一种基于OpenStack的安全认证策略配置方法与流程

本发明涉及计算机安全技术领域，更具体的说是涉及一种基于openstack的安全认证策略配置方法。

背景技术：

openstack作为社区开源项目，以其灵活的部署方案和可扩展性在国内获得很高的市场认可度。因此国内各大云产品厂商纷纷加入了openstack的开发战队，基于openstack开源社区版本开发并完善具有自己特色的产品。作为云管理平台产品，安全性是客户非常重视的一个问题。keystone(openstackidentityservice)作为openstack的管理身份验证、服务规则和服务令牌功能的模块，任何服务之间相互的调用都需要经过keystone的身份验证，才能获得权限进行操作。

当前，对openstack的用户身份验证均通过keystone组件，用户需要通过正确的用户名和密码向keystone证明自己的身份，得到token再去调用其他组件服务。

由于只能采取用户名和密码登陆的方式，这种认证方式存在很大的安全隐患，那么如何提高身份验证的安全性，为openstack提供更加安全的认证方式，是我们亟待解决的问题。

技术实现要素：

针对以上问题，本发明的目的在于提供一种基于openstack的安全认证策略配置方法，为openstack身份认证设置复杂的密码策略以提高openstack认证的安全性。

本发明为实现上述目的，通过以下技术方案实现：一种基于openstack的安全认证策略配置方法，包括：

配置账户锁定策略；

配置密码策略；

配置密码更改策略。

进一步，通过设置keystone.conf的参数配置账户锁定策略、密码策略和密码更改策略。

进一步，所述配置账户锁定策略包括：

设置错误重试次数：

设置锁定用户时间：

设置用于认定为非活动用户的天数。

进一步，所述配置密码策略包括：

设置密码过期时间；

设置密码复杂度。

进一步，所述配置密码更改策略包括：

更改后的密码不允许和前两次相同；

设置用户更改密码之前必须使用密码1天，一旦用户更改密码，他们将无法在一天内再次更改密码。

进一步，所述配置账户锁定策略具体为：

将重试限定设为6次错误重试后锁定用户；

将用户的锁定时间设为1800秒；

禁用非活动用户，90天未登陆锁定用户。

进一步，所述配置密码策略还包括：强制第一次登陆修改密码。

进一步，所述配置密码策略具体为：

将密码过期时间设为90天；

设置密码复杂度包含数字、特殊字符、字母，最短8位；

设置密码复杂度提示语。

对比现有技术，本发明有益效果在于：本发明提出的一种基于openstack的安全认证策略配置方法，通过设置keystone.conf的参数配置账户锁定策略、密码策略和密码更改策略，降低了认证方式的安全隐患，提高身份验证的安全性，为openstack提供更加安全的认证方式，进而保证了云产品的使用安全。

本发明通用性强，使用效果稳定可靠，可以推广至其他云产品的密码策略使用。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。

附图说明

附图1是本发明实施例一的方法流程图。

附图2是本发明实施例二的方法流程图。

具体实施方式

下面结合附图对本发明的具体实施方式做出说明。

实施例一：

如图1所示的一种基于openstack的安全认证策略配置方法，通过设置keystone.conf的参数实现，具体包括如下步骤：

步骤1：设置错误重试次数。

步骤2：设置锁定用户时间。

步骤3：设置用于认定为非活动用户的天数。

步骤4：强制第一次登陆修改密码

步骤5：设置密码过期时间。

步骤6：设置密码复杂度。

步骤7：更改后的密码不允许和前两次相同。

步骤8：设置用户更改密码之前必须使用密码1天，一旦用户更改密码，他们将无法在一天内再次更改密码。

在本实施例中，并不限制所有步骤的顺序，步骤顺序可任意调整。

实施例二：

如图2所示的一种基于openstack的安全认证策略配置方法，通过设置keystone.conf的参数实现，具体包括如下步骤：

步骤1：将重试限定设为6次错误重试后锁定用户。

步骤2：将用户的锁定时间设为1800秒。

步骤3：禁用非活动用户，90天未登陆锁定用户。

步骤4：强制第一次登陆修改密码。

步骤5：将密码过期时间设为90天。

步骤6：设置密码复杂度包含数字、特殊字符、字母，最短8位。

步骤7：设置密码复杂度提示语。

步骤8：更改后的密码不允许和前两次相同。

步骤9：设置用户更改密码之前必须使用密码1天，一旦用户更改密码，他们将无法在一天内再次更改密码。这可以防止用户立即更改其密码，以便清除密码历史记录并重新使用旧密码。

在本实施例中，并不限制所有步骤的顺序，步骤顺序可任意调整。

以上述基于openstack的安全认证策略配置方法为基础，具体的程序实现过程及内容如下：

[security_compliance]

lockout_failure_attempts＝6

lockout_duration＝1800

disable_user_account_days_inactive＝90

change_password_upon_first_use＝true

password_expires_days＝90

password_regex＝^(？＝。*\d)(？＝。*[a-za-z])。{8，}$

password_regex_description＝passwordsmustcontainatleast1letter,1digit,andbeaminimumlengthof8characters.

unique_last_password_count＝2

minimum_password_age＝1

当你设置时password_expires_days，该值minimum_password_age应该小于password_expires_days。否则，用户在到期前将无法更改密码。

结合附图和具体实施例，对本发明作进一步说明。应理解，这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所限定的范围。