействии. По умолчанию — 180 с (3 мин). Допустимые значения — целочисленные. Диапазон 0, далее от 180 с (3 мин) до 43 200 с (12 ч), где 0 — отключение проверки |
sessions_multi_origin |
Определяет, разрешено ли создание нескольких параллельных сессий для одного пользователя с разных IP-адресов. Возможные значения: • yes — разрешено (значение по умолчанию), • no — запрещено. Примечание: При смене значения с yes на no уже существующие сессии с разными IP-адресами не будут автоматически разорваны |
tfa_client |
Клиент для двухфакторной аутентификации. По умолчанию — OTP |
tfa_wait_sec |
Таймаут для двухфакторной аутентификации По умолчанию — 60 с |
validation_ip |
Проверка IP-адреса пользователя. Возможные значения: • no — выключена (значение по умолчанию), • yes — включена |
whitelist_networks |
Список белых адресов, с которых можно подключаться к Sharx Base |
Параметры ВЦОД для привилегированного пользователя
Чтобы разделить настройки безопасности между обычными и привилегированными пользователями, в параметры ВЦОД входят аналогичные поля с постфиксом _privileged.
Таблица — Описание параметров ВЦОД для привилегированного пользователя.
| Параметр ВЦОД | Описание |
|---|---|
acc_block_try_cnt_privileged |
Количество попыток ввода некорректного логина и пароля. По умолчанию — 4. Допустимые значения — целочисленные. Диапазон от 0 до 30, где 0 — отключение проверки. Установка параметра = 0 отключает проверку счетчика попыток аутентификации, а также отключает проверки параметров acc_block_try_suspend_sec_privileged и acc_block_try_timeout_sec_privileged |
acc_block_try_suspend_sec_privileged |
Время блокировки аккаунта при превышении лимита неверных попыток ввода логина и пароля. По умолчанию — 3600 (1 ч). Допустимые значения — целочисленные. Диапазон 0, далее от 60 c (1 мин) до 86 400 c (1 сутки) |
acc_block_try_timeout_sec_privileged |
Интервал времени, в течение которого учитываются неудачные попытки входа для блокировки аккаунта. По умолчанию — 300 (5 мин)*. Допустимые значения — целочисленные |
acc_block_unused_days_privileged |
Количество неактивных дней после которого пользователь будет заблокирован. По умолчанию — 45 дней. Допустимые значения — целочисленные. Диапазон 0, далее от 10 до 365, где 0 – отключение проверки |
auth_type_privileged |
Тип аутентификации. Возможные значения: • BASIC — логин и пароль (значение по умолчанию), • TFA — двухфакторная аутентификация |
cert_privileged |
Использование сертификата при аутентификации. Возможные значения: • no — не использовать (значение по умолчанию), • yes — использовать |
password_diff_cnt_privileged |
Минимальное количество различных (неповторяющихся) символов, которое должно содержаться в пароле пользователя. По умолчанию — 4. Допустимые значения — целочисленные. Диапазон от 0 до 20, где 0 — отключение проверки. При установке значения 0 также отключается проверка password_min_exp_days_privileged |
password_exp_days_privileged |
Срок действия пароля. По умолчанию — 60 дней. 0 — отключение проверки |
password_min_change_privileged |
Минимальное количество символов, которое надо изменить при замене пароля. По умолчанию — 4 |
password_min_exp_days_privileged |
Минимальный срок, который должен пройти после установки пароля, прежде чем его можно будет сменить. По умолчанию — 1 день |
password_pattern_privileged |
Сложность пароля Минимум 8 символов, включающих прописные буквы, строчные буквы, цифры, специальные знаки |
sessions_max_cnt_privileged |
Максимальное количество сессий пользователя. По умолчанию — 2. Допустимые значения — целочисленные. Диапазон от 0 до 10, где 0 — отключение проверки |
sessions_timeout_sec_privileged |
Время отключения сессии при бездействии. По умолчанию — 180 с (3 мин). Допустимые значения — целочисленные. Диапазон 0, далее от 180 с (3 мин) до 43 200 с (12 ч), где 0 — отключение проверки |
Термины и определения содержатся в статьях: