IA-5(1)(b)をWindows以外のシステムに適用するにはどうすればよいですか?
Windowsシステムでのこの問題 についてすでに質問が投稿されており、Windows以外のシステムについては個別に説明する必要があると考えました。
NIST SP 800-53 Rev. 3)では、IA-5は「オーセンティケーター管理」に対応するコントロールです。このコントロールの要件には、パスワードの長さ、複雑さ、有効期間、履歴の適用などが含まれます。 、およびパスワードの適切な保存/送信。
すべての(低/中/高)システムで選択されるこのコントロールの最初の拡張機能には、次の要件が含まれます。
パスワードベースの認証のための情報システム:
.。
(b)新しいパスワードが作成されると、少なくとも[割り当て:組織が定義した変更された文字数]を適用します。
ほとんどのシステムでは、定期的に変更され、特定の数の古いパスワードと正確に一致しない長くて複雑なパスワードを適用するルールを見つけて構成するのは非常に簡単です。しかし、新しいパスワードごとに一定量の文字を変更する必要があるポリシーをどのように実装しますか?
私が興味を持っているいくつかのシステム(他のシステムに気軽に対処してください):
- Mac OS X
- Linux/Unix(任意/すべてのフレーバー)
- Cisco IOS
私が企業に推奨するアプローチは、これらのシステムをディレクトリサービス(ほとんどの場合Active Directory)と統合することです。このように、パスワードポリシーは単一の場所で設定され、アクセス制御と役割を単一の場所で管理することで他の利点をもたらします。その後、シングルサインオンと2要素認証を提供することもできます。
これを行うためのガイダンス:
- MAC: http://www.seminars.Apple.com/contactme/pdf/L334436B_ActiveDirect_WP.pdf
- Linux Ubuntu: https://help.ubuntu.com/community/ActiveDirectoryHowto
Ciscoの場合IOSただし、TACACS +またはRadiasサーバーはポリシーを一元的に設定するのに最適な場所です。
PAMを使用するのは非常に簡単なので、少なくともLinux/Solaris/FreeBSDをカバーします。とりわけ pam_cracklib モジュールはその機能を提供します。デフォルト設定では、実際には5文字の変更をチェックしますが、difokオプションで構成できます。