Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Politika obavezne promjene zaporke u sustavu AAI@EduHr

U svrhu povećanja sigurnosti elektroničkih identiteta u sustavu AAI@EduHr, od srpnja 2016. u sklopu instalacijskih paketa za Debian 8 "jessie" u svim AAI paketima implementirana je podrška za politiku obavezne promjene zaporke. Ustanove su obavezne nove pakete instalirati najkasnije do lipnja 2017. kad će se u redovitom godišnjem certificiranju ustanova jednom od obaveznih normi provjeravati je li na ustanovi implementirana podrška za obaveznu promjenu zaporke.

Koje novosti donosi politika obavezne promjene zaporke?

  • Po otvaranju elektroničkog identiteta, te nakon što mu administrator promijeni zaporku, korisnik mora promijeniti zaporku u roku 48 sati. Ako to ne učini, ima se pravo uspješno prijaviti još 5 puta, a nakon toga mu se elektronički identitet zaključava.
  • Jednom zaključan elektronički identitet može (kroz web sučelje za održavanje sadržaja imenika) otključati administrator imenika tako da korisniku promijeni zaporku. Nakon što mu administrator promijeni zaporku, na korisnika se opet primjenjuje pravilo da mora sam promijeniti zaporku u sljedećih 48 sati.
  • Korisnik kojemu je tek otvoren elektronički identitet, ili mu je administrator promijenio zaporku, a nije još zaporku promijenio sam, prilikom pokušaja prijave na bilo koju aplikaciju unutar sustava putem SSO servisa dobiva obavijest o tome kad mu ističe zaporka i preusmjerava se na središnje sučelje za promjenu zaporke gdje može sam promijeniti zaporku.
  • Nakon što korisnik samostalno promijeni zaporku, zaporka mu više ne ističe.
  • Uputa kako promijeniti zaporku elektroničkog identiteta u sustavu AAI@EduHr dostupna je ovdje.

Kako početi primjenjivati politiku obavezne promjene zaporke na matičnoj ustanovi?

Politika obavezne promjene zaporke implementirana je u AAI instalacijskim paketima za Debian 8 "jessie". Da biste na ustanovi počeli s primjenom politike obavezne promjene zaporke, na poslužitelju ustanove trebate instalirati Debian 8 "jessie" i odgovarajuće AAI@EduHr instalacijske pakete.

Je li za matične ustanove obavezna implementacija politike obavezne promjene zaporke?

Je. Jedna od obaveznih normi redovitog godišnjeg certificiranja ustanova za 2017. će provjeravati je li na ustanovi implementirana politika obavezne promjene zaporke.

Kako u imeniku pronaći zaključane korisnike?

Prijavite se kao administrator u sučelje za održavanje sadržaja imenika svoje ustanove i u izborniku kliknite na "Zaključani korisnici". Ta će Vam opcija prikazati popis svih korisnika koji moraju promijeniti zaporku (zajedno s informacijom kad im ističe zaporka, te koliko su se puta uspješno prijavili po isteku 48h) ili im je elektronički identitet već zaključan zato što nisu promijenili zaporku duže od 48h i nakon toga su se 5 puta uspješno prijavili.

Kako otključati zaključanog korisnika?

Zaključanog korisnika možete otključati tako da mu kroz web sučelje promijenite zaporku. S obzirom da mu je zaporku promijenio administrator imenika, na tog se korisnika opet primjenjuje pravilo da mora sam promijeniti zaporku u roku 48h.

Kako je tehnički realizirana politika obavezne promjene zaporke?

Implementacija politike obavezne promjene zaporke temelji se na "password policy overlay" dodatku za OpenLDAP. To je dodatak koji omogućuje postavljanje raznih pravila vezanih uz zaporku pohranjenu u LDAP-u. Pravila vezana uz postavljanje, promjenu, uporabu zaporke, kao i neka njena svojstva zadaju se putem vrijednosti atributa posebnog zapisa u LDAP imeniku, a u korisnički se zapis postavi pokazivač koji govori koja se politika odnosi na kojeg korisnika.  Na taj je način moguće jednostavno postaviti različita pravila koja vrijede za različite vrste korisnika. Na korisnike koji nemaju pokazivač na zapis s politikom odnosi se defaultna politika koja je isto tako definirana posebnim zapisom u imeniku.

U slučaju sustava AAI@EduHr, odnosno paketa openldap-aai, politika promjene zaporke realizirana je na sljedeći način:

Instalacijom paketa u LDAP imenik ustanove ispod org zapisa dodaje se grana kojoj je korjenski zapis dn: ou=policies, dc=domena, dc=hr. Ispod tog zapisa dodaju se zapisi koji definiraju različite politike. Zapis dn: cn=newUser, ou=policies, dc=domena, dc=hr definira pravila (politiku) koja se odnosi na nove korisnike i one kojima je administrator promijenio zaporku, te zapis dn: cn=passwordDefault, ou=policies, dc=domena, dc=hr kojim je određena politika koja se primjenjuje na sve korisnike u imeniku koji nemaju pokazivač na neku drugu politiku. U korisničkom zapisu u LDAP imeniku pokazivač na politiku koja se odnosi na tog korisnika zapisan je u atributu pwdPolicySubentry. Dakle, ako neki korisnik u svom korisničkom zapisu ima atribut pwdPolicySubentry s vrijednosti cn=newUser, ou=policies, dc=domena, dc=hr to znači da se na njega primjenjuje politika definirana atributima zapisa cn=newUser, ou=policies, dc=domena, dc=hr.

Kod dodavanja novog korisnika, ili u slučaju kad administrator korisniku promijeni zaporku, u njegov se korisnički zapis dodaje atribut pwdPolicySubentry s vrijednosti cn=newUser, ou=policies, dc=domena, dc=hr. Od tog se trenutka na tog korisnika primjenjuju pravila definirana zapisom cn=newUser, ou=policies, dc=domena, dc=hr koja govore da mu zaporka ističe za 48 sati. Kad korisnik sam promijeni zaporku, briše se atribut pwdPolicySubentry i na korisnika se primjenjuju pravila definirana zapisom cn=passwordDefault, ou=policies, dc=domena, dc=hr

Inicijalne vrijednosti zapisa s politikama:

Zapis koji se odnosi na sve korisnike koji nemaju pokazivač na neku politiku (primjetite da u njemu nema nikakvih parametara - znači za korisnike na koje se odnosi taj zapis ništa se ne mijenja):

dn: cn=passwordDefault, ou=policies, dc=domena, dc=hr
objectClass: pwdPolicy
objectClass: person
objectClass: top
sn: passwordDefault
pwdAttribute: userPassword
cn: passwordDefault

Zapis koji se odnosi na nove korisnike i one kojima je administrator promijenio zaporku (određuje da zaporka traje 172800 sekundi odnosno 48h, da se nakon toga korisnik može uspješno autenticirati 5 puta, da je zaključavanje trajno - odnosno dok mu ga administrator ne ukine promjenom zaporke):

dn: cn=newUser, ou=policies, dc=domena,dc=hr
sn: newUser
pwdAttribute: userPassword
pwdGraceAuthNLimit: 5
objectClass: pwdPolicy
objectClass: person
objectClass: top
pwdLockoutDuration: 0
cn: newUser
pwdExpireWarning: 172800
pwdLockout: TRUE
pwdMaxAge: 172800