Políticas de Contraseñas Granulares (Password Setting Objects): Implementación (II)

Al hilo del post del otro día, y una vez explicado el funcionamiento de los objetos PSO (Password Setting Objects), quedó pendiente la segunda parte, más práctica: la implementación de éste tipo de objetos.

En el caso que nos ocupa vamos a trabajar con la siguiente estructura lógica de Directorio Activo (muestro solo la parte relevante):

Generacion de PSO – Estructura Logica de Directorio Activo

La generación de un objeto PSO se debe efectuar mediante ADSI Edit o por medio de ficheros LDF.

En primer lugar explicaré el modo de generar este tipo de objetos desde ADSI Edit. Una vez abierta la herramienta, se debe navegar a la siguiente ruta:

• CN=Password Settings Container,CN=System,DC=dominio,DC=local

Una vez situados en la ruta anterior se hará clic con el botón derecho del ratón y se seleccionará Nuevo (New) –> Objeto (Object):

Generacion de Nuevo Objeto PSO desde ADSI Edit

Al hacer clic sobre Objeto (Object) aparecerá la siguiente ventana que indica que se va a generar un nuevo objeto desde la clase msDS-PasswordSettings :

Generacion de Nuevo Objeto PSO – Tipo

 Al hacer clic en Siguiente aparece otra ventana que solicita que indiquemos el CN del nuevo objeto PSO:

Generacion de Nuevo Objeto PSO – CN

Al hacer clic en Siguiente, aparecerá una ventana que solicita que indiquemos la precedencia (IMPORTANTE):

Generacion de Nuevo Objeto PSO – Precedencia (IMPORTANTE)

MPORTANTE: A la hora de diseñar objetos PSO se debe simplificar para evitar situaciones de conflicto, con lo que se recomienda definir pocos objetos PSO y con valores de precedencia distintos

Una vez especificado el nivel de precedencia (prioridad) y seleccionado Siguiente aparecerán ventanas adicionales tales que:

• msDS-PasswordReversibleEncryptionEnabled: Sus posibles valores serán True/False. Se debe indicar si el objeto PSO permite almacenar las contraseñas para que sea posible desencriptarlas con el mismo algoritmo utilizado para encriptarlas (True, menos seguro). Si no se utilizan aplicaciones legacy que lo requieran, debe indicarse False (valor por defecto).

• msDS-PasswordHistoryLength: Indicará mediante un valor numérico positivo la cantidad de contraseñas que se van a recordar para los usuarios que apliquen el objeto PSO en curso.

• msDS-PasswordComplexityEnabled: Sus posibles valores serán True/False. Indicará si las contraseñas de los usuarios que apliquen el nuevo objeto PSO deberán imputar contraseñas complejas (requiere tres tipos de carácter de cuatro conjuntos: mayúsculas, minúsculas, números y carácteres «extraños» (%, &, …))

• msDS-MinimumPasswordLength: Indicará mediante un valor numérico positivo el numero mímimo de caracteres que debe tener la contraseña de los usuarios que apliquen la PSO en curso.

• msDS-MinimumPasswordAge: Su formato será días:horas:minutos:segundos, aunque también puede especificarse que sea (none). Indicará el mínimo tiempo que debe transcurrir para que un usuario pueda cambiar su contraseña por una nueva. Por ejemplo, para que los usuarios deban utilizar una contraseña durante 24 horas como mínimo, se debe teclear el texto 1:00:00:00. (1 día, 0 horas, 0 minutos y 0 segundos).

• msDS-MaximumPasswordAge: Su formato será días:horas:minutos:segundos, aunque también puede especificarse que sea (never). Indicará el máximo tiempo que puede transcurrir para que un usuario pueda cambiar su contraseña por una nueva (con otras palabras, el tiempo de caducidad). Por ejemplo, para que los usuarios deban cambiar la contraseña a los 45 días, se debe teclear el texto 45:00:00:00. (45 días, 0 horas, 0 minutos y 0 segundos).

• msDS-LockoutThreshold: Indicará mediante un valor numérico la cantidad de intentos de inicio de sesión incorrectos que debe superarse en cierto lapso de tiempo para que una cuenta concreta quede bloqueada (Por ejemplo, 5  si se desea que tras 5 tecleos incorrectos se bloquee una cuenta concreta).

• msDS-LockoutObservationWindow: Su formato será días:horas:minutos:segundos, aunque también puede especificarse que sea (none). Indicará el período de observación (lapso de tiempo) durante el que se observarán los inicios incorrectos de sesión de una cuenta concreta. Superar el Threshold anterior durante el lapso de tiempo indicado en este punto rovocará el bloqueo de una cuenta concreta. Por ejemplo, para que una cuenta se bloquee tras cinco intentos incorrectos durante una hora, deberá especificarse 0:01:00:00 (0 días, 1 hora, 0 minutos y 0 segundos).

• msDS-LockoutDuration:  formato será días:horas:minutos:segundos, aunque también puede especificarse que sea (never) o (none). Indicará el período que se mantendrán bloqueadas las cuentas de los usuarios. Por ejemplo, para mantener bloqueada una cuenta durante un día completo, se debe teclear 1:00:00:00 (1 día, 0 horas, 0 minutos y 0 segundos).

Una vez llegado a este punto aparecerá la siguiente ventana que indica el final de la primera fase del proceso de generación de un objeto PSO:

Generacion de PSO – Fin de la Primera Fase

Tras hacer clic en Finish se debe vincular el objeto PSO a un grupo concreto. Para ello se mostrarán las propiedades del nuevo objeto, tras lo que se accederá al atributo msDS-PSOAppliesTo:

Aplicacion de PSO - Seleccion de Atributo msDS-PSOAppliesTo

Al hacer clic en Editar se puede introducir el DN de un usuario/grupo concreto (más claro) o seleccionar un usuario/grupo, lo que vinculará el SID de la cuenta. Las siguientes dos imagenes muestran sendas opciones:

Aplicacion de PSO - Opcion 1: Introduccion del DN del Grupo

Aplicacion de PSO - Opcion 2: Seleccion de SID del Grupo

Cualquiera de las dos opciones anteriores son válidas, aunque por claridad yo os recomendaría teclear el DN del grupo en cuestión. Por supuesto, al mover el grupo de ubicación el Servicio de Directorio modifica el DN correspondiente en todos los objetos PSO vinculados al mismo.

Una vez aplicada, podréis ver en el editor de atributos del usuario correspondiente que la PSO resultante debe ser la recién generada (ver post anterior).

Un saludo,

Alberto Robledo.