Kanidm账户策略详解：构建安全的身份认证体系

Kanidm账户策略详解：构建安全的身份认证体系

kanidm Kanidm: A simple, secure and fast identity management platform 项目地址: https://gitcode.com/gh_mirrors/ka/kanidm

前言

在现代身份管理系统中，合理的账户策略是保障系统安全的重要基石。Kanidm作为一款开源的轻量级身份管理系统，提供了灵活且强大的账户策略配置功能。本文将深入解析Kanidm的账户策略机制，帮助管理员构建符合组织安全需求的认证体系。

账户策略基础概念

Kanidm的账户策略定义了账户必须满足的安全要求，并影响用户会话行为。其核心设计理念是：

1. 基于组的策略管理：策略定义在组级别，组成员自动继承组策略
2. 策略继承与合并：当账户属于多个组时，系统会自动应用最严格的安全要求
3. 默认策略：系统为idm_all_persons组提供默认策略，影响所有用户

策略属性详解

1. 认证会话有效期(auth-expiry)

定义认证会话的最大存活时间（秒）。到期后用户必须重新认证。

安全建议：

• 普通用户：86400秒(24小时)
• 管理员：3600秒(1小时)
• 高敏感系统：900秒(15分钟)

2. 凭证类型最低要求(credential-type-minimum)

定义账户允许使用的最低安全强度的凭证类型，从弱到强依次为：

• any：允许任何凭证类型
• mfa：要求多因素认证
• passkey：要求使用WebAuthn
• attested_passkey：要求使用带认证的WebAuthn设备

3. 密码最小长度(password-minimum-length)

定义密码的最小字符长度。Kanidm默认采用zxcvbn库进行密码强度检查，确保密码质量。

4. 特权有效期(privilege-expiry)

定义重新认证后写权限的持续时间（秒，最大3600）。这是Kanidm读写分离架构的重要安全特性。

5. WebAuthn认证设备限制(webauthn-attestation-ca-list)

允许限制可使用的WebAuthn设备型号，通过CA证书和设备AAGUID进行验证。

策略冲突解决机制

当账户属于多个组时，系统会按照以下规则合并策略：

| 策略属性 | 合并规则 | |-------------------------|-----------------------------| | auth-expiry | 取最小值 | | credential-type-minimum | 取最高安全级别 | | password-minimum-length | 取最大值 | | privilege-expiry | 取最小值 | | webauthn-attestation | 取各策略列表的交集 |

示例分析： 假设策略A要求密码长度10字符，策略B要求15字符，最终会应用15字符的要求。

策略配置实战

启用组策略

kanidm group account-policy enable <组名>

配置会话有效期

kanidm group account-policy auth-expiry <组名> <秒数>

配置密码策略

kanidm group account-policy password-minimum-length <组名> <长度>

配置特权有效期

kanidm group account-policy privilege-expiry <组名> <秒数>

配置WebAuthn设备限制

1. 安装fido-mds-tool工具
2. 获取FIDO联盟的MDS数据
3. 生成可信设备列表
4. 应用到策略

fido-mds-tool fetch
fido-mds-tool query --output-cert-roots "desc cnt yubikey" > trusted-authenticators
kanidm group account-policy webauthn-attestation-ca-list <组名> trusted-authenticators

全局安全设置

禁用名称列表

防止使用不当或冲突的名称：

kanidm system denied-names append <名称>
kanidm system denied-names show
kanidm system denied-names remove <名称>

密码质量检查

Kanidm强制使用zxcvbn库检查密码质量，该库会检测：

• 密码中包含账户名或邮箱
• 常见弱密码
• 低熵密码
• 日期等易猜测模式

密码黑名单

可自定义密码黑名单，防止使用已知泄露密码：

kanidm system pw-badlist show
kanidm system pw-badlist upload "黑名单文件"

安全最佳实践

1. 分层策略：为不同敏感级别的组设置不同策略
2. 特权最小化：管理员账户应设置更短的会话和特权有效期
3. 设备管控：关键系统应限制WebAuthn设备型号
4. 密码策略：建议最小长度12字符，结合zxcvbn检查
5. 定期审查：定期检查策略设置和黑名单更新

结语

Kanidm的账户策略系统提供了细粒度的安全控制能力，通过合理的配置可以构建既安全又用户友好的身份认证体系。理解这些策略的工作原理和配置方法，是有效使用Kanidm的关键所在。建议管理员根据组织的实际安全需求，制定适当的策略组合。

kanidm Kanidm: A simple, secure and fast identity management platform 项目地址: https://gitcode.com/gh_mirrors/ka/kanidm