Leo Yeh's Blog

SAS 資訊安全 (19)

教學目標

初步了解 SAS 9 平台內部帳號政策相關設定的基本概念。

重點概念

首先在 SAS 9 平台中有分內部帳號和外部帳號,一般我們會設定內部帳號對應外部帳號僅包含使用者 ID 的情況,此時不需要更新中繼資料中的密碼,而對於儲存在 SAS 中繼資料中的任何外部密碼,並且主要由在外部身份驗證提供者進行更新,此外每個身份驗證提供者皆為該帳號提供密碼設定,以及主機帳號的密碼到期策略後該由該主機確定。

接著對於 SAS 內部身份驗證提供者,統一所有 SAS 應用程式的內部認證機制,其主要是參與 SAS 伺服器僅根據存在於中繼資料中的帳號列表,驗證具有特殊後綴 (@saspw) 的使用者 ID,而針對內部身份驗證我們可以設定伺服器策略和每個帳號策略。

再來我們針對內部帳號之初始伺服器策略,主要有五大策略,分別為:

  1. 帳號不會過期,也不會因不活動而暫停。
  2. 密碼必須至少為六個字元,不必包含數字或大小寫,並且不會過期。
  3. 最近使用五個密碼無法重複使用。
  4. 在三次嘗試登錄失敗後,帳戶被鎖定一小時,而管理員可以透過存取使用者定義選項來解鎖帳戶。
  5. 密碼不會過期,因此不會發生強制密碼更改。

最後我們可以在 SAS Management Console 中檢查當前內部帳號的策略,主要能夠透過查看「omaconfig.xml」檔案來檢查內部帳號的伺服器策略,並且進行編輯 InternalAuthenticationPolicy 元素,然後重新啟動該伺服器才會生效,其主要有以下參數設定,分別為:

參數 說明
ChangeDelayInMinutes=”number” 指定密碼更改之間必須經過多少分鐘,僅在重置自己的密碼時適用。
DigitRequired=”T ,F” 指定密碼是否必須包含至少一個數字,若要要強制執行此要求,請指定 T,反之指定 F。
ExpirationDays=”number” 指定密碼設定密碼到期後的天數,值為 0 則可防止密碼過期。
ExpirePasswordOnReset=”T ,F” 指定在首次使用時和管理密碼重置後是否發生強制密碼更改,若要禁用此要求,請指定 F,反之指定 T。
HashPasswords =“SHA256-10000, SHA256, MD5” 指定內部帳戶密碼如何存儲在中繼資料中。
MinLength=”number-of-characters” 指定密碼的最小長度。
MixedCase=”T, F” 指定密碼是否必須包含至少一個大寫字母和至少一個小寫字母,若要強制執行此要求,請指定 T,反之指定 F。
NumPriorPasswords=”number” 指定每個帳號的密碼歷史記錄中維護的密碼數,使用者無法重複使用帳號歷史記錄中的密碼。
LockoutDurationInMinutes=”number” 指定在過多登入失敗之後鎖定帳戶多少分鐘。
NumFailuresForLockout=”number” 指定導致帳戶被鎖定的連續失敗登錄嘗試次數,建議不要指定 0。

相關資源

⬅️ Go back