บทนำ
การตั้งค่าอายุรหัสผ่าน (Password Aging) บน Sangfor IAG เป็นฟีเจอร์ด้านความปลอดภัยที่บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านตามระยะเวลาที่กำหนด ช่วยลดความเสี่ยงจากการใช้รหัสผ่านเดิมเป็นเวลานานเกินไป นอกจากนี้ยังสามารถกำหนดข้อกำหนดความแข็งแรงของรหัสผ่าน (Password Strength Requirements) เพื่อบังคับให้ผู้ใช้ตั้งรหัสผ่านที่ปลอดภัยได้
ข้อกำหนดเบื้องต้น
- มี Sangfor IAG ที่ติดตั้งและใช้งานได้ปกติ พร้อมสิทธิ์ Admin
- ผู้ใช้ authenticate ด้วย Password Based (Local User หรือ External Auth Server)
ขั้นตอนการตั้งค่า
ขั้นตอนที่ 1: เข้าหน้า Authentication Options
ไปที่ Access Mgt > Authentication > Web Authentication > Advanced > Authentication Options
ขั้นตอนที่ 2: ตั้งค่า Password Strength Requirements
- ในส่วน Security Options ให้ติ๊ก Enable password strength requirements
- คลิก Settings เพื่อกำหนดข้อกำหนดรหัสผ่าน:
- Password and username must not be the same: รหัสผ่านต้องไม่ซ้ำกับชื่อผู้ใช้
- New and the current password must not be the same: รหัสผ่านใหม่ต้องไม่ซ้ำกับรหัสผ่านปัจจุบัน
- Password Strength: กำหนดระดับความแข็งแรงของรหัสผ่าน
- Password must contain: กำหนดองค์ประกอบที่รหัสผ่านต้องมี เช่น ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข อักขระพิเศษ
ขั้นตอนที่ 3: ตั้งค่าอายุรหัสผ่านใน Local User Properties
การกำหนดอายุรหัสผ่านสำหรับ Local User สามารถตั้งค่าได้ที่ properties ของแต่ละ user:
- ไปที่ Access Mgt > User Management > Local/Domain Users
- เลือก user ที่ต้องการแก้ไข แล้วดับเบิลคลิกเพื่อเปิด properties
- ในส่วน Password Expiry กำหนดระยะเวลาหมดอายุของรหัสผ่าน (เช่น 30, 60, 90 วัน)
- เมื่อรหัสผ่านหมดอายุ ผู้ใช้จะถูกบังคับให้เปลี่ยนรหัสผ่านใหม่ในครั้งถัดไปที่ login
ขั้นตอนที่ 4: ตั้งค่า Lock และ Delete User ที่ไม่ได้ใช้งาน
ในหน้า Authentication Options สามารถตั้งค่าเพิ่มเติมเพื่อจัดการ user ที่ไม่ได้ใช้งาน:
- Lock users consecutively failing to authenticate or change password: ล็อก user ที่ authentication ล้มเหลวติดต่อกันตามจำนวนครั้งที่กำหนด (Max Attempts) เป็นระยะเวลาที่กำหนด (Lockout Period)
- Delete accounts inactive for too long a time: ลบ user ที่สร้างอัตโนมัติ (auto-added) ที่ไม่ได้ login เป็นเวลานานตามจำนวนวันที่กำหนด (ไม่รวม user ที่สร้างด้วยตนเอง)
ขั้นตอนที่ 5: ตั้งค่า SSL Encryption
- ติ๊ก Use SSL to encrypt username and password เพื่อเข้ารหัสข้อมูล login ผ่าน HTTPS
- กำหนด Domain Name สำหรับหน้า redirect
- คลิก Device Certificate เพื่อ Upload หรือ Create CSR สำหรับ SSL certificate
ขั้นตอนที่ 6: บันทึกการตั้งค่า
คลิก Commit เพื่อบันทึกการตั้งค่าทั้งหมด
การตรวจสอบ
- ทดสอบ login ด้วย user ที่รหัสผ่านหมดอายุ ตรวจสอบว่าระบบบังคับให้เปลี่ยนรหัสผ่าน
- ทดสอบตั้งรหัสผ่านที่ไม่ผ่านเกณฑ์ password strength ตรวจสอบว่าระบบปฏิเสธ
- ทดสอบ login ผิดหลายครั้งติดต่อกัน ตรวจสอบว่า user ถูก lock ตามที่กำหนด
หมายเหตุ
- ค่าเริ่มต้นของหน้า Password Based เป็น HTTP page ข้อมูลจะถูกส่งเป็น plaintext หากต้องการความปลอดภัยสูงควรเปิดใช้งาน SSL encryption
- การตั้งค่า Password Strength จะมีผลเฉพาะเมื่อผู้ใช้เปลี่ยนรหัสผ่าน ผู้ใช้จะเปลี่ยนรหัสผ่านได้ก็ต่อเมื่อรหัสผ่านใหม่ผ่านเกณฑ์ทั้งหมดที่เลือกไว้
- User ที่สร้างด้วยตนเอง (manually created) จะ ไม่ถูกลบ โดยฟังก์ชัน Delete accounts inactive
- สามารถอนุญาตให้ผู้ใช้แก้ไขข้อมูล endpoint ของตนเองได้โดยเปิดใช้งาน Allow users to edit endpoint information
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น