引言 　　kerberos 主体密码是用来解锁密钥分发中心 (kdc) 服务器应答的密钥，因此，如果该密码发生泄露，就没有其他方法来核实主体的真实性。因而，管理员必须选择非常难于破解的密码，以免被他人破解而影响系统的安全性。 　　您还可以建议最终用户提高密码的强度，并通知其密码策略相关内容。这是一种源自外部的保护，但是，还需要通过内部机制来强制最终用户选择强密码，为此，ibm network authentication service (nas) for aix 提供了增强密码强度功能。 　　ibm nas 管理服务器 (kadmind) 提供了增强密码强度检查工具。kadmind 服务器负责检查和验证主体的密码。服务器可以根据分配给主体的密码策略（请参阅参考资料部分以阅读有关 kerberos 密码策略管理的 developerworks 文章）和在规则配置文件中指定的密码规则来验证密码。 　　激活增强密码强度功能 　　为了激活 ibm nas 中的增强密码强度功能，管理员需要在密钥分发中心 (kdc) 配置文件 '/var/krb5/krb5kdc/kdc.conf' 中指定规则配置文件的位置。需要使用配置文件 [realm"> 节中的 ‘password_rules’ 关系来指定规则配置文件的位置，如下所示： [kdcdefaults"> 　　　　kdc_ports = 88 [realms"> 　　　　test =　{ 　　　　　　　　database_name = /var/krb5/krb5kdc/principal 　　　　　　　　admin_keytab = /var/krb5/krb5kdc/kadm5.keytab 　　　　　　　　acl_file = /var/krb5/krb5kdc/kadm5.acl 　　　　　　　　dict_file = /var/krb5/krb5kdc/kadm5.dict 　　　　　　　　key_stash_file = /var/krb5/krb5kdc/.k5.test 　　　　　　　　kadmind_port = 749 　　　　　　　　kdc_ports = 88 　　　　　　　　max_life = 24h 0m 0s 　　　　　　　　max_renewable_life = 7d 0h 0m 0s 　　　　　　　　master_key_type = des3-cbc-sha1 　　　　　　　　supported_enctypes = des3-cbc-sha1:normal arcfour-hmac:normal 　　　　　　　　 aes256-cts:normal des-cbc-md5:normal des-cbc-crc:normal 　　　　　　　　password_rules = /var/krb5/krb5kdc/password_rules.conf 　　　　} 　　如果在 /var/krb5/krb5kdc/kdc.conf 文件中未指定 'password_rules = ' 行，或者所指定的文件不存在或无法访问，则不会启用增强密码强度功能。 　　密码规则文件包含多个密码规则，这些规则通过帮助用户选择适当的密码来提高密码强度。这些规则是在节下定义的。密码规则文件可以包含如下三个节： 　　[default"> 节包含应用于整个领域的密码规则。缺省情况下，领域中的所有主体都受制于该节下指定的规则。 　　[policies"> 节包含影响各个策略的密码规则。需要应用领域范围规则以外的更多规则时使用此节。 　　[principals"> 节包含基于各个主体的密码规则。对于少数非常重要的主体（如 admin/admin 等），管理员可以采用特别定制的规则。 　　如果任何节重复出现，则最后出现的节被视为有效，并忽略其他节。也会忽略任何不完整、未知和拼写错误的条目。 　　如果由于某种原因导致密码规则文件发生损坏，kadmind 将记录和显示错误，然后退出。 　　密码规则配置文件具有与 ibm nas 配置文件（/etc/krb5/krb5.conf 和 /var/krb5/krb5kdc/kdc.conf）相同的格式，如下所示： # this stanza has the realm-wide default rules [default"> 　　　　mindiff　　= 3 　　　　maxrepeats = 3 　　　　minalpha　 = 4 　　　　minother　 = 1 　　　　minlen　　 = 6 　　　　maxlen　　 = 24 　　　　minage　　 = 604800 　　　　histsize　 = 5 　　　　# add a separate dictlist line for each dictionary you want to add 　　　　dictlist　 = /usr/dict/words 　　　　dictlist　 = /var/krb5/krb5kdc/words # this stanza has the per-policy rules [policies"> 　　　　staff = { 　　　　　　　　minlen = 8 　　　　} 　　　　admin = { 　　　　　　　　minlen　 = 10 　　　　　　　　minother = 2 　　　　　　　　histsize = 8 　　　　} # this stanza has the per-principal rules [principals"> 　　　　admin/admin = { 　　　　　　　　mindiff　= 4 　　　　　　　　histsize = 10 　　　　} 　　ibm nas 附带了示例密码规则文件 /usr/samples/krb5/password_rules.conf。下一部分将介绍所有可用的密码规则。 　　密码规则 　　密码规则用于控制对主体密码的单项限制或检查项。这些增强密码强度规则可以基于领域、策略或主体进行设置。缺省情况下，规则是针对整个领域设置的。现有主体的密码不会受新密码规则的影响。如果在激活密码规则后密码发生改变，新密码应遵从这些规则。ibm nas 支持四种类型的密码规则： 　　组合规则 　　使用期限规则 　　重用（或历史）规则 　　字典规则 　　组合规则 　　这些规则指定密码可以包含哪些内容，例如，密码是否应当只包含字母或字母数字字符。支持下列规则： 　　mindiff = 新密码与旧密码中不同字符的最小数目。 maxrepeats = 给定字符在密码中可以出现的最大次数。 minalpha = 密码中字母数字字符的最小数目。 minother = 密码中非字母数字字符的最小数目。 minlen = 密码中字符的最小数目。（最小值为 1，因为密码不能为空字符串） maxlen = 密码中字符的最大数目。 　　组合检查算法根据下列规则验证密码中的字符是否处于有效范围： 　　不允许出现负值。如果指定了负值，服务器将记录警告并忽略该值。 　　如果 minalpha 和 minother 相加大于 maxlen，则 maxlen 的值设为 minalpha + minother。 　　minlen 的最小值为 1（密码不能为空字符串）。如果未指定 minlen 的值或指定为 0，则该值设为 1。在这种情况下不会记录警告。 　　maxlen 必须大于或等于 minlen。如果 minlen 大于 maxlen，则 maxlen 设为 minlen 的值。 　　mindiff、maxrepeats、minalpha、minother 或 maxlen 的值设为 0 表示不会检查该规则。 　　使用期限规则 　　这些规则用于指定更改密码的频率。支持下列规则： 如果喜欢在 ibm network authentication service for aix 中增强密码强度请收藏或告诉您的好朋友.